2012

LhugoJr

Versão 1.0

20/11/2012

Exercícios Comentados – Malwares, Ataques e Antivírus

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 1

Introduçao Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes:

TECNOLOGIA DA INFORMAÇÃO - QUESTÕES COMENTADAS CESPE/UNB - http://www.dominandoti.com.br/livros

TI – SEGURANÇA DA INFORMAÇÃO PARA CONCURSOS – NÍVEL AVANÇADO - http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/

Provas de TI – www.provasdeti.com.br

Também foram usadas outras fontes, como livros, comentários do site Questões de Concursos, etc.

Os comentários são sempre feitos colocando as fontes encontradas, algumas questões são mais difíceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros.

Espero que ajude.

Abraços.

Notas da Versao Essa é a versão 1.0, sendo a maioria das questões da banca CESPE, com o tempo espero acrescentar muito mais questões.

Caso encontre algum erro nesta versão pode mandar um e-mail para lhugojr@hotmail.com, colocando o número da questão e o erro encontrado.

Você também pode ajudar a melhorar os comentários, alguns comentários podem estar com o nível fraco, isso ocorre quando não são encontradas fontes que tratam sobre o tema da questão. Caso você encontre alguma fonte ou queira melhorar o comentário mande um e-mail.

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 2

1 Malwares (CESPE – TCU 2007 – Analista de Controle Externo – Auditoria em TI)

1) São características típicas dos malwares: cavalos de tróia aparentam realizar atividades úteis; adwares obtêm e transmitem informações privadas do usuário; backdoors estabelecem conexões para fora da rede onde se encontram; worms modificam o código de uma aplicação para propagar-se em uma rede; e botnets realizam ataques articulados por meio de um controle remoto.

Vamos as definições do CERT.BR (http://cartilha.cert.br/malware/):

Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Adware (Subtipo de SPYWARE): projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito. Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores

Portanto podemos perceber facilmente que as definições de adware e worm estão erradas, Questão errada.

(CESPE – Polícia Federal 2004 – Nacional – Perito Área 3)

2) Os programas conhecidos como spyware são um tipo de trojan que tem por objetivo coletar informações acerca das atividades de um sistema ou dos seus usuários e representam uma ameaça à confidencialidade das informações acessadas no sistema infectado. Esses programas não são considerados como vírus de computador, desde que não se repliquem a partir de um sistema onde tenham sido instalados.

Usando um pedaço do comentário da banca CESPE

Spyware são programas inteiros que executam independentemente de outros arquivos do sistema infectado. Os vírus são fragmentos de código inseridos em outros arquivos do sistema infectado. Estes arquivos são denominados “arquivo hospedeiro”. Assim, os spyware não são considerados vírus por não requererem um “arquivo hospedeiro”. Este é o verdadeiro motivo pelo qual os spyware não são considerados vírus, ao invés de estes não serem considerados vírus apenas quando não possuírem um mecanismo de replicação.

Portanto o que torna a questão errada é a segunda parte: “Esses programas não são considerados como vírus de computador, desde que não se repliquem a partir de um sistema onde tenham sido instalados.”. O verdadeiro motivo de não ser considerado vírus é o fato de não necessitarem de um arquivo hospedeiro.

(CESPE – Banco da Amazônia - 2010 – Técnico Científico – Especialidade: Tecnologia da Informação – Redes e Telecomunicações)

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 3

3) Os vírus geralmente se disseminam sem a ação do usuário e distribuem cópias completas de si mesmos, possivelmente modificadas, através das redes.

Vamos usar Stallings, pag. 445:

Um vírus é um software que pode 'infectar' outros programas modificando-os; a modificação inclui uma cópia do programa de vírus, que pode então prosseguir para infectar outros programas.

Um verme (worm) é um programa que pode se replicar e enviar cópias de um computador para outro através da rede. Na chegada, o worm pode ser ativado para replicar-se e propagar-se novamente. Além da propagação, o verme normalmente realiza alguma função indesejada.

