G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Visão geral

Quando se fala de vírus, worms e cavalos de tróia, um aspecto geral danoso de softwares está vinculado. O termo genérico Malware (de malicioso = malvado e software) estabeleceu-se, inclusive, na língua portuguesa. Sob o termo Malware, são agrupados programas que, com má intenção, tornam acessíveis a não autorizados, alteram ou apagam dados eletrônicos. O Malware tem sempre uma atividade maliciosa (em inglês Payload) e causa diferentes efeitos. Essas atividades vão desde uma comunicação inofensiva sobre a própria existência, passando pela espionagem de dados pessoais e chegando até a apagar o disco rígido. O Malware pode ser subdividido em três grupos: cavalos de tróia, worms e vírus. O Spyware e o discador O190 fazem parte dos cavalos de tróia. Em um sentido mais amplo, também fazem parte os Hoaxes

Cavalos de tróia

Cavalos de Troia se diferenciam dos Worms e Vírus pelo fato de não serem auto-reproduzíveis. O nome cavalo de tróia é emprestado do modelo histórico e descreve um programa que simula para o usuário ter uma determinada e desejada função. Além disso, cavalos de tróia contêm ainda uma parte de programa oculta, que abre ao mesmo tempo uma porta traseira do computador infectado, permitindo acesso quase total ao sistema sem que o usuário o perceba.
Devido a essas características, os métodos que os cavalos de troia têm para se esconder são quase ilimitados. Eles podem se esconder em linhas de comando para administradores de sistema UNIX, como "senhas, ps, netstat" (simples rootkits) ou como "Trojans de acesso remoto" (os chamados RATs, também conhecido como Backdoor). Esses programas traiçoeiros são enviados por e-mail também como protetores de tela ou jogos. Basta iniciar uma única vez para que a praga infecte o sistema.

Semelhanças entre vírus e worms

Vírus e worms são compostos pelas seguintes partes:
Parte de reprodução Com essa parte do programa é realizada a multiplicação do vírus. Essa parte é obrigatória para todos os vírus e worms. A infecção pode ocorrer através de disquetes (e outras mídias de dados removíveis), pastas liberadas, verificações de rede, redes Peer-to-Peer ou por e-mails e mensagens instantâneas. Para isso, as pragas utilizam diversos pontos de ataque que funcionam parcialmente, apenas com determinadas combinações de hardware, software e sistemas operacionais. Parte de reconhecimento Na parte de reconhecimento é verificado se já existe uma infecção com esse vírus. Cada programa host é infectado apenas uma vez para acelerar a propagação e manter o disfarce. Parte maliciosa A função danosa (em inglês Payload), que pode entrar com vírus e worms pode ser organizada nos seguintes grupos:

Com programas de backdoor, o hacker consegue acesso ao computador e aos dados e pode manipulá-los ou iniciar ataques de negação de serviço. Manipulações de dados podem ser realizadas. Isso abrange desde mensagens (mais ou menos engraçadas), exibições e sons até a eliminação de arquivos e unidades. O acesso aos dados podem ser impedidos, por exemplo, através da criptografia. Informações podem ser espiadas e enviadas. O alvo desses ataques são senhas, números de cartão de crédito, nomes de login, outros dados pessoais e dados sigilosos de empresas. Frequentemente os computadores contaminados são utilizados indevidamente para ataques de Negação de serviço (DoS). Os ataques DoS visam sobrecarregar um serviço ou uma página da Web através de solicitações em excesso. Quando os ataques se originam de apenas uma fonte, pode ser facilmente combatido. Nos ataques de Distributed Denial of Service (DDoS) (negação de serviço distribuída), computadores infectados são utilizados indevidamente como apoio. Ataques DoS e DDoS podem visar a queda do sistema de destino, sobrecarregar a largura de banda e a capacidade de armazenamento ou tornar o serviço não localizável na rede.

No entanto, também é possível que uma parte danosa explícita não exista. Porém, o tempo de computação desperdiçado, a largura de banda da rede e a ampliação do espaço de armazenamento representam mesmo assim um Payload. Parte condicional
Tanto a propagação com a função maliciosa podem ser programadas dependentes de condições.

