Conheça um pouco mais sobre os virus.

[GuilhermeLeobas 0]

Aprenda um pouco mais sobre os malwares

 

1. O que e um malware?
    
   Do termo inglês (malicious software), software malicioso - refere-se a qualquer código ou programa inesperado ou mal-intencionado, como códigos maliciosos, cavalos de Tróia e droppers. Nem todos os programas ou códigos maliciosos são vírus. Entretanto, os códigos maliciosos de computador representam a maioria de todos os programas maliciosos conhecidos até o momento, inclusive worms. Outros tipos importantes de malware são cavalos de Tróia, droppers e kits.
   Devido às muitas facetas de um código malicioso ou de um programa malicioso, chamá-lo de malware ajuda a evitar confusão. Por exemplo, um código malicioso que também possui recursos semelhantes aos de um cavalo de Tróia pode ser chamado de malware.
    
   
2. Quais são as consequencias de um malware?
    
   Vai de um aborrecimento exibindo pop-ups de publicidade indesejada, ou usar o computador para enviar spam. Tem potencial também para roubar informações pessoais e financeiras. Isto pode variar de seus hábitos de navegação, da lista de endereços de e-mail, senhas de banco online e até mesmo roubo de identidade.
    
   
3. Como remover os malwares?
    
   Existem varios metodos de remoção, do mais arriscado ao mais seguro. usando softwares de proteção como Anti-virus, Anti-spyware e Firewall, da para ter uma otima proteção. Mas muitas vezes seu software de segurança não consegue remover a infecção completamente, uma parte que seja ou nem se quer detectar o malware em seu PC. Para isso existem ferramentas específicas para eliminá-los, exemplo: ComboFix, BankerFix, Lop Uninstaller, Malwarebytes Anti-Malware e etc. Mas uma grande parte dessas ferramentas exigem um conhecimento muito bom sobre elas, como executá-las de forma correta, como usá-las de forma correta, para que não danifique seu sistema.
    
   
4. Quais são os tipos de malwares e quais suas funções?
   
   • Adware - um tipo de software instalado com ou sem conhecimento do usuário para exibir anúncios de publicidade em seu computador. Pode fazer com que seu PC fique lento, pode aumentar a instabilidade do seu sistema e etc. Geralmente pode ser removido através do Adicionar ou Remover Programas. Mas muitas vezes ele não se encontra nem lá, e dependendo, chega a ser muito complicado de removê-lo.
     
   • Backdoor - software malicioso que permite a um atacante, acesso não autorizado a seu computador e meios de controlar remotamente a máquina sem conhecimento do dono, e sem ao menos ter que invadir seu sistema. Somente através do backdoor ele consegue ter acesso total a seu sistema.
     
   • Banker - trojan que tem como principal finalidade, roubar informações bancárias, que são utilizadas para saques, transferência, indevidas da conta bancária da vítima. E informações pessoais como: senhas do Orkut, MSN e etc.
     
   • Boot Virus (Vírus de Inicialização) - Os vírus de boot (boot vírus) se fixam num setor onde se encontra o código que o micro executa automaticamente quando é ligado (boot frio) ou é "resetado" (boot quente). Desta forma, os vírus são carregados e executados toda vez que ocorrer um boot. Após terem sido carregados, eles carregam o código de boot original, o qual foi deslocado pelo vírus para outra localidade.
     
   • Botnet - um tipo de software de controle remoto, especificamente uma coleção de softwares robôs ou bots, que funcionam autonomamente. O botnet é geralmente uma coleção de máquinas zumbis executando programas (worms, trojans, etc), sob um comando e controle das infra-estruturas comuns em redes públicas ou privadas.
     
   • Browser Helper Objects (BHO) - um componente de software que interage com um navegador Internet Explorer para fornecer capacidades ou exercer funções que não estejam incluídos no browser. São exemplos típicos, os plug-ins específicos para exibir formatos gráficos, para reproduzir ficheiros multimédia, entre outras coisas. Mas existe BHO malicioso que tem como finalidade causar comportamentos indesejados em sua navegação e sistema, como: alteração dos resultados da pesquisa feita na web, monitoramento da navegação do usuário, instalar adwares entre outras coisas.
     
   • Cavalo de Tróia (ou Trojans) - programa que entra em seu computador com o objetivo de roubar informações. Ele pode aparecer sob forma de e-mail, cartões virtuais, protetores de tela, vídeos e até mesmo jogos. Mas, o que é pior, ele pode estar disfarçado como um botão ou um link em um site na internet: ao clicar neles, você, sem querer, instala o programa. Geralmente, o Cavalo de Tróia é um único arquivo que precisa ser executado na sua máquina. Ele não dá sinal de vida, não destrói seus arquivos, nem se propaga automaticamente de um computador para o outro. Ele simplesmente começa a monitorar suas informações, podendo capturar dados como seu CPF, números de cartões de crédito, senhas bancárias e assim por diante. Um Cavalo de Tróia não dá sinais óbvios: sua máquina pode travar; ou ficar mais lenta; ou, ainda, pode aparecer uma mensagem de erro na tela - tudo isso enquanto o arquivo está sendo executado. Saia imediatamente do local e feche browsers e clientes de e-mail.
     
