quinta-feira, 5 de julho de 2007

Tipos de Malware

Vírus

Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção.

Cavalos de Tróia

Conta a mitologia grega que o "Cavalo de Tróia" foi uma grande estátua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tróia. A estátua do cavalo foi recheada com soldados que, durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Tróia. Daí surgiram os termos "Presente de Grego" e "Cavalo de Tróia".

Na informática, um cavalo de tróia (trojan horse) é um programa, normalmente recebido como um "presente" (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.

Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são:

  • instalação de keyloggers ou screenloggers;
  • furto de senhas e outras informações sensíveis, como números de cartões de crédito;
  • inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
  • alteração ou destruição de arquivos.

Adware e Spyware

Adware (Advertising software) é um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador.

Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. Um exemplo do uso legítimo de adwares pode ser observado no programa de troca instantânea de mensagens MSN Messenger.

Spyware, por sua vez, é o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.

Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas.

Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa.

Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

  • monitoramento de URLs acessadas enquanto o usuário navega na Internet;
  • alteração da página inicial apresentada no browser do usuário;
  • varredura dos arquivos armazenados no disco rígido do computador;
  • monitoramento e captura de informações inseridas em outros programas, como IRC ou processadores de texto;
  • instalação de outros programas spyware;
  • monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse;
  • captura de senhas bancárias e números de cartões de crédito;
  • captura de outras senhas usadas em sites de comércio eletrônico.
É importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade do usuário e, pior, a segurança do computador do usuário, dependendo das ações realizadas pelo spyware no computador e de quais informações são monitoradas e enviadas para terceiros.

Backdoors

Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, também é intenção do atacante poder retornar ao computador comprometido sem ser notado.

A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim, dá-se o nome de backdoor.

Keyloggers

Keylogger é um programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.

Um keylogger pode capturar e armazenar as teclas digitadas pelo usuário. Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados na declaração de Imposto de Renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito.

Em muitos casos, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo, após o acesso a um site específico de comércio eletrônico ou Internet Banking. Normalmente, o keylogger contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails).

As instituições financeiras desenvolveram os teclados virtuais para evitar que os keyloggers pudessem capturar informações sensíveis de usuários. Então, foram desenvolvidas formas mais avançadas de keyloggers, também conhecidas como screenloggers, capazes de:

  • armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou
  • armazenar a região que circunda a posição onde o mouse é clicado.

De posse destas informações um atacante pode, por exemplo, descobrir a senha de acesso ao banco utilizada por um usuário.

Worms

Worm é um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador.

Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.

Geralmente o worm não tem como conseqüência os mesmos danos gerados por um vírus, como por exemplo a infecção de programas e arquivos ou a destruição de informações. Isto não quer dizer que não represente uma ameaça à segurança de um computador, ou que não cause qualquer tipo de dano.

Worms são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. Além disso, podem gerar grandes transtornos para aqueles que estão recebendo tais cópias.

Bots e Botnets

De modo similar ao worm, o bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente.

Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo bot. Estas seqüências de caracteres correspondem a instruções que devem ser executadas pelo bot.

Rootkits

Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit.

É muito importante ficar claro que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo. Isto significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem ser citados:

  • programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;
  • backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits);
  • programas para remoção de evidências em arquivos de logs;
  • sniffers, para capturar informações na rede onde o computador está localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
  • scanners, para mapear potenciais vulnerabilidades em outros computadores;
  • outros tipos de malware, como cavalos de tróia, keyloggers, ferramentas de ataque de negação de serviço, etc.
Fonte: http://cartilha.cert.br/malware/

0 comentários:

by TemplatesForYou
SoSuechtig,Burajiru