G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Síntese

Quando se fala em vírus, vermes e cavalos de Tróia, faz-se referência no geral a um aspecto maligno do software. Como termo geral genérico para tal, também surgiu na Alemanha o termo malware (de malicioso_=maligno, prejudicial e software). Malware abrange programas que por maldade tornam dados electrónicos inacessíveis, alteráveis, elimináveis ou acessíveis por pessoas não autorizadas. O malware possui sempre uma função danosa (ingl. payload) e causa diferentes efeitos. Estes podem ir da cobertura relativamente inofensiva da própria disponibilidade através de espionagem de dados pessoais até ao apagar do disco rígido. O malware pode ser subdividido em 3 grupos de Cavalos de Tróia, vermes e vírus. O spyware e O190-Dialer é incluído nos cavalos de Tróia. Num sentido mais amplo também se incluem Hoaxes

Cavalos de Tróia

Os cavalos de Tróia  - muitas vezes designado também de foram errada como Trojan - distinguem-se dos vermes e vírus pelo facto de não se auto-reproduzirem. O nome cavalo de Tróia deve-se ao seu exemplo histórico e descreve um programa que permite ao utilizador possuir uma determinada e desejada função.. Para além disso, o cavalo de Tróia possui, no entanto, uma parte do programa oculta, que abre simultaneamente a porta das traseiras de acesso ao computador a atacar e assim permite acesso total ao sistema visado sem que o utilizador o note.
Os métodos dos cavalos de Tróia para se esconderem são ilimitados. Eles podem esconder-se em comandos de linhas para administradores de sistema UNIX  como passwd, ps, netstat   (Rootkits simples) ou como  Remote Access Trojans (chamados. RAT ou Backdoor).  Estes programas maliciosos são também disfarçados de fundos de ecrã ou jogos e enviados por email. É suficiente apenas um arranque para que a praga infecte o sistema.

Aspectos comuns entre vírus e vermes

Os vírus e vermes são constituídos pelas seguintes partes:

Com esta parte do programa é efectuada a multiplicação do vírus. Esta parte é obrigatória para todos os vírus e vermes. A infecção pode ocorrer através de disquetes (e outros portadores de dados trocáveis), ordenadores libertados, scan de rede, redes Peer-to-Peer ou email e Instant Messages. Para tal a praga aproveita-se de diferentes pontos de ataque que funcionem parcialmente apenas em determinadas combinações de hardware, software e sistemas operativos.
Na parte de detecção é verificado se já existe uma infecção com este vírus. Cada programa é infectado apenas uma vez para acelerar a propagação e obter a melhor camuflagem.
As funções malignas (ingl. Payload) que podem acompanhar os vírus e vermes podem ser ordenadas nos seguintes grupos:

Com programas backdoor o hacker consegue acesso ao computador e aos dados e assim pode manipular dados ou iniciar ataques Denial of Service.
Podem ser efectuadas manipulações de dados. Pode ir (mais ou menos engraçados) de avisos, anúncios ou ruídos ao apagar de ficheiros e unidades.
O acesso a dados pode ser travado p. ex. através de codificação.
Também podem ser espiadas e enviadas informações. Os alvos destes ataques são palavras-passe, números de cartões de crédito, nomes de login e outros dados pessoais e segredos de empresas.
Muitas vezes computadores contaminados por ataques Denial of Service (DoS) são violados. Os ataques DoS visam sobrecarregar um serviço ou uma página web com imensas consultas. Quando os ataques provêm apenas de uma fonte, tais ataques podem ser repelidos muito facilmente. Em ataques Distributed Denial of Service (DDoS) são violados computadores infectados para suportar os ataques. Os ataques DoS e DDoS podem visar o encerramento do sistema alvo, sobrecarregar a largura da banda e eficácia da memória ou impedir o serviço na rede.

Uma parte maligna explícita pode, no entanto, faltar. Mas o tempo de cálculo gasto, a largura de banda de rede necessária e o elevado espaço de memória representam um payload.
Tanto a propagação como também a função maligna pode ser programada dependendo de certas condições.

