Sei sulla pagina 1di 15

Parte VIII: Codigos Maliciosos (Malware)

V rus

um programa ou parte de um programa de computador, normalmente malicioso, que se V rus e , inserindo c propaga infectando, isto e opias de si mesmo e se tornando parte de outros programas e o do programa ou arquivo hospedeiro para arquivos de um computador. O v rus depende da execuc a o. que possa se tornar ativo e dar continuidade ao processo de infecc a o, entende-se por computador qualquer dispositivo computacional pass o Nesta sec a vel de infecc a por v rus. Computadores dom esticos, notebooks, telefones celulares e PDAs s ao exemplos de dispo o. sitivos computacionais pass veis de infecc a

1.1

Como um v rus pode afetar um computador?

Normalmente o v rus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de feliz anivers ario, at e alterar ou destruir programas e arquivos do disco.

1.2

infectado por um v Como o computador e rus?

preciso que um programa previamente Para que um computador seja infectado por um v rus, e infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como: abrir arquivos anexados aos e-mails; abrir arquivos do Word, Excel, etc; abrir arquivos armazenados em outros computadores, atrav es do compartilhamento de recursos; instalar programas de proced encia duvidosa ou desconhecida, obtidos pela Internet, de disquetes, pen drives, CDs, DVDs, etc; ter alguma m dia remov vel (infectada) conectada ou inserida no computador, quando ele e ligado. o por v importante manter-se informado Novas formas de infecc a rus podem surgir. Portanto, e atrav es de jornais, revistas e dos sites dos fabricantes de antiv rus.

1.3

Um computador pode ser infectado por um v rus sem que se perceba?

Sim. Existem v rus que procuram permanecer ocultos, infectando arquivos do disco e executando uma s erie de atividades sem o conhecimento do usu ario. Ainda existem outros tipos que permanecem inativos durante certos per odos, entrando em atividade em datas espec cas.

1.4

um v O que e rus propagado por e-mail?

recebido como um arquivo Um v rus propagado por e-mail (e-mail borne virus) normalmente e ` uma mensagem de correio eletr anexado a onico. O conte udo dessa mensagem procura induzir o
Cartilha de Seguranc a para Internet c 2006 CERT.br 4/18

Parte VIII: Codigos Maliciosos (Malware)

usu ario a clicar sobre o arquivo anexado, fazendo com que o v rus seja executado. Quando este tipo o, ele infecta arquivos e programas e envia c de v rus entra em ac a opias de si mesmo para os contatos encontrados nas listas de enderec os de e-mail armazenadas no computador do usu ario. importante ressaltar que este tipo espec capaz de se propagar automaticaE co de v rus n ao e mente. O usu ario precisa executar o arquivo anexado que cont em o v rus, ou o programa leitor de e-mails precisa estar congurado para auto-executar arquivos anexados.

1.5

um v O que e rus de macro?

um conjunto de comandos que s Uma macro e ao armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor de textos, denir uma ncia de passos necess o macro que contenha a seq ue arios para imprimir um documento com a orientac a de retrato e utilizando a escala de cores em tons de cinza. escrito de forma a explorar esta facilidade de automatizac o e e parte de um Um v rus de macro e a manipulado por algum aplicativo que utiliza macros. Para que o v arquivo que normalmente e rus possa ser executado, o arquivo que o cont em precisa ser aberto e, a partir da , o v rus pode executar uma s erie de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que s ao abertos sempre que o executado. Caso este arquivo base seja infectado pelo v aplicativo e rus de macro, toda vez que o aplicativo for executado, o v rus tamb em ser a. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, s ao os mais suscet veis a este tipo de v rus. Arquivos nos formatos RTF, PDF e PostScript s ao menos suscet veis, mas isso n ao signica que n ao possam conter v rus.

1.6

Como posso saber se um computador est a infectado?

atrav A melhor maneira de descobrir se um computador est a infectado e es dos programas an1 tiv rus . importante ressaltar que o antiv E rus e suas assinaturas devem estar sempre atualizados, caso contr ario poder a n ao detectar os v rus mais recentes.