Também usando a cartilha de segurança do CERT.BR

Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado. O principal meio de propagação de vírus costumava ser os disquetes. Com o tempo, porém, estas mídias caíram em desuso e começaram a surgir novas maneiras, como o envio de e-mail. Atualmente, as mídias removíveis tornaram-se novamente o principal meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de pen-drives. Há diferentes tipos de vírus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Há outros que permanecem inativos durante certos períodos, entrando em atividade apenas em datas específicas. Alguns dos tipos de vírus mais comuns são:

• Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja executado. Quando entra em ação, infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador.

• Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. Pode ser automaticamente executado, dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário.

• Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros).

• Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service). A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga da bateria, além de tentar se propagar para outros celulares.

Portanto a questão está errada, já que vírus precisa de uma ação de usuário para se tornar ativo. E quem se propaga automaticamente pela rede é o worm.

4) Um worm é um método oculto para contornar os mecanismos de autenticação em sistemas computacionais.

Vamos a definição do CERT.BR:

Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 4

costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores. O processo de propagação e infecção dos worms ocorre da seguinte maneira:

a) Identificação dos computadores alvos: após infectar um computador, o worm tenta se propagar e continuar o processo de infecção. Para isto, necessita identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: • efetuar varredura na rede e identificar computadores ativos; • aguardar que outros computadores contatem o computador infectado; • utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos alvos; • utilizar informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-

mail. b) Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes computadores,

por uma ou mais das seguintes formas: • como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo; • anexadas a e-mails; • via canais de IRC (Internet Relay Chat); • via programas de troca de mensagens instantâneas; • incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer).

c) Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: • imediatamente após ter sido transmitido, pela exploração de vulnerabilidades em programas sendo executados no

computador alvo no momento do recebimento da cópia; • diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu computador; • pela realização de uma ação específica do usuário, a qual o worm está condicionado como, por exemplo, a inserção

de uma mídia removível. d) Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir de

agora, o computador que antes era o alvo passa a ser também o computador originador dos ataques. Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:

• remover evidências em arquivos de logs (mais detalhes na Seção 7.6 do Capítulo Mecanismos de segurança); • instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; • esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc; • mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; • capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego.

É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo. Rootkits inicialmente eram usados por atacantes que, após invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos métodos utilizados na invasão, e para esconder suas atividades do responsável e/ou dos usuários do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente têm sido também utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por mecanismos de proteção. Há casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de música, sob a alegação de necessidade de proteção aos direitos autorais de suas obras. A instalação nestes casos costumava ocorrer de forma automática, no momento em que um dos CDs distribuídos contendo o código malicioso era inserido e executado. É importante ressaltar que estes casos constituem uma séria ameaça à segurança do computador, pois os rootkits instalados, além de comprometerem a privacidade do usuário, também podem ser reconfigurados e utilizados para esconder a presença e os arquivos inseridos por atacantes ou por outros códigos maliciosos.

Portanto a questão está errada, trocando a definição de rootkit por worm.

(CESPE – Banco da Amazônia - 2010 – Técnico Científico – Especialidade: Tecnologia da Informação – Segurança da Informação)

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 5

5) O cavalo de troia (trojan horse) não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou de falhas na configuração de software instalados em computadores.

Segundo o glossário da cartilha do CERT.BR (http://cartilha.cert.br/glossario/)

Worm - Tipo de código malicioso. Programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou falhas na configuração de programas instalados em computadores.

Portanto questão errada, trocou worm por trojan horse.

Só para mais estudos vamos a definição de trojan horse, pelo mesmo glossário:

Cavalo de troia - Tipo de código malicioso. Programa normalmente recebido como um "presente" (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc.) que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas e sem o conhecimento do usuário.

6) Um worm pode realizar diversas funções maliciosas, como a instalação de keyloggers ou screenloggers, o furto de senhas e outras informações sensíveis, como números de cartões de crédito, a inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador, e a alteração ou destruição de arquivos.