   • Dialer (ou Discador) - programa que utiliza um modem de seu computador para fazer chamadas ou acessar serviços normalmente maliciosos. Resultando em tarifas imprevisíveis e/ou provocar o acesso a conteúdos não desejados e não intencionais.
     
   • Exploit - código malicioso que explora falhas em um programa. Um exploit é capaz de se aproveitar de um bug em um respectivo software para ter acesso ao sistema bugado.
     
   • Hacker Tool - software que pode ser usado para investigar, analisar ou comprometer a segurança de sistemas.
     
   • Hijacker - chamados também de spyware, hijacker (sequestradores), é um software que tem a principal finalidade de alterar a página inicial de seu navegador. Pode também redirecionar alguma página visitada para uma outra escolhida pelo criador do malware - geralmente maliciosa.
     
   • Keylogger - software malicioso usado para monitorar, registrar e salvar todas as teclas digitadas pelo usuário no computador (inclusive senhas), e a enviar ao criador da praga. Keyloggers podem ser instalados pelo próprio usuário, para um monitoramente dos funcionários de uma empresa, pais que instalam para um monitoramento de seus filhos e etc.
     
   • Ransonwares - Os Ransomwares são softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do conteúdo do disco rígido. Os responsáveis pelo software exigem da vítima, um pagamento pelo “resgate” dos dados. Ransonwares são ferramentas para crimes de extorsão e são extremamente ilegais.
     
   • Rogue - Rogue e um falso programa de proteção, creio eu que o mêses de Setembro/Outubro foram dos Rogues!
     Veja essa materia escrita por Carlos Machado da INFO sobre os Rogues No final do post
      
     
   • Rootkit - O termo rootkit é muito antigo e está datado desde o início dos sistemas UNIX. Usados normalmente para elevar os privilégios de um usuário para o nível raiz (= administrador), isto explicaria o nome desta categoria de ferramentas. Rootkits para Windows trabalham de uma forma diferente, e são normalmente utilizados para esconder softwares, por exemplo a partir de um scanner antivírus. Então, nem todo rootkit é feito para o mal. Este fato é importante, pois ao fazer um scan com um anti-rootkit, nem tudo que é encontrado é malicioso.
     
   • Rootkits - rootkits em conjunto com arquivos maliciosos, em si, normalmente não causam danos deliberados. Sua finalidade é a de ocultar um código malicioso. Um vírus, worm, spyware ou programas backdoor poderão manter-se ativos e indetectados em um sistema por um longo tempo, se ele usa um rootkit.
     O malware pode permanecer indetectável mesmo se o computador estiver protegido com o antivírus.
     Pois a camuflagem é o objetivo.
     
   • Scripts Viruses (Vírus de Manuscrito) - Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem de programação, e a JS, baseada em Java Script. O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas, como, vbs doc, .xls ou .js e .jpg, e usam um idioma de manuscrito como Java script, VBScript etc., infiltrar em outros manuscritos novos ou esparramar por ativação de funções de sistema operacional. Isto freqüentemente acontece por e-mail ou pela troca de arquivos (documentos).
     
   • Spyware - chega a ser parecido com o adware. Spyware é o termo usado para descrever um software que executa determinados comportamentos, como publicidade, recolha de informações pessoais ou alteração da configuração do seu computador, normalmente sem o seu consentimento prévio.
     
   • Tracking Cookies - os cookies são pequenos ficheiros de texto utilizados por servidores e browsers web para armazenar e recuperar informação sobre os seus visitantes. Tracking Cookie, é utilizado por programas de spyware para furtar informação. Caso algum desses cookies armazene informação confidencial, esta pode ser utilizada por hackers para levar a cabo furtos de identidade.
     
   • Virus - segmento de código de computador que se anexa a um programa ou ficheiro para se propagar de computador em computador. Propaga a infecção à medida que viaja. Os vírus podem danificar o seu software, equipamento informático e ficheiros.
     
   • Worm - malware que se dissemina criando cópias funcionais de si mesmo (ou de partes) em outros sistemas. A propagação se dá por conexão de rede ou anexos de e-mail. A detecção e a eliminação do worm costuma ser fácil.
      