1.7

Existe alguma maneira de proteger um computador de v rus?

o contra a infecc o por v Sim. Algumas das medidas de prevenc a a rus s ao: instalar e manter atualizados um bom programa antiv rus e suas assinaturas; o de arquivos anexados a ` s mensa desabilitar no seu programa leitor de e-mails a auto-execuc a gens;
detalhes sobre antiv rus podem ser encontrados na Parte II: Riscos Envolvidos no Uso da Internet e M etodos o. de Prevenc a
1 Maiores

Cartilha de Seguranc a para Internet c 2006 CERT.br

5/18

Parte VIII: Codigos Maliciosos (Malware)

n ao executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necess ario abrir o arquivo, certique-se que ele foi vericado pelo programa antiv rus; o de documentos formatos menos suscet ` propagac o de procurar utilizar na elaborac a veis a a v rus, tais como RTF, PDF ou PostScript; procurar n ao utilizar, no caso de arquivos comprimidos, o formato execut avel. Utilize o pr oprio formato compactado, como por exemplo Zip ou Gzip.

1.8

um v O que e rus de telefone celular?

Um v rus de celular se propaga de telefone para telefone atrav es da tecnologia bluetooth2 ou da 3 o se d tecnologia MMS (Multimedia Message Service). A infecc a a da seguinte forma: 1. O usu ario recebe uma mensagem que diz que seu telefone est a prestes a receber um arquivo. 2. O usu ario permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho. o para outros telefones, atrav 3. O v rus, ent ao, continua o processo de propagac a es de uma das tecnologias mencionadas anteriormente. Os v rus de celular diferem-se dos v rus tradicionais, pois normalmente n ao inserem c opias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especicamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Depois de infectar um telefone celular, o v rus pode realizar diversas atividades, tais como: des es telef truir/sobrescrever arquivos, remover contatos da agenda, efetuar ligac o onicas, drenar a carga da bateria, al em de tentar se propagar para outros telefones.

1.9

Como posso proteger um telefone celular de v rus?

o contra a infecc o por v Algumas das medidas de prevenc a a rus em telefones celulares s ao: mantenha o bluetooth do seu aparelho desabilitado e somente habilite-o quando for necess ario. Caso isto n ao seja poss vel, consulte o manual do seu aparelho e congure-o para que n ao seja o aparece identicado (ou descoberto) por outros aparelhos (em muitos aparelhos esta opc a como Oculto ou Invis vel); n ao permita o recebimento de arquivos enviados por terceiros, mesmo que venham de pessoas conhecidas, salvo quando voc e estiver esperando o recebimento de um arquivo espec co; ` s not ` quelas que atento a cias veiculadas no site do fabricante do seu aparelho, principalmente a sobre seguranc a;
2 Mais 3A

detalhes sobre a tecnologia bluetooth podem ser encontrados na Parte III: Privacidade. o deste termo pode ser encontrada no Gloss denic a ario.

Cartilha de Seguranc a para Internet c 2006 CERT.br

6/18

Parte VIII: Codigos Maliciosos (Malware)

es de seguranc aplique todas as correc o a (patches) que forem disponibilizadas pelo fabricante do seu aparelho, para evitar que possua vulnerabilidades; es de f caso voc e tenha comprado uma aparelho usado, restaure as opc o abrica (em muitos apare o aparece como Restaurar Congurac o de F o lhos esta opc a a abrica ou Restaurar Congurac a Original) e congure-o como descrito no primeiro item, antes de inserir quaisquer dados. Os fabricantes de antiv rus t em disponibilizado vers oes para diversos modelos de telefones celulares. Caso voc e opte por instalar um antiv rus em seu telefone, consulte o fabricante e verique a o para o modelo do seu aparelho. Lembre-se de manter o viabilidade e disponibilidade de instalac a antiv rus sempre atualizado.

Cavalos de Tr oia

Conta a mitologia grega que o Cavalo de Tr oia foi uma grande est atua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tr oia. A est atua do cavalo foi recheada com soldados que, durante a noite, abriram os port oes da cidade possibilitando a entrada dos gregos o de Tr e a dominac a oia. Da surgiram os termos Presente de Grego e Cavalo de Tr oia. um programa, normalmente recebido como um Na inform atica, um cavalo de tr oia (trojan horse) e lbum de fotos, protetor de tela, jogo, etc), que al presente (por exemplo, cart ao virtual, a em de exe es para as quais foi aparentemente projetado, tamb es normalmente cutar func o em executa outras func o maliciosas e sem o conhecimento do usu ario. es maliciosas que podem ser executadas por um cavalo de tr Algumas das func o oia s ao: o de keyloggers ou screenloggers (vide sec o 5); instalac a a es sens furto de senhas e outras informac o veis, como n umeros de cart oes de cr edito; inclus ao de backdoors, para permitir que um atacante tenha total controle sobre o computador; o ou destruic o de arquivos. alterac a a