Segundo a cartilha de segurança do CERT.BR, temos:

Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas. Há diferentes tipos de trojans, classificados2 de acordo com as ações maliciosas que costumam executar ao infectar um computador. Alguns destes tipos são:

• Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na Internet. • Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código do trojan. • Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. • Trojan DoS: instala ferramentas de negação de serviço e as utiliza para desferir ataques. • Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora de

operação. • Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a quantidade de

acessos a estes sites ou apresentar propagandas. • Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação anônima e

para envio de spam. • Trojan Spy: instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números de cartão

de crédito, e enviá-las ao atacante. • Trojan Banker ou Bancos: coleta dados bancários do usuário, através da instalação de programas spyware que são

ativados quando sites de Internet Banking são acessados. É similar ao Trojan Spy porém com objetivos mais específicos Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 6

computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores. O processo de propagação e infecção dos worms ocorre da seguinte maneira:

e) Identificação dos computadores alvos: após infectar um computador, o worm tenta se propagar e continuar o processo de infecção. Para isto, necessita identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: • efetuar varredura na rede e identificar computadores ativos; • aguardar que outros computadores contatem o computador infectado; • utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos alvos; • utilizar informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-

mail. f) Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes computadores,

por uma ou mais das seguintes formas: • como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo; • anexadas a e-mails; • via canais de IRC (Internet Relay Chat); • via programas de troca de mensagens instantâneas; • incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer).

g) Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: • imediatamente após ter sido transmitido, pela exploração de vulnerabilidades em programas sendo executados no

computador alvo no momento do recebimento da cópia; • diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu computador; • pela realização de uma ação específica do usuário, a qual o worm está condicionado como, por exemplo, a inserção

de uma mídia removível. h) Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir de

agora, o computador que antes era o alvo passa a ser também o computador originador dos ataques.

Portanto a questão trocou a definição de Trojan-horse por worm, questão errada.

7) (MCT/Tecnologista Jr/2008) Um vírus de macrocomandos de uma aplicação, como, por exemplo, um editor de textos, é independente da plataforma computacional e dos sistemas operacionais.

Usando Stallings (pag. 450) como bibliografia, temos:

Os vírus de macro são particularmente ameaçadores por diversos motivos:

1. Um vírus de macro é independente de plataforma. Praticamente todos os vírus de macro infectam documentos do Microsoft Word. Qualquer plataforma de hardware e sistema operacional que aceite o Word pode ser infectados.

2. Os vírus de macro infectam documentos, e não partes executáveis do código. A maior parte das informações introduzidas em um sistema de computador está na forma de um documento, em vez de um programa.

3. Os vírus de macro são facilmente espalhados. Um método muito comum é por e-mail.

Portanto a questão está correta.

8) (MCT/Analista de C&T/2008) Na fase latente ou dormente, um vírus de computador encontra-se quieto, mas pronto para ser ativado por algum evento.

Segundo Stallings (pag. 448):

Durante seu tempo de vida, um vírus típico passa pelas quatro fases a seguir:

• Fase latente: O vírus está inativo. O vírus será ativado por algum evento, como uma data, a presença de outro programa ou

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 7

arquivo, ou a capacidade do disco de exceder algum limite. Nem todos os vírus têm esse estágio.

• Fase de propagação: O vírus coloca uma cópia idêntica de si mesmo em outros programas ou em certas áreas do sistema no disco. Cada programa infectado agora terá um clone do vírus que, por si só, entrará em uma fase de propagação.

• Fase de disparo: O vírus é ativado para realizar a função para a qual ele foi planejado. Assim como na fase latente, a fase de disparo pode ser causada por diversos eventos do sistema, incluindo a contagem do número de vezes que essa cópia do vírus fez cópias de si mesma.

• Fase de execução: A função é realizada. A função pode ser inofensiva, como uma mensagem na tela, ou danosa, como a destruição de programas e arquivos de dados.

Portanto o item está correto.

9) (BASA/Técnico Científico/Tecnologia da Informação/Segurança da Informação/2009) O cavalo de troia (trojan horse) não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou de falhas na configuração de software instalados em computadores.

Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas. Há diferentes tipos de trojans, classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador. Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.

Mais uma vez a questão trocou a definição de trojan horse e worm. Questão errada.

A questão ficaria correta se fosse assim redigida:

O worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou de falhas na configuração de software instalados em computadores.

10) (EMBASA/Assistente de Saneamento/Assistente de Informática I/2010) Cavalo de troia é um software legítimo que o usuário utiliza normalmente, mas, ao mesmo tempo, executa outras funções ilegais, como enviar mensagens e arquivos para o hacker ou abrir portas de entrada para futuras invasões.

Agora como Gleyson falou, vamos usar Stallings:

Cavalos-de-tróia Um cavalo-de-tróia é um programa ou procedimento de comando útil, ou aparentemente útil, contendo código oculto que, quando invocado, realiza alguma função indesejada ou prejudicial. Os cavalos-de-tróia podem ser usados para executar funções indiretamente, que um usuário não autorizado não poderia executar

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 8

diretamente. Por exemplo, para obter acesso aos arquivos de outro usuário em um sistema compartilhado, um usuário pode criar um cavalo-de-tróia que, quando executado, mude as permissões de arquivo do usuário, permitindo que os arquivos sejam lidos por qualquer usuário. O autor pode, então, induzir os usuários a executar o programa colocando-o em um diretório comum e nomeando-o de modo que pareça ser um utilitário. Um exemplo é um programa que produz aparentemente uma listagem dos arquivos do usuário em um formato desejável. Depois que outro usuário tiver executado o programa, o autor pode então acessar as informações nos arquivos do usuário. Um exemplo de cavalo-de-tróia que seria difícil de detectar é um compilador modificado para inserir código adicional em certos programas enquanto são compilados como um programa de login do sistema. O código cria uma backdoor no programa de login, que permite ao autor efetuar o logon no sistema usando uma Senha especial. Esse cavalo-de-tróia pode nunca ser descoberto lendo-se o código-fonte do programa de login. Outra motivação comum para o cavalo-de-tróia é a destruição de dados. O programa parece estar realizando uma função útil (por exemplo, um programa de calculadora), mas também pode estar excluindo silenciosamente os arquivos do usuário.

Portanto a questão está correta.

11) (TJ-ES/Analista Judiciário/Análise de Suporte/2011) Um spyware consiste em uma falha de segurança intencional, gravada no computador ou no sistema operacional, a fim de permitir a um cracker obter acesso ilegal e controle da máquina.

Usando a cartilha de segurança do CERT.BR, temos:

Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário, também podem ser classificados como backdoors. Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas. Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente o computador. Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso:

• Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado.

• Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo, conta de usuário e senha).

Alguns tipos específicos de programas spyware são:

• Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação, em muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de comércio eletrônico ou de Internet Banking.

• Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet Banking.

• Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 9

livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.

A questão trocou backdoor por spyware, então está errada.

(FCC – BACEN - 2005 – Analista - Área 1)

12) Um código malicioso que se altera em tamanho e aparência a cada vez que infecta um novo programa é um vírus do tipo:

a) polimórfico b) de boot c) de macro d) parasita e) camuflado.

Vamos à definição encontrada no livro de Stallings, pag 450.

Vírus parasitário: A forma de vírus tradicional e anda mais comum. Um vírus parasitário se conecta a arquivos executáveis e se replica quando o programa infectado é executado, localizando outros arquivos executáveis para infectar.

Vírus furtivo: Uma forma de vírus projetado explicitamente para se esconder da detecção pelo software (anti vírus).

Vírus polimórfico: Um vírus que se transforma a cada infecção, impossibilitando a detecção pela ‘assinatura’ do vírus.