No caso mais simples, o código maligno inicia-se automaticamente sem que a vítima note algo.
em alguns casos o payload tem de ser iniciado pela própria vítima. Isto pode ser desde a chamada de um programa contaminado, a abertura de um anexo até ao Phishing de dados pessoais.
o arranque do código maligno também pode ser ligado a condições. P. ex. em alguns vírus se o dano aparece numa data determinada ou numa determinada quantidade de chamadas. A execução também pode depender do facto de determinados programas estarem disponíveis no computador.

Vermes, cavalos de Tróia e vírus procuram proteger-se da detecção dos utilizadores e vírus. Para tal utilizam uma série de mecanismos.

Eles reconhecem p. ex. se estão a ser executados Debugger ou protegem-se através de linhas de código supérfluas e confusas (Assembler code)
Eles escondem os vestígios de uma infecção. Para tal a emissão de, entre outros, avisos de estado ou registos log é escondida. P. ex. se um vírus residente pode tentar simular o facto da memória que ele ocupa tem origem ainda no programa removido anteriormente. Este procedimento é especialmente conhecido por Rootkits.
Para escapar à detecção alguns vírus codificam a si próprios e/ou aos seus códigos malignos. Nas descodificação podem ser utilizadas sempre os mesmos códigos, os códigos podem ser retirados de uma lista  (oligomorfa) ou os códigos podem ser recriados de forma ilimitada  (polimorfo).
Com  compressores de duração ficheiros executáveis são reestruturados para que possam ser reconhecidos apenas com novas assinaturas de vírus.


Vermes

Contrariamente a um vírus um verme não se cola a ficheiros executáveis. Ele propaga-se a outros computadores pela transferência através de redes ou ligações entre computadores.

Vermes de rede

Em redes são feitos scans algumas portas de computadores escolhidos ao acaso e se for possível um ataque, os pontos fracos de protocolos (p. ex. IIS) ou sua implementação é aproveitada para propagação. Representantes conhecidos deste tipo são  "Lovsan/Blaser" e "CodeRed".
Sasser aproveita um erro de Buffer-Overflow no Local Security Authority Subsystem Service (LSASS) e infecta o computador durante uma ligação à internet.

Vermes de email

Na propagação por email o verme pode utilizar um programa de email disponível (p. ex. Outlook, Outlook Express) ou trazer consigo um motor de correio SMTP próprio. Para além do tráfego de rede constituído e os elevados recursos do sistema os vermes podem ainda conter outras funções malignas, Membros proeminentes deste grupo são o Beagle e o Sober.

Vermes Peer-to-Peer

Vermes P2P copiam-se nas libertações de bolsas de intercâmbio Peer-to-Peer como Emule, Kazaa etc. Aí aguardam pelas vítimas com nomes de ficheiros sedutores de software actual ou pessoas proeminentes.

Vermes de Instant-Messaging

Vermes IM aproveitam programas de chat para se propagarem. Eles não aproveitam apenas as funções para transferência de dados, Cada vez mais frequentemente enviam um link para uma página maligna. Alguns vermes IM têm mesmo a capacidade de conversar com a vítima.

Vírus

Também os vírus visam a sua própria reprodução e propagação a outros computadores. Para tal colam-se a outros ficheiros ou no sector boot de portadores de dados. Muitas vezes infiltram-se no PC sem serem notados em portadores de dados cambiáveis (p. ex. disquetes), através de redes (também Peer-to-Peer), por email ou a partir da internet.