2.1

Como um cavalo de tr oia pode ser diferenciado de um v rus ou worm?

o, o cavalo de tr Por denic a oia distingue-se de um v rus ou de um worm por n ao infectar outros arquivos, nem propagar c opias de si mesmo automaticamente. nico arquivo que necessita ser explicitamente Normalmente um cavalo de tr oia consiste em um u executado. Podem existir casos onde um cavalo de tr oia contenha um v rus ou worm. Mas mesmo nestes poss es realizadas como conseq ncia da execuc o do cavalo de tr casos e vel distinguir as ac o ue a oia propriamente dito, daquelas relacionadas ao comportamento de um v rus ou worm.

Cartilha de Seguranc a para Internet c 2006 CERT.br

7/18

Parte VIII: Codigos Maliciosos (Malware)

2.2

Como um cavalo de tr oia se instala em um computador?

necess E ario que o cavalo de tr oia seja executado para que ele se instale em um computador. Geralmente um cavalo de tr oia vem anexado a um e-mail ou est a dispon vel em algum site na Internet. importante ressaltar que existem programas leitores de e-mails que podem estar congurados E ` s mensagens. Neste caso, o simples fato de ler para executar automaticamente arquivos anexados a suciente para que um arquivo anexado seja executado. uma mensagem e

2.3

Que exemplos podem ser citados sobre programas contendo cavalos de tr oia?

Exemplos comuns de cavalos de tr oia s ao programas que voc e recebe ou obt em de algum site lbuns de fotos de alguma celebridade, jogos, e que parecem ser apenas cart oes virtuais animados, a protetores de tela, entre outros. Enquanto est ao sendo executados, estes programas podem ao mesmo tempo enviar dados con es, apagar arquivos ou formatar denciais para outro computador, instalar backdoors, alterar informac o o disco r gido. Existem tamb em cavalos de tr oia, utilizados normalmente em esquemas fraudulentos, que, ao serem instalados com sucesso, apenas exibem uma mensagem de erro.

2.4

O que um cavalo de tr oia pode fazer em um computador?

O cavalo de tr oia, na maioria das vezes, instalar a programas para possibilitar que um invasor tenha controle total sobre um computador. Estes programas podem permitir que o invasor: tenha acesso e copie todos os arquivos armazenados no computador; descubra todas as senhas digitadas pelo usu ario; formate o disco r gido do computador, etc.

2.5

Um cavalo de tr oia pode instalar programas sem o conhecimento do usu ario?

Sim. Normalmente o cavalo de tr oia procura instalar, sem que o usu ario perceba, programas que realizam uma s erie de atividades maliciosas.

2.6

poss E vel saber se um cavalo de tr oia instalou algo em um computador?

o de um bom programa antiv A utilizac a rus (desde que seja atualizado freq uentemente) normal mente possibilita a detecc ao de programas instalados pelos cavalos de tr oia.

Cartilha de Seguranc a para Internet c 2006 CERT.br

8/18

Parte VIII: Codigos Maliciosos (Malware)

importante lembrar que nem sempre o antiv E rus ser a capaz de detectar ou remover os programas deixados por um cavalo de tr oia, principalmente se estes programas forem mais recentes que as assinaturas do seu antiv rus.

2.7

Existe alguma maneira de proteger um computador dos cavalos de tr oia?

o de cavalos de tr `s Sim. As principais medidas preventivas contra a instalac a oia s ao semelhantes a o por v o 1.7. medidas contra a infecc a rus e est ao listadas na sec a utilizar um rewall pessoal. Alguns rewalls podem bloquear o Uma outra medida preventiva e recebimento de cavalos de tr oia, como descrito na Parte II: Riscos Envolvidos no Uso da Internet e o. M etodos de Prevenc a