No caso mais fácil, o código malicioso inicia automaticamente sem que a vítima perceba.
Em alguns casos, o Payload (atividade maliciosa) da vítima tem de ser iniciado pela própria. As causas podem ser a abertura de um programa contaminado, de um anexo de e-mail ou o phishing de dados pessoais.
A inicialização do código malicioso pode ser também vinculada à condições. Por exemplo, em alguns vírus, o dano ocorre em uma data específica ou em uma determinada quantidade de solicitações. A execução também pode depender da existência de determinados programas no computador.

Parte furtiva

Worms, cavalos de troia e vírus tentam se proteger da detecção do usuário ou verificadores de vírus. Para isso, utilizam uma série de mecanismos.

Eles reconhecem, por exemplo, quando depuradores estão sendo executados ou se protegem através de linhas de código desnecessárias e confusas (assembler).
Eles ocultam os rastros de uma infecção. Para que essa atividade possa ser executada, a mensagem de status ou de registros de log é falsificada. Por exemplo, um vírus residente na memória pode enganar o sistema, informando que a memória que ocupa ainda é a mesma que a do programa removido anteriormente. Este procedimento é conhecido principalmente pelos Rootkits. Para fugir da detecção, alguns vírus criptografam a si próprios e/ou seu código de dano. Na decodificação podem ser utilizadas sempre as mesmas chaves que podem ser obtidas em uma lista (oligomórfico) ou podem ser recriadas ilimitadamente (polimórfico).
Com os pacotes por tempo de execução, os arquivos executáveis são reestruturados de tal forma que somente podem ser reconhecidos através de novas assinaturas de vírus.


Worms

Um worm não se anexa em um arquivo executável ao contrário de um vírus. Ele se propaga sendo transmitido para outros PCs através de redes ou conexões de computadores.

Worms de rede

Em redes, são rastreados de computadores escolhidos ao acaso, algumas portas e quando uma ataque é possível, são aproveitadas as falhas de segurança em protocolos (por exemplo, IIS) ou suas implementações, para a propagação. "Lovsan/Blaser" e "CodeRed" são conhecidos representantes dessa categoria.
O Sasser utiliza uma estouro de buffer no Local Security Authority Subsystem Service (serviço de subsistema de autoridade de segurança local) (LSASS) e contamina computadores durante uma conexão com a Internet.

Worms de e-mail

Na propagação por e-mail, um worm pode utilizar programas de e-mail existentes (por exemplo, Outlook, Outlook Express) ou trazer um mecanismo de e-mail SMTP próprio. Independentemente do tráfego de rede resultante e do aumento dos recursos do sistema, os worms podem conter ainda outras atividades maliciosas. Membros proeminentes desse grupo são o Beagle e o Sober.

Worms Peer-to-Peer

Worms P2P copiam-se  nos programas de compartilhamento Peer-to-Peer  como "Emule", "Kazaa" e etc.  Onde esperam pela vítima, com nomes atraentes de softwares atuais ou pessoas de destaque.

Worms de Mensagens instantâneas

Worms de IM utilizam programas de chats para se propagar. Para isso, não utilizam somente as funções para transferência de arquivo. Cada vez mais, eles enviam um link para uma página da Web mal-intencionada. Alguns Worms de IM são até mesmo capazes de conversar com as vítimas.

Vírus

Os vírus também visam a sua própria reprodução e propagação em outros computadores. Para isso, se anexam em outros arquivos ou se aninham em setores de inicialização de mídias de dados. Sem que se perceba, são frequentemente infiltrados no PC por mídias de dados removíveis (como por exemplo, disquetes), através da rede (também Peer-to-Peer), por e-mail ou pela Internet.