Vírus metamórfico: Assim como um vírus polimórfico, um vírus metamórfico muda a cada infecção. A diferença é que um vírus metamórfico se reescreve completamente a cada iteração, aumentando a dificuldade de detecção. Os vírus metamórficos podem mudar seu comportamento e também sua aparência. Um vírus polimórfico cria cópias durante a repetição funcionalmente equivalentes mas que possuem padrões de bits distintamente diferentes. Assim como um vírus furtivo a finalidade é enganar programas que procuram vírus. Nesse caso, a ‘assinatura’ do vírus variará a cada cópia. Para conseguir essa variação, o vírus pode inserir aleatoriamente instruções supérfluas ou trocar a ordem de instruções independentes. Uma técnica mais eficaz é usar a criptografia. Uma parte do vírus, geralmente chamada mecanismo de mutação, cria uma chave de criptografia aleatória para criptografar o restante do vírus. A chave é armazenada com o vírus, e o próprio mecanismo de mutação é alterado. Quando um programa infectado é chamado, o vírus usa a chave aleatória armazenada para decriptografar o vírus. Quando o vírus se replica, urna chave aleatória diferente é selecionada.

Portanto o gabarito da questão é letra A.

2 Ataques (CESPE – Polícia Federal 2004 – Nacional – Perito Área 3)

13) Um ataque de buffer overflow consiste em desviar o fluxo de execução de um software para um programa arbitrário que esteja copiado no disco rígido do sistema atacado. Esse é um exemplo clássico de backdoor resultante de um defeito de programação, que só pode ser eliminado com a atualização de versão do software defeituoso.

Usando o comentário do professor Sócrates Filho:

O buffer overflow não se confunde com backdoor. Backdoor é criado intencionalmente para garantir o acesso posterior de um atacante. Um defeito de programação acidental não pode ser considerado backdoor. Portanto questão errada

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 10

Definição de Buffer Overflow, segundo o wikipedia http://pt.wikipedia.org/wiki/Transbordamento_de_dados

Agora vamos a definição de backdoor pela cartilha do cert:

Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário, também podem ser classificados como backdoors. Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas. Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente o computador.

14) (EMBASA/Analista de Saneamento/Analista de Tecnologia da Informação – Rede/2010) O ataque de MAC flooding faz um switch transmitir frames para todas as suas portas, como se fosse um hub.

Segundo o professor Gleyson Azevedo, no seu livro de questões, ele comenta sobre Mac Flooding:

O MAC flooding consiste em enviar uma imensa quantidade de quadros com endereços MAC de origem forjados e aleatórios com o objetivo de esgotar a tabela MAC do switch. Quando isso ocorre, comumente o switch passa a enviar dados para todas as suas portas, como se fosse um hub, e viabilizando ataques de sniffer passivo

Podemos também usar a referência do wikipedia:

http://pt.wikipedia.org/wiki/Mac_flooding http://en.wikipedia.org/wiki/Mac_flooding

Com isso percebemos que a questão está correta.

15) (DATAPREV/Analista de Tecnologia da Informação/Redes/2006) A restrição na capacidade de aprendizado de endereços nas portas de um switch é suficiente para evitar o ARP spoofing.

Vamos usar o comentário do livro recomendado pelo professor Gleyson Azevedo: Counter Hack Reloaded, Second Edition.

Some switches are not subject to this MAC flooding attack because they stop storing new MAC addresses when the remaining capacity of their memory reaches a given limit. With those switches, once the memory is filled, no other MAC addresses can be admitted to the LAN until some existing MAC addresses in the CAM table time out, a period that depends on the switch but typically involves several minutes.

Agora complementando com o comentário do professor Glesyon:

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 11

A restrição da capacidade de aprendizagem nas portas de um switch é uma contramedida para o ataque de MAC flooding e não tem qualquer eficácia contra o ARP spoofing.

Portanto a questão está errada.

16) (STM/Analista Judiciário/Análise de Sistemas/2011) A filtragem de tráfego egresso e ingressante é uma das medidas aplicáveis na proteção a ataques de negação de serviço, distribuídos ou não, como o syn flooding e o icmp flooding.