Adware e Spyware

um tipo de software especicamente projetado para apresentar Adware (Advertising software) e propagandas, seja atrav es de um browser, seja atrav es de algum outro programa instalado em um computador. Em muitos casos, os adwares t em sido incorporados a softwares e servic os, constituindo uma forma leg tima de patroc nio ou retorno nanceiro para aqueles que desenvolvem software livre ou prestam servic os gratuitos. Um exemplo do uso leg timo de adwares pode ser observado no programa de troca instant anea de mensagens MSN Messenger. o termo utilizado para se referir a uma grande categoria de software que Spyware, por sua vez, e es coletadas para terceiros. tem o objetivo de monitorar atividades de um sistema e enviar as informac o Existem adwares que tamb em s ao considerados um tipo de spyware, pois s ao projetados para o na Internet, direcionando as propagandas que monitorar os h abitos do usu ario durante a navegac a ser ao apresentadas. Os spywares, assim como os adwares, podem ser utilizados de forma leg tima, mas, na maioria das vezes, s ao utilizados de forma dissimulada, n ao autorizada e maliciosa. o com o uso Seguem algumas funcionalidades implementadas em spywares, que podem ter relac a leg timo ou malicioso: monitoramento de URLs acessadas enquanto o usu ario navega na Internet; o da p alterac a agina inicial apresentada no browser do usu ario; varredura dos arquivos armazenados no disco r gido do computador; es inseridas em outros programas, como IRC ou proces monitoramento e captura de informac o sadores de texto; o de outros programas spyware; instalac a monitoramento de teclas digitadas pelo usu ario ou regi oes da tela pr oximas ao clique do mouse o 5); (vide sec a
Cartilha de Seguranc a para Internet c 2006 CERT.br 9/18

Parte VIII: Codigos Maliciosos (Malware)

captura de senhas banc arias e n umeros de cart oes de cr edito; captura de outras senhas usadas em sites de com ercio eletr onico. importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade E es realizadas pelo do usu ario e, pior, a seguranc a do computador do usu ario, dependendo das ac o es s spyware no computador e de quais informac o ao monitoradas e enviadas para terceiros. o 3.1 apresenta alguns exemplos de spywares usados de modo leg A sec a timo e de spywares maliciosos.

3.1

Que exemplos podem ser citados sobre programas spyware?

o de programas spyware de modo leg Alguns exemplos de utilizac a timo s ao: uma empresa pode utilizar programas spyware para monitorar os h abitos de seus funcion arios, desde que tal monitoramento esteja previsto em contrato ou nos termos de uso dos recursos computacionais da empresa; um usu ario pode instalar um programa spyware para vericar se outras pessoas est ao utilizando o seu computador de modo abusivo ou n ao autorizado. Na maioria das vezes, programas spyware s ao utilizados de forma dissimulada e/ou maliciosa. Seguem alguns exemplos: existem programas cavalo de tr oia que instalam um spyware, al em de um keylogger ou screenlogger. O spyware instalado monitora todos os acessos a sites enquanto o usu ario navega na Internet. Sempre que o usu ario acessa determinados sites de bancos ou de com ercio eletr onico, ativado para a captura de senhas banc o keylogger ou screenlogger e arias ou n umeros de cart oes de cr edito; alguns adwares incluem componentes spyware para monitorar o acesso a p aginas Web durante a o na Internet e, ent navegac a ao, direcionar as propagandas que ser ao apresentadas para o usu ario. o do adware n Muitas vezes, a licenc a de instalac a ao diz claramente ou omite que tal monito es ser ramento ser a feito e quais informac o ao enviadas para o autor do adware, caracterizando assim o uso dissimulado ou n ao autorizado de um componente spyware. o 3.2 apresenta algumas formas de se prevenir a instalac o de programas spyware em um A sec a a computador.

3.2

poss E vel proteger um computador de programas spyware?

Existem ferramentas espec cas, conhecidas como anti-spyware, capazes de detectar e remover uma grande quantidade de programas spyware. Algumas destas ferramentas s ao gratuitas para uso pessoal e podem ser obtidas pela Internet (antes de obter um programa anti-spyware pela Internet, con verique sua proced encia e certique-se que o fabricante e avel).
Cartilha de Seguranc a para Internet c 2006 CERT.br 10/18

Parte VIII: Codigos Maliciosos (Malware)

o de uma ferramenta anti-spyware, as medidas preventivas contra a infecc o por Al em da utilizac a a o 1.7) s v rus (vide sec a ao fortemente recomendadas. utilizar um rewall pessoal4 , pois alguns rewalls podem bloquear Uma outra medida preventiva e o recebimento de programas spyware. Al em disso, se bem congurado, o rewall pode bloquear o es coletadas por estes programas para terceiros, de forma a amenizar o impacto da envio de informac o o de um programa spyware em um computador. poss vel instalac a

Backdoors

Normalmente um atacante procura garantir uma forma de retornar a um computador comprome o da invas tido, sem precisar recorrer aos m etodos utilizados na realizac a ao. Na maioria dos casos, intenc o do atacante poder retornar ao computador comprometido sem ser notado. tamb em e a A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando servic os criados ou modicados para este m, d a-se o nome de backdoor.

