Malware

UFCD: Escritório electrónico - segurança e partilha de ficheiros Formadora: Emiliana Espada

MalwareO código malicioso…..


Códigos maliciosos – Malware:

são programas especificamente desenvolvidos

para executar ações danosas e atividades

maliciosas num computador.

Algumas das diversas formas como os códigos

maliciosos podem infetar ou comprometer um

computador são:



pela exploração de vulnerabilidades existentes

nos programas instalados;

pela auto-execução de memórias externas

removíveis infetadas, tais como pen-drives;

pelo acesso a páginas Web maliciosas, utilizando

navegadores vulneráveis;



pela ação direta dos atacantes que, após

invadirem o computador, incluem arquivos

contendo códigos maliciosos;

pela execução de arquivos previamente

infetados, obtidos em anexos de mensagens

eletrónicas, via memórias externas, em páginas

Web ou diretamente de outros computadores

(através da partilha de recursos).



Uma vez instalados, os códigos maliciosos passam

a ter acesso aos dados armazenados no

computador e podem executar ações em nome dos

utilizadores.

Os principais motivos que levam um atacante a

desenvolver e a propagar códigos maliciosos são a

obtenção de vantagens ao nível financeiro, a

recolha de informações confidenciais, o desejo de

autopromoção e o vandalismo.



Além disto, os códigos maliciosos são muitas vezes

utilizados como intermediários e possibilitam a

prática de golpes, a realização de ataques e a

disseminação de spam (spiced ham or stupid

people annoying me).

Os principais tipos de códigos maliciosos

existentes são apresentados nos próximos

diapositivos.


Vírus…

é um programa ou parte de um programa de

computador, normalmente malicioso, que se

propaga

inserindo cópias de si mesmo e tornando-se parte

de

outros programas e ficheiros. Para que se possa

tornar ativo e dar continuidade ao processo de

infeção, o vírus depende da execução do programa

ou ficheiro hospedeiro, ou seja, para que o seu

computador seja infetado é preciso que um

programa já infetado seja executado.


O principal meio de propagação dos vírus

costumavam ser as disquetes. Com o tempo, porém,

estes suportes de armazenamento caíram em

desuso e começaram a surgir novas formas, como o

envio de e-mail. Atualmente, os suportes de

armazenamento amovível ou externo, tornaram-se

novamente o principal meio de propagação,

principalmente, pelo uso de pen-drives, discos

externos…


Há diferentes tipos de vírus. Alguns procuram

permanecer ocultos, infetando arquivos do disco e

executando uma série de atividades sem o

conhecimento do utilizador. Há outros que

permanecem inativos durante certos períodos,

entrando em atividade apenas em datas específicas.

Alguns dos tipos de vírus mais comuns são:


recebido como um arquivo anexo a um e-mail cujo

conteúdo tenta induzir o usuário a clicar sobre este

arquivo, fazendo com que seja executado. Quando

entra em ação, infeta ficheiros e programas e envia

cópias de si mesmo para os e-mails encontrados nas

listas de contatos gravadas no computador.

Vírus propagado por e-mail:


escrito em linguagem de script, como VBScript e

JavaScript, e recebido ao aceder a uma página Web,

ou por e-mail, como um arquivo anexo ou como

parte do próprio e-mail escrito em formato HTML.

Pode ser automaticamente executado, dependendo

da configuração do navegador Web e do programa

leitor de e-mails do utilizador.

Vírus de script:


tipo específico de vírus de script, escrito em

linguagem

de macro, que tenta infetar arquivos manipulados

por aplicativos que utilizam esta linguagem como,

por exemplo, os que compõe o Microsoft Office

(Excel, Word e PowerPoint, entre outros).

Vírus de macro:


vírus que se propaga de telemóvel para telemóvel

por meio da tecnologia Bluetooth ou de mensagens

MMS (Multimedia Message Service). A infeção ocorre

quando um utilizador recebe um ficheiro infetado e

o executa. Após infetar o telemóvel, o vírus pode

destruir ou reescrever ficheiros, remover ou

transmitir contatos da agenda, efetuar ligações

telefónicas e drenar a carga da bateria, além de

tentar se propagar para outros telemóveis.

Vírus de telemóvel:


é um programa capaz de se propagar

automaticamente pelas redes, enviando cópias de si

mesmo de computador para computador.

Diferente do vírus, o worm não se propaga por meio

da inclusão de cópias de si mesmo noutros

programas ou ficheiros, mas sim pela execução

direta das suas cópias ou pela exploração

automática de vulnerabilidades existentes em

programas instalados em computadores.

Worm


Os Worms são responsáveis por consumir muitos

recursos, devido à grande quantidade de cópias de

si mesmo que costumam propagar e, como

consequência, podem afetar o desempenho das

redes e a utilização de computadores.


a) Identificação dos computadores alvos:

após infectar um computador, o worm

tenta propagar-se e continuar o processo

de infeção. Vai identificar os

computadores alvo para os quais tentará

copiar-se, o que pode ser feito de uma

das seguintes formas:

O processo de propagação e infeção dos worms ocorre da seguinte forma:


efetuar análise da rede e identificar computadores

alvo;

aguardar que outros computadores contatem o

computador infetado;

utilizar listas, predefinidas ou obtidas na Internet,

contendo a identificação dos alvos;

utilizar informações contidas no computador infetado,

como ficheiros de configuração e listas de endereços

de e-mail.



b) Envio das cópias: após identificar os alvos,

o worm efetua cópias de si e tenta enviá-

las para estes computadores, através de

uma das seguintes formas:



como parte da exploração de

vulnerabilidades existentes em programas

instalados no computador alvo;

anexadas a e-mails;

via canais de IRC (Internet Relay Chat);

via programas de troca de mensagens

instantâneas;

incluídas em pastas compartilhadas em

redes locais ou do tipo P2P (Peer to Peer).


c. Ativação das cópias: após realizado o

envio da cópia, o worm necessita

ser executado para que a infeção

ocorra, o que pode acontecer de

uma das seguintes formas:


imediatamente após ter sido transmitido,

através da exploração de vulnerabilidades

em programas sendo executados no

computador alvo no momento em que

recebe a cópia;

diretamente pelo usuário, pela execução de

uma das cópias enviadas ao seu

computador;


pela realização de uma ação

específica do utilizador, pela qual o

worm está condicionado como, por

exemplo, a inserção de uma

memória externa.


d. Reinício do processo: após o alvo ser

infetado, o processo de propagação

e infeção recomeça, sendo que, a

partir de agora, o computador que

antes era o alvo passa a ser também

o computador responsável por

ataques.

Documents

Malware