Usando os comentários do professor Gleyson Azevedo em seu livro, temos:

Como técnicas empregadas em ataques de negação de serviço, o syn flooding e o ICMP flooding usualmente dependem do IP spoofing (NAKAMURA, 2007, p. 103). Desta forma, a filtragem dos tráfegos egresso e ingressante pode ser útil no combate a esses ataques da seguinte forma:

• não se admite sair da rede interna pacotes cujo IP de origem seja da rede externa (NAKAMURA, 2007, p. 109); • não se admite a entrada de pacotes da rede externa cujo IP de origem seja da rede interna (NAKAMURA, 2007, p.

103).

Ainda temos:

Syn flooding é um ataque que explora o mecanismo de estabelecimento de conexões TCP, conhecido como three-way handshake. Nele, um grande número de pedidos de conexão (pacotes SYN) é enviado, causando um estouro da pilha de memória do alvo, que não é capaz de responder a todas (NAKAMURA, 2007, p. 105).

ICMP flooding é um ataque de negação de serviço em que o atacante envia uma série de pacotes de requisição ICMP de eco (ping) maior do que a implementação do protocolo pode manipular (SHIREY, 2007, p. 145).

Portanto, a questão está correta.

17) (TCU/Analista de Controle Externo/Auditoria de TI/2007) A detecção, por um sniffer de rede, de uma longa série de segmentos TCP SYN enviados de um host local para um host remoto, sem o correspondente envio de segmentos TCP ACK, sugere que a rede sob análise pode estar sofrendo um ataque de negação de serviço.

Mais uma vez usando como base o professor Gleyson:

Como que está enviando o TCP SYN é o host local, não é prudente dizer que a rede sob análise está sob ataque, o mais correto seria dizer que a rede está realizando um ataque de negação de serviço.

18) (IPEA/Analista de Sistemas/Suporte de Infraestrutura/2008) Em um ataque negação de serviço por refletor — reflector distributed denial of service (DDoS) — entidades escravas do atacante constroem pacotes que requerem respostas e contém o endereço IP do alvo como endereço fonte no cabeçalho, de modo que ao serem enviados a computadores não infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereço alvo do ataque

Segundo Stallings, pagina 457:

Em um ataque de DDoS direto, o atacante é capaz de implantar software zumbi em diversos sites distribuídos pela Internet. Normalmente, o ataque de DDoS envolve dois niveis de máquinas zumbi: zumbis-mestres e zumbis escravos. Os hosts das duas máquinas foram infectados com código malicioso. O atacante coordena e dispara os zumbis·mestres, que por sua vez, coordenam e disparam os zumbis escravos. O uso de dois níveis de zumbis toma mais difícil o trabalho de rastrear o ataque até a sua origem e fornece uma rede de atacantes mais flexível.

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 12

Um ataque de DDoS refletor acrescenta outra camada de máquinas. Nesse tipo de ataque, os zumbis escravos criam pacote solicitando uma resposta que contenha o endereço de IP do alvo como o endereço de IP de origem no cabeçalho do pacote de IP Esses pacotes são enviados a máquinas não infectadas, conhecidas como refletoras. As máquinas não infectadas respondem com pacotes dirigidos para a máquina-alvo. Um ataque de DDoS refletor pode facilmente envolver mais máquinas e mais tráfego do que um ataque de DDoS direto e, portanto, ser mais prejudicial. Além disso, é mais difícil rastrear o ataque ou filtrar os pacotes de ataque, pois o ataque provém de máquinas não infectadas bastante dispersas.

Como visto, a questão está correta.

19) (TCU/Analista de Controle Externo/Tecnologia da Informação/2008) Para confirmar a suspeita de que a

indisponibilidade apresentada por um host da rede de computadores de uma organização está sendo causada por um ataque do tipo smurf, o administrador deverá verificar se há um grande número de pacotes ICMP (Internet control message protocol) do tipo request originados de vários computadores pertencentes a uma mesma rede e direcionados a este host.

A questão erra ao dizer que os pacotes são do tipo request, e na verdade são do tipo reply.