Vírus podem se fixar em diversos locais diferentes no sistema operacional e funcionar em canais distintos. Diferencia-se os seguintes grupos:

Vírus de setor de inicialização

Vírus de setor de inicialização ou MBR (vírus de Master Boot Record) se colocam antes do próprio setor de inicialização de uma mídia de dados e fazem com que, em um processo de inicialização através dessa mídia, seja lido primeiro o código do vírus e depois o setor de inicialização original. Dessa forma, o vírus pode se aninhar despercebidamente no sistema e a partir daí ser executado junto com o disco rígido no boot do sistema operacional. Muitas vezes, o código do vírus permanece na memória após a infecção. Esses vírus são chamados de residentes da memória. Na formatação de disquetes, o vírus é então repassado e pode se propagar dessa forma para outros computadores. Mas não é somente em processos de formatação que o vírus de setor de inicialização pode ser ativado. Através do comando DOS DIR, a transmissão do vírus também pode ser ativada a partir de um disquete infectado. Dependendo da rotina maliciosa, os vírus de setor de inicialização podem ser altamente perigosos ou apenas incômodos. O vírus mais antigo e disseminado desse tipo é chamado de 'Form'.

Vírus de arquivo

Muitos vírus utilizam a possibilidade de se esconder em arquivos executáveis. Para isso, o arquivo host pode ser apagado/sobrescrito ou o vírus se anexa ao arquivo. Em último caso, o código executável do arquivo permanece funcional. Quando o arquivo executável é chamado, primeiro é executado o código de vírus, escrito geralmente em Assembler e, em seguida, o programa original é inicializado (contanto que não tenha sido apagado).

Vírus multipartite

Esse grupo de vírus é especialmente perigoso, porque os seus representantes infectam tanto o setor de inicialização (tabelas de partição), como os arquivos executáveis.

Vírus acompanhante

Sob o DOS são executados os arquivos COM antes de arquivos de mesmo nome EXE. Nos tempos em que os computadores eram operados apenas ou frequentemente por comandos de linhas de comando, esse era um mecanismo eficaz para executar, de forma despercebida, códigos maliciosos em um computador.

Macrovírus

Os macrovírus se anexam também em arquivos. Esses não são autoexecutáveis. Os macrovírus também não são escritos em Assembler, mas em uma linguagem macro como o Visual Basic. Para executar os vírus, é necessário um intérprete para uma linguagem macro, como as integradas em Word, Excel, Access e PowerPoint. Se não houver esses intérpretes, podem funcionar nos macrovírus os mesmos mecanismos que nos vírus de arquivo. Eles também podem se disfarçar, contaminar adicionalmente o setor de inicialização ou criar vírus acompanhante.

Vírus Stealth e Rootkits

Vírus stealth ou furtivos possuem mecanismos de proteção especiais para escapar da detecção por programas de verificação de vírus. Para isso, assumem o controle sobre diversas funções do sistema. Se essa condição for estabelecida, esses vírus não podem mais ser identificados em um acesso normal aos arquivos ou áreas do sistema. Eles enganam o programa de verificação de vírus em um estado não infectado de um arquivo antes infectado ou fazem com que o arquivo seja invisível para o programa de verificação de vírus. Os mecanismos de disfarce de vírus furtivo funcionam somente após o vírus estar residindo na memória

Vírus polimórficos

Vírus polimórficos contém mecanismos para alterar sua aparência em cada infecção. Para isso, são codificadas partes do vírus. A rotina de codificação integrada gera uma nova chave para cada cópia e, em parte, até novas rotinas de codificação. Além disso, sequências de comandos não necessárias para o funcionamento do vírus podem ser trocadas ou dispersadas casualmente. Dessa forma, milhares de variantes podem resultar facilmente de um vírus. Para reconhecer e remover de forma segura os vírus polimórficos e criptografados, a utilização de assinaturas de vírus clássicas não é suficiente. Normalmente, é necessário que programas especiais sejam escritos. O trabalho para a análise e disponibilização do antídoto adequado pode ser extremamente elevado. Assim, os vírus polimórficos podem ser descritos, sem exagero, como a classe Real dos vírus.

Vírus intencionado

Vírus intencionado é um vírus defeituoso que conclui uma primeira infecção no arquivo, mas que não pode se reproduzir a partir desse.