Os vírus podem agarra-se a muitos locais distintos do sistema operativo, e actuar através dos mais variados canais. Podemos distinguir os seguintes grupos:  

Virus do sector boot

Vírus do sector boot ou MBR (= Master Boot Record-Viren) colocam-se antes do verdadeiro sector boot de um portador de dados e fazem com que no processo de boot seja lido primeiro o código do vírus através desse portador de dados e depois o sector boot original. Deste modo o vírus pode infiltrar-se sem ser notado no sistema e a partir daí ser executado também ao efectuar boot do disco duro. Muitas vezes o código do vírus permanece na memória depois da infecção. A esses vírus chamamos residentes na memória. Ao formatar as disquetes o vírus é depois reencaminhado e assim também se pode propagar a outros computadores. Mas o vírus do sector boot pode ficar activo não só durante processos de formatação  Assim, com o comando DOS DIR a transferência do vírus de uma disquete infectada pode ser iniciada. De acordo com a rotina maligna os vírus do sector boot podem ser altamente perigosos ou ser simplesmente perturbadores, O vírus mais antigo e mais difundido deste tipo tem o nome  'Form'.

Vírus de ficheiros

Muitos vírus aproveitam a possibilidade de se esconderem em ficheiros executáveis. Para tal o ficheiro hóspede pode ser apagado ou sobre escrito ou o vírus cola-se ao ficheiro. No último caso o código executável do ficheiro continua funcional. Quando o ficheiro executável é chamado, é executado em primeiro lugar o código de vírus mais escrito no Assembler e depois é iniciado o programa original  (desde que não eliminado).

Vírus multipartite

Este grupo de vírus é especialmente perigoso pois os seus representantes infectam não só o sector boot  (ou tabelas de partição) mas também atacam ficheiros executáveis.

Vírus Companion

Em DOS são executados ficheiros COM antes de ficheiros EXE com o mesmo nome. Na altura em que os computadores eram utilizados apenas ou frequentemente através de comandos de linha este era um mecanismo eficaz para executar códigos malignos num computador.

Macro-vírus

Os macro vírus também se colam a ficheiros. Mas estes não são eles próprios executáveis. Os macro vírus também não estão escritos no Assembler, mas numa linguagem macro como por exemplo Visual Basic. Para executar os vírus necessita de um intérprete para uma linguagem macro conforme estão integradas em Word, Excel, Access e PowerPoint. De resto os macro vírus podem actuar sobre os mesmos mecanismos como os ficheiros de vírus. Também se podem camuflar, e contaminar o sector boot ou criar vírus companion.

Vírus Stealth e Rootkits

Vírus Stealth ou vírus capa mágica  possuem mecanismos de protecção especiais para escapar a uma detecção de programas de detecção de vírus programa de detecção de vírus de um estado não infectado de um ficheiro infectado ou tornam o ficheiro invisível para a protecção antivírus. Os mecanismos de camuflagem dos vírus Stealth só têm efeito depois do vírus ter sido tornado residente na memória de trabalho.

Vírus polimorfos

Os vírus polimorfos contêm mecanismos para alterar o seu aspecto em cada infecção. Para tal são codificadas partes do vírus. A rotina de codificação integrada no vírus gera para cada cópia um novo código e parcialmente novas rotinas de codificação. Para além disso podem ser trocadas sequências de comandos que não são necessárias para funcionamento do vírus. Assim podem formar-se milhões de variantes de um vírus. Para detectar com segurança e remover vírus codificados e polimorfos, muitas vezes não é suficiente a aplicação de assinaturas de vírus clássicas. Maior parte das vezes têm de ser escritos programas especiais. O gasto para análise e para disponibilização de antídotos adequados pode ser muito alto. Assim os vírus polimorfos podem ser designados sem qualquer exagero como os reis dos vírus.

Vírus intended

Como vírus Intended é designado um vírus parcialmente defeituoso, que concretiza a primeira infecção de um ficheiro, mas que a partir daí já não se pode reproduzir mais.

Vírus de email

Os vírus de email pertencem ao grupo das chamadas 'Blended threats' (= ameaças derrotadas). Esse malware combina as características de cavalos de Tróia, vermes e vírus. No âmbito do vírus Bubbleboy tornou-se conhecida a possibilidade de infiltrar no PC um vírus mediante a pré-visualização de uma mensagem HTML. O código de vírus perigoso esconde-se em mensagens  HTML e aproveita uma falha de segurança do Microsoft InternetExplorers. O perigo deste "combi-vírus" não deve ser subestimado.