Usando como fonte o livro, Network Security Bible:

Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

LhugoJr Página 13

Smurf—This attack involves using IP spoofing and the ICMP to saturate a target network with traffic, there by launching a DoS attack. It consists of three elements: the source site, the bounce site, and the target site. The attacker (the source site) sends a spoofed ping packet to the broadcast address of a large network (the bounce site). This modified packet contains the address of the target site. This causes the bounce site to broadcast the misinformation to all of the devices on its local network. All of these devices now respond with a reply to the target system, which is then saturated with those replies.

3 Anti-vírus 20) (ABIN/Oficial Técnico de Inteligência/Suporte a Rede de Dados/2010) Os scanners heurísticos,

programas de combate a códigos maliciosos, dependem da assinatura específica de um vírus, que deve ser combinada com regras heurísticas para a detecção de provável infecção por vírus.

Segundo Stallings, temos:

Primeira geração: scanner simples - Exige que uma assinatura identifique um vírus. O vírus pode conter ‘curingas’, mas possui essencialmente a mesma estrutura e padrão de bits em todas as cópias. Esses scanners específicos de assinatura são limitados à detecção de vírus conhecidos. Outro tipo de scanner de primeira geração mantém um registro do tamanho dos programas e procura alterações no tamanho. Segunda geração: scanner heurístico - Não depende de uma assinatura específica. Em vez disso, o scanner usa regras heurísticas para procurar uma provável infecção de vírus. Uma classe desses scanners procura fragmentos de código que frequentemente estão associados a vírus. Por exemplo, ele pode procurar o início de um loop de criptografia usado em um vírus polimórfico e descobrir a chave de criptografia. Quando a chave é descoberta, o scanner pode descriptografar o vírus para identificá-lo, depois remover a infecção c retornar o programa à operação normal. Outra técnica de segunda geração é a verificação de integridade. Uma soma de verificação (checksum) pode ser anexada a cada programa. Se um vírus infectar o programa sem mudar a soma de verificação, então uma verificação de integridade detectará a mudança. Para enfrentar um vírus sofisticado o suficiente para alterar a soma de verificação ao infectar um programa, uma função de hash criptografada poderá ser usada. A chave de criptografia é armazenada separadamente do programa, para que o vírus não possa gerar um novo código de hash e criptografá-lo. Usando uma função de hash em vez de uma soma de verificação mais simples, o vírus é impedido de ajustar o programa para produzir o mesmo código de hash anterior. Terceira geração: interceptações de atividade - São programas residentes na memória, que identificam um vírus por suas ações, em vez de sua estrutura em um programa infectado. Esses programas têm a vantagem de que não é necessário desenvolver assinaturas e heurísticas para uma ampla variedade de vírus. Em vez disso, é necessário apenas identificar um pequeno conjunto de ações que indicam que uma infecção está sendo tentada e, então, intervir. Quarta geração: proteção completa - São pacotes compostos por uma série de técnicas anti-vírus usadas em conjunto. Estas incluem componentes de varredura e de interceptação de atividades. Além disso, esse tipo de pacote inclui recurso de controle de acesso, que limita a capacidade dos vírus de penetrar em um sistema e, por consequência, limita a capacidade de um vírus de atualizar arquivos a fim de passar a infecção adiante.

Questão errada, porque scanner heurístico não depende de assinatura específica.

(CESPE – Câmara Legislativa do DF – Consultor Legislativos – Analista de Sistemas: área 3)

21) A eficiência de sistemas antivírus está relacionada com a capacidade de atualização automática de suas bases de conhecimento. Para otimizar o processo de atualização, serviços de antivírus corporativos devem manter uma base de dados centralizada sobre vírus conhecidos, evitando o uso de bases de dados locais. Essa base centralizada deve ser consultada pelos clientes locais do sistema de antivírus corporativo durante cada varredura realizada em uma estação de trabalho individual.

Segundo o professor Sócrates Filho:

O erro da questão começa a partir do trecho “..., evitando o uso de bases de dados locais ... ”, pois uma organização só deve centralizar os bancos de dados para atualização das bases locais.

Portanto a questão está errada.