Vírus de e-mail

Vírus de e-mail pertencem ao grupo dos chamados 'Blended threats' (= ameaças mistas). Esses Malwares combinam as propriedades de cavalos de troia, worms e vírus. No contexto do Bubbleboy foi descoberto que é possível infiltrar um vírus no PC, já na visualização prévia de um e-mail em HTML. O código de vírus perigoso se esconde nos e-mails em HTML e aproveita uma falha de segurança do Microsoft Internet Explorer. O perigo desses "Vírus combinados" não deve ser subestimado.

Cavalos de troia

Cavalos de troia Cavalos de troia (TP) não têm rotinas de propagação. Eles são enviados por e-mail ou ficam à espreita em bolsas de trocas ou em sites da web. A sua classificação é feita através da função maliciosa.

Backdoors

Os Backdoors abrem uma porta traseira para o computador infectado. Desta forma, o computador pode ser remotamente controlado por um agressor. Na maior parte das vezes, outros softwares são instalados e o computador é integrado em uma Botnet com outros PCs zombie. Mas existem possibilidades de uso legítimas. Muitos administradores de sistema utilizam programas de manutenção remota para administrar computadores a partir de seu local atual. Principalmente em grandes empresas, isso é bastante útil. Normalmente, o acesso do administrador do sistema ocorre com o conhecimento e consentimento do usuário do PC. Só quando as funções de backdoor são utilizadas sem o conhecimento do usuário do PC e ações maliciosas podem ser executadas, é quando um programa backdoor torna-se um Malware.

Adware

Adware determina as atividades e processos em um computador, como o comportamento na navegação. No caso de uma oportunidade, mensagens de propaganda são exibidas. Ou os resultados de consultas são manipulados.

Spyware

Com spywares, dados são furtados: senhas, documentos e dados, números de registro de softwares, endereços de e-mail e muito mais. Os dados são procurados em mídias de dados ou filtrados do tráfego da rede. Até mesmo as informações de formulários da web (principalmente em bancos online) são coletadas. Na pior das hipóteses, os agressores têm acesso a todas as contas de e-mail, fóruns, lojas online, utilizados pela vítima. Os criminosos da rede adoram usar este disfarce.

Downloader e Dropper

Muitos cavalos de troia têm uma tarefa específica. Os Downloaders e Droppers têm a tarefa de carregar ou copiar um arquivo para o computador infectado. Antes eles tentam frequentemente reduzir as configurações de segurança do sistema.

Discador

Os discadores são frequentemente instalados no computador sem serem percebidos. Assim que a conexão da rede dial-up é estabelecida através de um modem, um número de telefone de serviços caro será utilizado para a próxima conexão. Com a "Lei de combate ao abuso de números de serviço agregado" algumas exigências entraram em vigor a partir 15 de agosto de 2003 (limites de preço e registro). No entanto, os discadores ainda são uma praga incômoda que, entre outras coisas, podem causar elevados danos financeiros.

Malware em um sentido mais amplo

Para completar, devem ser aqui mencionadas outras categorias incômodas e parcialmente maliciosas, que não pertencem ao grupo do Malware.

Hoaxes

Hoaxes são advertências de vírus propagadas com frequência por e-mail. Os destinatários são solicitados a repassar a advertência por e-mail a amigos e conhecidos. Normalmente esses avisos tratam-se apenas de criadores de pânico. Mas...

Spam

Uma igualmente cara e incômoda praga é o envio de e-mails de propaganda indesejados ou e-mail de anúncios. Os programas anti-spam modernos combinam procedimentos estáticos (análise de textos e listas de servidores de e-mail) e estatísticas (baseadas no teorema de Bayes) para filtrar correio indesejado.

Phishing

Por Phishing entende-se a tentativa de obter dados pessoais como nome de login, senhas, números de cartão de crédito, dados de acesso a bancos e etc., através de páginas da web falsificadas ou por e-mails. Muitas vezes o usuário é direcionado à páginas falsas da Web. Nos últimos anos esse fenômeno cresceu bastante. Cavalos de troia especializados causam danos milionários. Para maiores informações sobre isso, acesse o endereço www.antiphishing.org (inglês).