      

     Falsos antivírus gratuitos foram uma das principais armas dos crackers para espalhar malware no terceiro trimestre de 2008.
     Conforme um relatório da Panda Security, em comparação com o segundo trimestre, os programas de adware saltaram de 22% para 37,5%, devido à quantidade de falsos programas antivírus.
      
     Esses últimos são descritos como “um conjunto de aplicativos que detectam falsamente uma infecção digital e oferecem ao usuário a possibilidade de baixar um software para erradicar a infecção. Após o download da aplicação, o usuário é solicitado a pagar uma taxa de registro para eliminar a infecção”.
      
     A estratégia do falso antivírus está associada ao crescimento de ataques e outros cibercrimes. Afinal, ao instalar um programa de procedência obscura, nunca se sabe o que está sendo trazido para o computador.
      
     Apesar da expansão do adware no período julho-setembro, a categoria mais destacada de programas nocivos continuou sendo a dos cavalos-de-tróia, conforme mostra o gráfico abaixo.
     

[GuilhermeLeobas 0]

Parte II

 

Nesta parte eu vou tratar sobre duvidas gerais da area de segurança!

• Danos e sintomas - Este assunto ja foi citado no post acima mas achei que esta informação a baixo e mais completa.
   
   
  Alguns vírus se manifestam através de seus sintomas, outros causam danos a arquivos do sistema que estejam infectando. Mas nem os sintomas, nem os danos, são essenciais na definição de um vírus. Um vírus inócuo (que não causa danos) continua sendo um vírus, não um enfeite.
   
  Não existem vírus "bons", simplesmente porque o código do vírus não foi instalado intencionalmente pelo usuário. Os usuários têm o direito de manter o controle sobre seus computadores e isto inclui a soberania de instalar e remover software:
   
  Nenhum software pode ser instalado, modificado ou removido sem o conhecimento e a permissão do usuário. Um vírus é auto-instalado secretamente, pode modificar outro software do sistema sem o conhecimento do usuário e sua remoção pode ser difícil e cara.
   
  Muitos vírus acarretam danos intencionais. A maioria, porém, causa danos que (eventualmente) não foram previstos pelo autor do vírus. Por exemplo, quando um vírus encontra um ambiente muito diferente daquele em que foi concebido, este vírus não destrutivo pode se tornar subitamente extremamente lesivo. Um bom exemplo para o caso em questão é o vírus de boot: um vírus em particular, projetado para o ambiente Windows95, não contém código lesivo para um ambiente Windows NT, mas, fazendo um boot numa máquina NT infectada com o referido vírus, é o mesmo que detonar o sistema.
   
  Mesmo que um vírus não cause danos ao seu computador, sua inexperiência com vírus pode levá-lo a provocar danos durante o processo de remoção. Muitas gentes, inclusive grandes organizações, destroem disquetes, apagam arquivos e fazem formatações físicas em HD na tentativa de remover vírus. Mesmo quando a remoção é perfeita, sem nenhum prejuízo ao sistema e a arquivos infectados, nem sempre ela é feita logo no início da infecção: o vírus da máquina infectada acaba tendo algumas semanas para se propagar. Os custos sociais de uma contaminação incluem perda de credibilidade, de reputação e de imagem.
   
  Em geral os Vírus causam vários problemas nos computadores, sendo travamento, lentidão no processamento de tarefas, avisos de erros, entre muitos outros, que se fôssemos citar seria um bom número, mas veremos os principais sintomas, aquele que o usuário já toma conhecimento tão logo percebe que algo está errado em seu computador, mostrando assim, para aqueles que não têm conhecimento, como saber se seu equipamento está ou não sob influência de algum software malicioso.
   
  
• Interpretando nome de vírus, worms ,trojans. - Interpretar nomes de vírus (ou de qualquer tipo de código malicioso) é uma tarefa simples depois que você se acostuma.
   
  Por exemplo, você saberá que P2P-Worm.Win32.Tibick.f é a sexta variante de um worm que utiliza programas como o KaZaA e eMule para se espalhar, enquanto Trojan.Win32.Agent.cp é um trojan que pode ser evitado com um firewall.
   
  Antes de começar, é necessário que você saiba que, enquanto os vírus biológicos possuem um nome padronizado em Latim, tal padronização não existe para os vírus de computador. Cada empresa de antivírus pode dar nomes diferentes para malwares iguais. Existem exceções: quando algum vírus se torna uma epidemia (como o MyDoom), as empresas entram em acordo e renomeiam o código malicioso. O MyDoom também foi chamado de Novarg e SCO (por fazer um ataque de negação de serviço no site da SCO).
   
