Descrições de Programas Maliciosos

Os programas maliciosos podem ser divididos nos seguintes grupos: Worms, vírus, cavalos de Tróia, utilidades de hackers e outros malwares. Todos eles foram desenvolvidos para danificar o computador infectado ou computadores ligados a uma rede.

Worms de Rede

Esta categoria inclui programas que se propagam através de LANs ou pela Internet com os seguintes objetivos:

·   Penetrar em computadores distantes

·   Rodar cópias nos computadores atacados

·   Continuar a espalhar para novos computadores

Os worms utilizam diferentes sistemas de rede para se propagarem: E-mail, mensagens instantâneas, compartilhamento de arquivos (P2P), canais IRC, LANs, WANs e assim por diante.

A maioria dos worms espalha-se como arquivos de uma maneira ou de outra – anexos de e-mail, mensagens IRC ou ICQ/Messenger, links para arquivos armazenados em sites infectados ou servidores FPT, arquivos acessíveis via redes P2P e assim por diante.

Há um pequeno número chamado de worms sem arquivos ou de pacote; esses worms espalham-se como pacotes de rede e penetram diretamente na memória RAM do computador atacado, onde o código é então executado.

Os worms utilizam diferentes métodos para penetrar nos computadores das vítimas para subseqüentemente executar o código. São eles:

·    Engenharia social: e-mails que estimulam os destinatários a abrir o anexo.

·    Redes mal configuradas: redes que deixam os computadores locais abertos para acesso de fora da rede

·      Vulnerabilidades nos sistemas operacionais e aplicativos

Os malwares atuais geralmente são uma criação composta: Atualmente, os worms contêm funções de cavalo de Tróia ou são capazes de infectar arquivos exe nos computadores infectados. Eles não são mais worms puros, mas sim ameaças criadas pela fusão de elementos diferentes.

Vírus Clássicos

Esta classe de programas maliciosos inclui os programas que espalham cópias de si mesmos através de um único computador com o objetivo de:

·     Rodar e/ou executar esse código uma vez que o usuário realize uma determinada ação

·      Penetrar em outros recursos dentro do computador infectado.

Ao contrário dos worms, os vírus não utilizam recursos de rede para penetrar em outros computadores. As cópias dos vírus só podem penetrar em outros computadores se um objeto infectado é acessado e o código é rodado por um usuário em um computador infectado. Isso pode ocorrer das seguintes maneiras:

·      O vírus infecta arquivos em um recurso de rede que outros usuários possam acessar

·      O vírus infecta uma mídia de armazenagem removível que é posteriormente colocada em um computador  limpo

·      O usuário anexa um arquivo infectado a um e-mail e o envia a um destinatário ‘saudável’

Às vezes os vírus são carregados por worms como cargas úteis adicionais ou eles mesmos podem incluir uma funcionalidade backdoor ou cavalo de Tróia que destrói os dados em um computador infectado.

Programas Cavalo de Tróia

Esta classe de malware inclui uma grande variedade de programas que realizam ações sem o conhecimento ou consentimento do usuário: Coletam dados e enviam-nos a um cyber criminoso, destroem ou alteram os dados com propósito malicioso, causando defeito no computador, ou usam as capacidades do computador para fins criminosos ou maliciosos, tais como o envio de spam.

Um subconjunto de cavalos de Tróia danifica computadores ou rede distantes comprometendo os computadores infectados; esses cavalos de Tróia utilizam os computadores infectados para participar de ataques DoS em um determinado site.

Utilidades de Hackers e outros programas maliciosos

Esta classe inclui:

·     Utilidades como construtores que podem ser usadas para criar vírus, worms e cavalos de Tróia

·     Bibliotecas de programas especialmente desenvolvidos para serem usados na criação de malwares

·     Utilidades de hackers que codificam arquivos infectados para ocultá-los de softwares antivírus

·     Jokes que atrapalham o funcionamento normal do computador

·     Programas que deliberadamente informam os usuários erroneamente sobre suas ações no sistema

·     Outros programas desenvolvidos para danificar direta ou indiretamente computadores ligados a uma rede  

Hoje vamos ver os vários tipos de Worms de Rede:

Os worms podem ser classificados de acordo com o método de propagação que eles utilizam, ou seja, o modo pelo qual eles enviam cópias de si mesmos a novos computadores. Os worms também podem ser classificados pelo método de instalação, método de funcionamento e finalmente de acordo com características padrão a todos os malwares: polimorfismo, discrição etc.

Muitos worms que conseguem realizar ataques significativos utilizam mais de um método de propagação assim como mais de uma técnica de infecção. Os métodos estão listados separadamente abaixo.

Worms de E-mail

Os worms de e-mails espalham-se através de mensagens infectadas. O worm pode estar na forma de um anexo ou o e-mail pode conter um link para um site infectado. Nos casos o veículo é o e-mail.