4.1

feita a inclus Como e ao de um backdoor em um computador?

o de um novo servic A forma usual de inclus ao de um backdoor consiste na disponibilizac a o ou o de um determinado servic substituic a o por uma vers ao alterada, normalmente possuindo recursos que permitam acesso remoto (atrav es da Internet). Pode ser inclu do por um invasor ou atrav es de um cavalo de tr oia. a instalac o de pacotes de software, tais como o BackOrice e NetBus, da Uma outra forma e a o remota. Se mal congurados ou utilizados sem o plataforma Windows, utilizados para administrac a consentimento do usu ario, podem ser classicados como backdoors.

4.2

A exist encia de um backdoor depende necessariamente de uma invas ao?

N ao. Alguns dos casos onde a exist encia de um backdoor n ao est a associada a uma invas ao s ao: o atrav o 2). instalac a es de um cavalo de tr oia (vide sec a ncia da instalac o e m o de um programa de administrac o inclus ao como conseq ue a a congurac a a remota; Alguns fabricantes incluem/inclu am backdoors em seus produtos (softwares, sistemas operacio importante ressaltar que estes casos constituem uma nais), alegando necessidades administrativas. E ` seguranc s eria ameac a a a de um computador que contenha um destes produtos instalados, mesmo que backdoors sejam inclu dos por fabricantes conhecidos.
4 Mais

es podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e M o. informac o etodos de Prevenc a

Cartilha de Seguranc a para Internet c 2006 CERT.br

11/18

Parte VIII: Codigos Maliciosos (Malware)

4.3

Backdoors s ao restritos a um sistema operacional espec co?

N ao. Backdoors podem ser inclu dos em computadores executando diversos sistemas operacionais, tais como Windows (por exemplo, 95/98, NT, 2000, XP), Unix (por exemplo, Linux, Solaris, FreeBSD, OpenBSD, AIX), Mac OS, entre outros.

4.4

Existe alguma maneira de proteger um computador de backdoors?

Embora os programas antiv rus n ao sejam capazes de descobrir backdoors em um computador, as o por v o 1.7) s medidas preventivas contra a infecc a rus (sec a ao v alidas para se evitar algumas formas o de backdoors. de instalac a que voc A id eia e e n ao execute programas de proced encia duvidosa ou desconhecida, sejam eles o de tais programas pode resultar na recebidos por e-mail, sejam obtidos na Internet. A execuc a o de um backdoor. instalac a o remota, certique-se de que ele esteja bem Caso voc e utilize algum programa de administrac a congurado, de modo a evitar que seja utilizado como um backdoor. o de um rewall pessoal5 . Apesar de n Uma outra medida preventiva consiste na utilizac a ao eli teis para amenizar o problema, pois podem minarem os backdoors, se bem congurados, podem ser u barrar as conex oes entre os invasores e os backdoors instalados em um computador. importante visitar constantemente os sites dos fabricantes de softwares e vericar a Tamb em e exist encia de novas vers oes ou patches para o sistema operacional ou softwares instalados em seu computador. o de uma nova vers ` desExistem casos onde a disponibilizac a ao ou de um patch est a associada a coberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um computador, de maneira similar ao acesso aos backdoors.

Keyloggers

um programa capaz de capturar e armazenar as teclas digitadas pelo usu Keylogger e ario no teclado de um computador.

5.1

es um keylogger pode obter se for instalado em um compuQue informac o tador?

es Um keylogger pode capturar e armazenar as teclas digitadas pelo usu ario. Dentre as informac o o de Imposto de Renda e capturadas podem estar o texto de um e-mail, dados digitados na declarac a es sens outras informac o veis, como senhas banc arias e n umeros de cart oes de cr edito. o do keylogger e condicionada a uma ac o pr Em muitos casos, a ativac a a evia do usu ario, como por exemplo, ap os o acesso a um site espec co de com ercio eletr onico ou Internet Banking. Normal5 Mais

es podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e M o. informac o etodos de Prevenc a

Cartilha de Seguranc a para Internet c 2006 CERT.br

12/18

Parte VIII: Codigos Maliciosos (Malware)

es capturadas mente, o keylogger cont em mecanismos que permitem o envio autom atico das informac o para terceiros (por exemplo, atrav es de e-mails).