  Essa ausência de padrões causará uma enorme dor de cabeça. Para os worms e trojans mais comuns você até pode conseguir todos os nomes diferentes, mas para alguns pode ficar bastante complicado. Se você sabe inglês, você poderá ler a documentação da empresa de antivírus sobre os nomes e poderá entender mais facilmente.
   
  
• Tipo (ou prefixo) - Antes de tudo, é importante que você saiba que nem todo vírus ou código malicioso infecta outros arquivos. Atualmente, os vírus como eram conhecidos (que infectavam todos os arquivos no disco) estão realmente raros, embora alguns deles ainda possam ser encontrados.
   
  Os valores para o Tipo variam muito de empresa para empresa. Algumas empresas utilizam tipos extremamente detalhados, outras usam tipos mais gerais. Para entender os tipos é necessário que você saiba que:
   
  
  1. Um Droppper é um trojan que apenas instala outros trojans no sistema. Em um dropper, o código do trojan a ser instalado está dentro do trojan que vai instalá-lo. Abreviando como “DR” por algumas empresas;
     
  2. Um Downloader é igual um Dropper, mas o trojan que vai ser instalado é baixado da Internet. Abreviando como “DLDR” por algumas empresas;
     
  3. Um Proxy (na linguagem de segurança em worms e trojans) é um backdoor que permite o envio de e-mails camuflados;
     
  4. IRC se refere ao sistema de bate-papo Internet Relay Chat;
     
  5. IM são programas de Mensagem Instantânea;
     
  6. P2P são programas como KaZaA e eMule.
     

  Dessa forma, um Trojan-Proxy é um trojan que possui um backdoor para envio de e-mails, enquanto um P2P-Worm é um worm que usa o KaZaA e o eMule para se espalhar.

   

  É importante que você saiba as seguintes definições dos termos:

   

  → Adware

  → Backdoor

  → Dialer

  → Exploit

  → Joke

  → Macro

  → Spyware

  → Trojan

  → Worm

  Ambas definições são encontradas no post acima

   

  Você deve entender porque cada um dos termos acima, pois esses são os Tipos principais usados pelas companhias de antivírus.

  Devido a falta de um padrão, você deve tentar tentar raciocionar o que cada Tipo significa. Sabendo o que é um Trojan e um Spyware, por exemplo, você poderá saber que um Trojan-Spy é m trojan com funcionalidades de Spyware e que um Trojan-Downloader é um código malicios que vai baixar trojans.

   

  [*] Variante - A Variante é colocada logo após o nome da família. Por exemplo, MyDoom.B é o segundo MyDoom lançado. Ele provavelmente será muito parecido com o anterior em vários aspectos, mas pode ser difernete. A variante AA (por exemplo, Netsky.AA) significa que é a 27ª variante, ou seja, depois do Z (contando K, W e Y) temos o AA, então o AB. Depois do AZ temos o BA. Depois do ZZ temos o AAA e assim enquanto houverem novas variantes.

  Não existe regra sobre capitalização. Algumas empresas utilizam apenas letras maiúsculas, outras utilizam apenas minúsculas. Algumas empresas também utilizam números.

   

   

  [*] Assinaturas Genéricas e Malware sem Nome - Diversos malwares recebem assinaturas genéricas. No lado bom, o antivírus poderá detectar diversos trojans, worms e vírus da mesma família sem novas atualizações. No lado ruim, você não poderá saber exatamente qual a variante que você tem e isso pode dificultar a procura de informações.

   

  O avast! é particularmente famoso pela sua Win32.Trojan-Gen. Ela é uma assinatura genérica que detecta vários trojans sem nome.

   

  A McAfee também possui backdoors sem nome. São definidos como Backdoor-Variante. Ou seja, o BackDoor-AAB é um Backdoor sem nome mais antigo que o BackDoor-CDN, outro backdoor sem nome.

   

  Geralmente, entretanto, assinaturas genéricas terminam em Gen de Genérico, como é o caso do avast!. Você pode ver o Bagle-Gen da Sophos e o Rbot.gen da Kaspersky.

   

  Antigamente também eram comuns malwares sem nome ou malwares sem variantes. No lugar do nome ou da variante, era colocado o tamanho (em bytes) do vírus. Atualmente, porém, geralmente se usam variantes ao invés do tamanho em Bytes. O Rugrat, o primeiro vírus para Windows 64, recebeu o nome de W64.Rugrat.3344 pela Symantec, enquanto a Kaspersky o deu nome de Vírus.Win64.Rugrat.a. Cada empresa possui suas próprias regras de nomenclatura, e essas diferenças podem ser pequenas (como no caso do Rugrat) ou maiores.

   

  Agradecimentos ao Wings do Guia Do Hardware, ao Dyego Bustorff da Linha defensiva e ao Mateus Guitar tambem da Linha Defensiva!