No primeiro caso, o worm será ativado quando o usuário clicar no anexo. No segundo caso, o worm será ativado quando o usuário clicar no link que leva ao site infectado.

Worms de e-mail normalmente utilizam um dos seguintes métodos para se espalharem:

·     Conexão direta a servidores SMTP utilizando uma biblioteca API SMTP codificado no worm

·     Serviços do MS Outlook  

·     Funções MAPI Windows

Worms de e-mail coletam endereços de e-mail do computador infectado para continuar a se espalhar. Os worms utilizam uma ou mais técnicas dentre as seguintes técnicas:

·      Varredura do catálogo de endereços local do MS Outlook

·      Varredura da base de dados de endereços WAB

·      Varredura de arquivos com extensões apropriadas para cadeias de texto do tipo endereços de e-mail

·       Envio de cópias de si mesmos a todos os endereços da caixa de correio eletrônico do usuário (os worms podem até ‘responder’ itens que não foram abertos na caixa de entrada)

Além dessas técnicas, que são as mais comuns, alguns worms podem até construir novas listas baseadas nos endereços do remetente com possíveis nomes combinados aos nomes de domínio mais comuns.

Worms em Instant Messengers (ICQ e MSN)

Estes worms possuem um único método de propagação. Eles se espalham utilizando aplicativos de mensagens instantâneas através do envio de links para sites infectados a todos os contatos da lista local de contatos. A única diferença entre esses worms e os worms de e-mail que enviam links é a mídia selecionada para o envio dos links.

Worms de Internet

Os autores de vírus utilizam outras técnicas para distribuir worms de computador, incluindo:

·     Copiar o worm para recursos ligados à rede

·     Explorar as vulnerabilidades do sistema operacional para penetrar computadores e/ou redes

·     Penetrar em redes públicas

·     Carona: Uso de outros malwares para servir de transporte para o worm.

No primeiro caso, os worms localizam computadores distantes e fazem cópias de si mesmos em pastas que são abertas para funções de leitura e escrita. Esses worms de rede varrem todos os recursos de rede disponíveis utilizando os serviços do sistema operacional local e/ou varrem a Internet em busca de computadores vulneráveis. Em seguida, eles tentarão se conectar a esses computadores e ganhar total acesso a eles.

No segundo caso, os worms varrem a Internet em busca de computadores que não foram atualizados recentemente, ou seja, possuem sistemas operacionais com vulnerabilidades críticas ainda abertas para exploração. O worm envia pacotes de dados ou pedidos que instalam todo o corpo do worm ou uma parte do código fonte do worm contendo a funcionalidade de baixar arquivos.  Se esse código for instalado com sucesso, o corpo do worm principal será baixado. Nos dois casos, uma vez instalado o worm, ele executará seu código e o ciclo continuará.

Os worms que utilizam servidores de Internet e FTP pertencem a uma categoria separada.   A infecção ocorre em duas etapas. Primeiramente, esses worms penetram em arquivos de serviço no servidor de arquivos, como páginas da internet estáticas. Em seguida, os worms esperam até que os usuários acessem os arquivos infectados e então atacam os computadores individuais. Esses computadores infectados são então utilizados para rodar pads para outros ataques.

Alguns autores de vírus usam worms ou cavalos de Tróia para espalhar novos worms. Primeiro, esses autores identificam os cavalos de Tróia ou worms que conseguiram instalaram backdoors em computadores infectados.  Na maioria dos casos essa funcionalidade permite que o computador principal envie comandos para o computador infectado: Esses zumbis que possuem backdoors instalados podem ser comandados para baixar e executar arquivos – neste caso, cópias do novo worm.

Muitos worms utilizam dois ou mais método de propagação combinados para penetrar nos computadores-alvo em potencial de modo mais eficiente.

Worms IRC

Esses worms visam canais de chat, embora hoje os worms IRC tenham sido detectados. Os worms IRC também utilizam os métodos de propagação descritos acima – envio de links para sites infectados ou arquivos infectados para contatos coletados do usuário infectado. O envio de arquivos infectados é menos eficaz, pois o destinatário precisa confirmar o recebimento, salvar o arquivo e abri-lo antes que o worm possa penetrar no computador-alvo.

Redes de Compartilhamento de Arquivos ou Worms P2P

Os worms P2P copiam-se para uma pasta compartilhada, geralmente localizada no computador local. Uma vez que o worm tenha conseguido colocar uma cópia de si mesmo com um nome inofensivo na pasta compartilhada, a rede P2P faz o resto: A rede informa outros usuários sobre o novo recurso e fornece a infra-estrutura para baixar e executar o arquivo infectado.

Os worms P2P mais complexos imitam o protocolo de rede das redes de compartilhamento de arquivos: Eles respondem afirmativamente a todos os pedidos e oferecem arquivos infectados contendo o corpo do worm a todas as entradas.