5.2

es nanceiras utilizam teclados virtuais. Neste Diversos sites de instituic o caso eu estou protegido dos keyloggers?

es nanceiras desenvolveram os teclados virtuais para evitar que os keyloggers pudesAs instituic o es sens sem capturar informac o veis de usu arios. Ent ao, foram desenvolvidas formas mais avanc adas de keyloggers, tamb em conhecidas como screenloggers, capazes de: o do cursor e a tela apresentada no monitor, nos momentos em que o mouse armazenar a posic a clicado, ou e o onde o mouse e clicado. armazenar a regi ao que circunda a posic a es um atacante pode, por exemplo, descobrir a senha de acesso ao De posse destas informac o banco utilizada por um usu ario.

5.3

feita a inclus Como e ao de um keylogger em um computador?

o 3) ou cavalo Normalmente, o keylogger vem como parte de um programa spyware (veja a sec a o 2). Desta forma, e necess de tr oia (veja a sec a ario que este programa seja executado para que o keylogger se instale em um computador. Geralmente, tais programas v em anexados a e-mails ou est ao dispon veis em sites na Internet. Lembre-se que existem programas leitores de e-mails que podem estar congurados para executar ` s mensagens. Neste caso, o simples fato de ler uma mensagem automaticamente arquivos anexados a suciente para que qualquer arquivo anexado seja executado. e

5.4

Como posso proteger um computador dos keyloggers?

o de um keylogger, as medidas s ` quelas discutidas nas sec es Para se evitar a instalac a ao similares a o de v rus (1.7), cavalo de tr oia (2.7), worm (6.3), bots (7.5) e na Parte IV: Fraudes na Internet.

Worms

um programa capaz de se propagar automaticamente atrav Worm e es de redes, enviando c opias de si mesmo de computador para computador. Diferente do v rus, o worm n ao embute c opias de si mesmo em outros programas ou arquivos o se d e n ao necessita ser explicitamente executado para se propagar. Sua propagac a a atrav es da o de vulnerabilidades existentes ou falhas na congurac o de softwares instalados em comexplorac a a putadores.

Cartilha de Seguranc a para Internet c 2006 CERT.br

13/18

Parte VIII: Codigos Maliciosos (Malware)

6.1

Como um worm pode afetar um computador?

ncia os mesmos danos gerados por um v Geralmente o worm n ao tem como conseq ue rus, como o de programas e arquivos ou a destruic o de informac es. Isto n por exemplo a infecc a a o ao quer dizer ` seguranc que n ao represente uma ameac a a a de um computador, ou que n ao cause qualquer tipo de dano. Worms s ao notadamente respons aveis por consumir muitos recursos. Degradam sensivelmente ` grande quantidade o desempenho de redes e podem lotar o disco r gido de computadores, devido a de c opias de si mesmo que costumam propagar. Al em disso, podem gerar grandes transtornos para aqueles que est ao recebendo tais c opias.

6.2

Como posso saber se meu computador est a sendo utilizado para propagar um worm?

uma tarefa f Detectar a presenc a de um worm em um computador n ao e acil. Muitas vezes os o, sem que o usu worms realizam uma s erie de atividades, incluindo sua propagac a ario tenha conhecimento. Embora alguns programas antiv rus permitam detectar a presenc a de worms e at e mesmo evitar poss que eles se propaguem, isto nem sempre e vel. evitar que seu computador seja utilizado para propag o 6.3). Portanto, o melhor e a-los (vide sec a

6.3

Como posso proteger um computador de worms?

o de Al em de utilizar um bom antiv rus, que permita detectar e at e mesmo evitar a propagac a importante que o sistema operacional e os softwares instalados em seu computador n um worm, e ao possuam vulnerabilidades. Normalmente um worm procura explorar alguma vulnerabilidade dispon vel em um computador, para que possa se propagar. Portanto, as medidas preventivas mais importantes s ao aquelas que procuram evitar a exist encia de vulnerabilidades, como discutido na Parte II: Riscos Envolvidos no Uso o. da Internet e M etodos de Prevenc a ter instalado em seu computador um rewall pessoal6 . Se bem Uma outra medida preventiva e congurado, o rewall pessoal pode evitar que um worm explore uma poss vel vulnerabilidade em algum servic o dispon vel em seu computador ou, em alguns casos, mesmo que o worm j a esteja instalado em seu computador, pode evitar que explore vulnerabilidades em outros computadores.