Cavalos de Tróia

Os cavalos de Tróia (CT) possuem rotinas de propagação próprias. São enviados por email ou espiam em bolsas de troca ou em páginas web. A sua classificação pode ser feita com base na sua função maligna.

Backdoors

As backdoors abrem a porta traseira do computador infectado. Assim o computador pode ser controlado à distância por um atacante. Maior parte das vezes pode ser instalado outro software e o computador integrado noutro PC Zombie numa rede bot. No entanto existem também possibilidades de utilização legítimas. Muitos administradores de sistema utilizam programas de manutenção à distância para administrar o computador a partir do local onde se encontra no momento. Isto é muito útil particularmente em grandes empresas. Normalmente a intervenção do administrador do sistema ocorre com o conhecimento e consentimento do utilizador do PC. Só quando estas funções de backdoor são aplicadas sem o conhecimento do utilizador do PC e são executadas acções malignas é que um programa backdoor se torna malware.

Adware

Adware regista as actividades e processos no computador como p. ex. hábitos de navegação. Quando a oportunidade surgir são entregues mensagens de publicidade. Ou os resultados de pedidos de procura são manipulados.

Spyware

Com Spyware são roubados ficheiros: palavras-passe, documentos e dados, números de registo de software, endereços de email. Os dados tanto são procurados nos portadores de dados ou filtrados a partir da internet. Também os registos em formulários web (especialmente em bancos online) são recolhidos. No pior caso os invasores ficam com acesso a todas as contas de correio, fóruns, lojas onlline, que a vítima aproveita. Os criminosos online gostam muito de utilizar este disfarce.

Downloader e Dropper

Muitos cavalos de Tróia têm uma tarefa específica. Downloader e Dropper têm a tarefa de carregar ou copiar um ficheiro num computador infectado. Antes tentam muitas vezes reduzir as definições de segurança do sistema.

Dialer

Dialer são muitas vezes instalados no computador sem serem notados. Desde que a ligação DFÜ- seja efectuada através de um modem, na próxima ligação é utilizado um número 0900 ou idêntico. Com a "Lei de Combate à  Violação de números de valor acrescentado de (0)190/(0)900" entraram em vigor desde 15 de Agosto de 2003 algumas obrigações (limite de preço, registo). Ainda assim, os dialer são uma praga desagradável que por vezes podem conduzir a altos prejuízos financeiros. Com programas Anti-Dialer como Dialer Control podemos proteger-nos de Dialern indesejado. Obtêm mais informações sobre protecção contra dialers em www.dialerschutz.de.

Malware no sentido mais vasto

Por uma questão de integridade ainda devem ser mencionadas outras categorias inconvenientes e eventualmente malignas que não incluímos no grupo de malware.

Hoaxes

Hoaxes são alegados relatórios de erro, propagados muitas vezes por email. Aos receptores é pedido que encaminhem o aviso de email a amigos e conhecidos. Na maior parte das vezes trata-se apenas de causadores de pânico. Mais...   

Spam

Mais uma praga igualmente cara e aborrecida é o envio de mensagens publicitárias ou propaganda indesejada. Os programas modernos anti-spam combinam processos estáticos (análise de texto, listas de servidores de mail) e estatísticos (com base no teorema de Bayes) para filtrar o correio indesejado.

Phishing

Por Phishing entendemos a tentativa de obter dados pessoais como nomes de login, palavras-passe, números de cartões de crédito, dados de acesso bancário, etc. através de páginas webs ou emails falsificados.  Muitas vezes somos bloqueados em páginas web falsas. Nos últimos anos este fenomeno aumento fortemente. Entretanto cavalos de Tróia especializados contribuem para milhões de prejuízos. Mais em www.antiphishing.org (ingl.).