Embed Size (px)
Citation preview
Ricardo ValenteEngenheiro de Sistema Sênior
Symantec do Brasil
Visão Geral sobreVírus de Computador
Ag
Hoje, nós vamos aprender...
• Terminologia dos vírus de computador comuns
• Diferentes tipos de vírus e compreender como eles se espalham
• Técnicas avançadas de vírus• Rápida explanação sobre como funcionam
os antivírus• Onde encontrar informação sobre vírus
Def
Vírus de Computador: Definição
Um vírus de computador é um programa capaz de se auto duplicar.
Um vírus de computador é um parasita por natureza. Em outra palavras, ele necessita de um
hospedeiro para sobreviver e se reproduzir.
Os hospedeiros usuais dos vírus de computador sãoos aplicativos, os discos, documentos ou planilhas.
1st
O Primeiro Vírus para PC
• Janeiro de 1986 (Época do DOS 3.2)– Vírus Brain (ou vírus Pakistan Brain)
• Criado por Basit e Amjad Alvi no Paquistão• Irritados com a extensa pirataria de software no
Paquistão• Somente infecta o setor de inicialização (boot) dos
disquetes de 360KB• Sem carga• Avançados métodos para se esconder (Camuflagem)• Espalha-se com a troca de disquetes
Types
Vários Tipos de Vírus para PC
• Vírus de Setor de Inicialização (Boot Sector)– Infecta os setores de inicialização
• Vírus de Arquivo– Infecta os arquivos de programa ao se anexar a esses arquivos
• Vírus Companheiro– Infecta os arquivos de programa ao criar um arquivo
companheiro
• Vírus de Cluster (ou Vírus de Link)– Infecta a tabela de diretórios
• …..e muitos outros tipos
Criacao
Homens Criam e EspalhamVírus
• Vírus é uma criação humana– Um programa escrito por homens que é
capaz de se duplicar– Eles não se auto-desenvolvem !!!
• Vírus são espalhados por homens, intencionalmente ou não– Espalhados ao se compartilhar programas de
computador ou disquetes
Ex.
Chicks.exeVírus Disco Rígido
Memória
Copiar Chicks.exe para computadorCopiar Chicks.exe para computador>>
Calc.exe
Draw.exe
Chicks.exeVírus
Rodar Chicks.exe (Carrega na memória, executa)Rodar Chicks.exe (Carrega na memória, executa)>>
Calc.exe
Draw.exe
Chicks.exeVírusMemória
Disco RígidoChicks.exeVírus
Chicks.exeVírus
Sair Chicks.exeSair Chicks.exe>>
Calc.exe
Draw.exe
Chicks.exeVírusMemória
Disco RígidoChicks.exeVírus
Chicks.exeVírus
Rodar Rodar Calc.exe Calc.exe (Carrega na memória, executa)(Carrega na memória, executa)>>
Calc.exe Vírus
Draw.exe
Calc.exeMemória
Disco RígidoChicks.exeVírus
Vírus
Chicks.exeVírus
Sair Calc.exeSair Calc.exe>>
Draw.exe
Calc.exeMemória
Disco RígidoChicks.exeVírus
Calc.exe Vírus
Chicks.exeVírus
Vírus
Rodar Rodar Draw.exe Draw.exe (Carrega na memória, executa)(Carrega na memória, executa)>>
VírusDraw.exe
Draw.exe
Carga
Memória
Disco RígidoChicks.exeVírus
Vírus
Calc.exe Vírus
Chicks.exeVírus
Carga
• Efeito colateral Intencional.
• Em vários casos, a carga tem um gatilho condicional.
• Quando a condição for verdadeira, a carga é executada.
Não abra até 1º de Janeiro!
Vamos ver alguns tipos de cargas!Vamos ver alguns tipos de cargas!
Ex
Cargas• Modificam Dados
• Exportam Dados
• Gravam e exportam vozes
• Gravam e exportam teclado
• Interceptam e exportam Comunicações
• Emcriptam dados locais
• Destroem dados locais
• Telefonam
• Introduzem outros códigos maliciosos
• Exportam senhas
Somente 20 a 30% dos vírus têm alguma carga.
Quant.
Hoje,uma ampla gama de vírus
• Aproximadamente 55.000 diferentes vírus• Infectam muitos tipos de arquivos
– COM, EXE, HLP, DOC, XLS, PPT, VBS, HTA…
– Atualmente mais de 80 tipos
• Tipos mais comuns em 2001– Executáveis 32-bit (EXE)
– Scripts (por exemplo, VBS)
– Macros (Word, Excel, PowerPoint)
Macro
Macros
• Macro é uma linguagem de programação• Disponível em muitos aplicativos
– Microsoft Word, Excel, PowerPoint…– Lotus AmiPro– AutoDesk AutoCAD
• Macro tornam as aplicações fáceis de programar e mais poderosas
• Vírus podem ser escritos usando uma linguagem de macro
Ex
Modelo (normal.dot)Winword.exe
Transmissão FAXTransmissão FAX
Transmissão FAXTransmissão FAX
Letter.docFax.doc
Transmissão FAXTransmissão FAX
PARA:ACME CorpPARA:ACME CorpDE: JOEDE: JOE============================A quem A quem interessar…interessar…
Caro John,Caro John,
Como vai? Como vai?