Bots e Botnets

o 6), o bot e um programa capaz se propagar automaticamente, De modo similar ao worm (sec a o de softwares instalados em um comexplorando vulnerabilidades existentes ou falhas na congurac a o com o invasor, permitindo putador. Adicionalmente ao worm, disp oe de mecanismos de comunicac a que o bot seja controlado remotamente.
6 Mais

es podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e M o. informac o etodos de Prevenc a

Cartilha de Seguranc a para Internet c 2006 CERT.br

14/18

Parte VIII: Codigos Maliciosos (Malware)

7.1

Como o invasor se comunica com o bot?

Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal es do invasor, monitorando as mensagens que (sala) determinado. Ent ao, ele aguarda por instruc o est ao sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no ncias especiais de caracteres, que s mesmo canal, envia mensagens compostas por seq ue ao interpre ncias de caracteres correspondem a instruc es que devem ser executadas tadas pelo bot. Estas seq ue o pelo bot.

7.2

O que o invasor pode fazer quando estiver no controle de um bot?

es para que ele realize diversas Um invasor, ao se comunicar com um bot, pode enviar instruc o atividades, tais como: desferir ataques na Internet; o de servic executar um ataque de negac a o (detalhes na Parte I: Conceitos de Seguranc a); furtar dados do computador onde est a sendo executado, como por exemplo n umeros de cart oes de cr edito; enviar e-mails de phishing (detalhes na Parte IV: Fraudes na Internet); enviar spam.

7.3

O que s ao botnets?

Botnets s ao redes formadas por computadores infectados com bots. Estas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utiliz a-la para aumentar a pot encia de seus ataques, por exemplo, para enviar centenas de milha o de servic res de e-mails de phishing ou spam, desferir ataques de negac a o, etc.

7.4

Como posso saber se um bot foi instalado em um computador?

uma tarefa simples. Normalmente, o bot Identicar a presenc a de um bot em um computador n ao e projetado para realizar as instruc es passadas pelo invasor sem que o usu e o ario tenha conhecimento. Embora alguns programas antiv rus permitam detectar a presenc a de bots, isto nem sempre e procurar evitar que um bot seja instalado em seu computador (vide poss vel. Portanto, o melhor e o 7.5). sec a

7.5

Como posso proteger um computador dos bots?

capaz de se propagar automaticamente, atrav Da mesma forma que o worm, o bot e es da ex o de vulnerabilidades existentes ou falhas na congurac o de softwares instalados em um plorac a a computador.
Cartilha de Seguranc a para Internet c 2006 CERT.br 15/18

Parte VIII: Codigos Maliciosos (Malware)

manter o sistema operacional e os softwares Portanto, a melhor forma de se proteger dos bots e es de seguranc instalados em seu computador sempre atualizados e com todas as correc o a (patches) dispon veis aplicadas, para evitar que possuam vulnerabilidades. o de um bom antiv importante, pois A utilizac a rus, mantendo-o sempre atualizado, tamb em e o de um bot. Vale lembrar que o em muitos casos permite detectar e at e mesmo evitar a propagac a antiv rus s o ser a capaz de detectar bots conhecidos. Outra medida preventiva consiste em utilizar um rewall pessoal7 . Normalmente, os rewalls teis para amenizar o problema, pessoais n ao eliminam os bots, mas, se bem congurados, podem ser u o entre o invasor e o bot instalado em um computador. pois podem barrar a comunicac a o e instalac o de bots em um computador, como por Podem existir outras formas de propagac a a o de arquivos anexados a e-mails. Portanto, as medidas apresentadas exemplo, atrav es da execuc a o tamb na Parte II: Riscos Envolvidos no Uso da Internet e M etodos de Prevenc a em s ao fortemente recomendadas.

Rootkits

Um invasor, ao realizar uma invas ao, pode utilizar mecanismos para esconder e assegurar a sua presenc a no computador comprometido. O conjunto de programas que fornece estes mecanismos e conhecido como rootkit. muito importante car claro que o nome rootkit n E ao indica que as ferramentas que o comp oem s ao usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mant e-lo. Isto signica que o invasor, ap os instalar o rootkit, ter a acesso privilegiado ao computador o da previamente comprometido, sem precisar recorrer novamente aos m etodos utilizados na realizac a invas ao, e suas atividades ser ao escondidas do respons avel e/ou dos usu arios do computador.

8.1

Que funcionalidades um rootkit pode conter?

Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem ser citados: es deixadas pelo invasor (normalmente presen programas para esconder atividades e informac o tes em todos os rootkits), tais como arquivos, diret orios, processos, conex oes de rede, etc; o 4), para assegurar o acesso futuro do invasor ao computador comprome backdoors (vide sec a tido (presentes na maioria dos rootkits); o de evid programas para remoc a encias em arquivos de logs; es na rede onde o computador est o a localizado, como por exem sniffers8 , para capturar informac plo senhas que estejam trafegando em claro, ou seja, sem qualquer m etodo de criptograa; scanners9 , para mapear potenciais vulnerabilidades em outros computadores;
7 Mais 8A

es podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e M o. informac o etodos de Prevenc a o de sniffer pode ser encontrada no Gloss denic a ario. 9 A denic o de scanner pode ser encontrada no Gloss a ario.

Cartilha de Seguranc a para Internet c 2006 CERT.br

16/18

Parte VIII: Codigos Maliciosos (Malware)

o outros tipos de malware, como cavalos de tr oia, keyloggers, ferramentas de ataque de negac a de servic o, etc.

8.2

Como posso saber se um rootkit foi instalado em um computador?

Existem programas capazes de detectar a presenc a de um grande n umero de rootkits, mas isto n ao quer dizer que s ao capazes de detectar todos os dispon veis (principalmente os mais recentes). Alguns destes programas s ao gratuitos e podem ser obtidos pela Internet (antes de obter um programa o de rootkits pela Internet, verique sua proced para a detecc a encia e certique-se que o fabricante e con avel). Como os rootkits s ao projetados para carem ocultos, ou seja, n ao serem detectados pelo reso e , na maioria das vezes, uma tarefa pons avel ou pelos usu arios de um computador, sua identicac a procurar evitar que um rootkit seja instalado em seu computador bem dif cil. Deste modo, o melhor e o 8.3). (vide sec a

8.3

Como posso proteger um computador dos rootkits?

o de rootkits, a melhor forma de se Apesar de existirem programas espec cos para a detecc a manter o sistema operacional e os softwares instalados em seu computador sempre atualiproteger e es de seguranc zados e com todas as correc o a (patches) dispon veis aplicadas, para evitar que possuam vulnerabilidades. Desta forma, voc e pode evitar que um atacante consiga invadir seu computador, atrav es da explo rac ao de alguma vulnerabilidade, e instalar um rootkit ap os o comprometimento.

Cartilha de Seguranc a para Internet c 2006 CERT.br

17/18

Parte VIII: Codigos Maliciosos (Malware)

Como Obter este Documento


periodicamente Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e atualizado, certique-se de ter sempre a vers ao mais recente. Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, entre em contato atrav es do enderec o doc@cert.br.

Licenc a de Uso da Cartilha


Copyright c 20002006 CERT.br. Ele pode ser livremente distribu Este documento e do desde es: que sejam respeitadas as seguintes condic o permitido fazer e distribuir gratuitamente c 1. E opias impressas inalteradas deste documento, es de como obt acompanhado desta Licenc a de Uso e de instruc o e-lo atrav es da Internet. permitido fazer links para a p 2. E agina http://cartilha.cert.br/, ou para p aginas dentro deste site que contenham partes espec cas da Cartilha. o do documento, completo ou em partes, como parte de site ou de outro tipo de 3. Para reproduc a material, deve ser assinado um Termo de Licenc a de Uso, e a autoria deve ser citada da seguinte forma: Texto extra do da Cartilha de Seguranc a para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/. vedada a exibic o ou a distribuic o total ou parcial de vers 4. E a a oes modicadas deste docu o de material derivado sem expressa autorizac o do CERT.br, bem como a mento, a produc a a o no todo ou em parte de c comercializac a opias do referido documento. es sobre o Termo de Licenc Informac o a de Uso podem ser solicitadas para doc@cert.br. Embora o deste documento, o CERT.br n todos os cuidados tenham sido tomados na preparac a ao garante a o absoluta das informac es nele contidas, nem se responsabiliza por eventuais conseq ncias correc a o ue que possam advir do seu uso.

Agradecimentos
o deste documento, enviando coO CERT.br agradece a todos que contribu ram para a elaborac a ment arios, cr ticas, sugest oes ou revis oes.

Cartilha de Seguranc a para Internet c 2006 CERT.br

18/18

Potrebbero piacerti anche