De, SteveDe, SteveExpense.doc
Gastos em janGastos em janTOTAL: $99,00TOTAL: $99,00
macro
macro
macro macro
others
Outros tipos de vírus…
• Grande variedade de linguagens de Script– VBS é um linguagem de programação comum
usado para escrever alguns vírus recentes– VBS.LoveLetter.A foi escrito em VBS
• Vírus são escritos em quase todas as linguagens de programação normalmente utilizadas
Worm
Worms
• Um worm é um programa que se auto-contém e que se copia de um sistema de computador para outro
• Diferente dos vírus, worms não são parasitas e não necessitam de um hospedeiro para infectar
• Percebem uma Rede e/ou Internet• Espalham-se rapidamente em muitos computadores• Dependem menos dos homens para espalharem-se• Exemplo: VBS.LoveLetter.A
Love
LISA?
LISA !!!LISA !!!
mm
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
ILOVEYOUILOVEYOU
Steve acabou de enviar o LoveLetter para todos que estavam no seu catálogo de endereços
dano
O Dano
• Espalha o worm a TODO MUNDO no catálogo de endereço do seu Microsoft Outlook seja por e-mail ou mIRC (Chat na Internet)– Todos os seus amigos, todo mundo na empresa, todos os seus clientes
• Sobrescreve seus arquivos locais ou na rede com o código do worm, mas mantém o nome do arquivo apenas acrescentando VBS no final– vbs, vbe, js, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, htm,
html, xls, ini, bat, com, mp3 and mp2 (ex. hello.gif -> hello.gif.vbs)
• Altera a página inicial no Microsoft Internet Explorer para dar um download num Trojan Ladrão de Senhas– Informações da sua conta/senha RAS ou ISP é enviada a um hacker
• Modifica chaves no Registro– Efeito colateral: sistema instável devido a grandes mudanças no registro
Ef. col
Possíveis Efeitos Colaterais
• Sobrecarga do servidor de e-mail– Derruba servidores Exchange
• Negação de Serviço (Denial of Service)– Muitas companhias desligam os servidores de e-mail
• Perda de Produtividade– Impossibilidade de trabalhar sem serviços de e-mail
• Custos de limpeza e reorganização– $$$
Troj
Um cavalo de tróia é um programa que aparentemente serve a um propósito útil, ainda de, na verdade, realiza uma ação maliciosa.
Programas Trojan normalmente não se espalham como os vírus. Eles precisam ser executados por um usuário inocente ou introduzidos por terceiros.
Os Trojan receberam esse nome devido a famosa lenda homérica na qual as tropas atacantes gregas se esconderam num cavalo de madeira, supostamente um presente dos gregos, e assim conseguiram entrar e capturar a cidade de Tróia pondo um fim na Guerra de Tróia.
Cavalos de Tróia ou Trojan Mal
Tipos Comuns de Software Maliciosos (Malware)
• Vírus– Um programa capaz de se auto duplicar. Necessitam de
um hospedeiro para sobreviverem e se espalharem.
• Worm– Um programa que se copia de um sistema de
computador para outro.
• Trojan– Um programa com uma caracteristica oculta
Hide
Técnicas Avançadas de Ocultamento
– Encriptação– Vírus camuflados
• Habilidade de retornar informações falsas ao sistema para se ocultar
– Retro vírus• Ataca diretamente os programas de antivírus
– Vírus Polimórficos• Habilidade de mutação
Patrulha
Vírus Não-Camuflado
Encontrei um vírus!!!
Vírus Camuflado
A casa é para aquele
lado...
Tudo parece estar indo bem.
assin
Como funcionam os antivírus?
• Anti vírus usam “impressões digitais” ou assinaturas de vírus para identificar vírus
• Impressões digitais são únicas nos vírus, assim como as impressões digitais humanas.
• Os antivírus têm uma base de dados com as impressões digitais de vírus
Quando o antivírus verifica um arquivo, compara a impressão digital do arquivo com as que estão na base de dados.
Retro
Retro vírus
• “Retro vírus” de computador atacam softwares antivírus!
• Normalmente apagam os arquivos das impressões digitais ou alteram a base de dados de detecção das assinaturas de vírus.
• Não afetarão produtos AV que realizam verificações em si mesmo.
polym
Os Vírus PolimórficosPolimorcicos
O vírus polimórfico realmente muta-se cada vez que infecta um programa novo,
disco ou documento!
Alguns vírus polimórficos podem ter literalmente um quadrilhão de trilhão de
formas possíveis:1,000,000,000,000,000,000,000,000,000
(Isto é muito zeros!)
Estes vírus são muito mais difíceis para um programa antivírus detectar!
Hoax
Vírus Hoax (Falsos)Acaba de ser descoberto um novo vírus que foi classificado pela Microsoft e pela Symantec como sendo o mais destruidor de todos os tempos !!!! Este vírus foi descoberto ontem a tarde pela mcafee e ainda não foidesenvolvida uma vacina !!!! Ele simplesmente destroi a trilha zero do disco rígido, onde ficam guardadas informações vitais de seu funcionamento. Ele age da seguinte maneira: 1- Se auto-envia para todos da sua lista com o título: 'Um cartão virtual pra vc.' 2- Trava o micro para que o usuario de o boot 3- No momento em que são pressionadas as teclas ctrl+alt+del ou o botao reset é pressionado, ele destroi a trilha zero e, assim sendo, destroi para sempre o disco rigido. Por favor, distribuam para o maior número de pessoas !!!! Em algumas horas de ontem este vírus já causou pânico em Nova York...
Veja no site do SARC a extensa lista de vírus hoax.Não deixe eles lhe enganar e não o passe a frente.
Sample
Requisitar uma Amostra de Vírus
• Antes de tudo, nunca brinque com um vírus no seu computador.
• Vírus teste EICARX5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
• Não é um vírus real. Ele não infecta. Dispara a maioria dos produtos antivírus.
• O vírus teste EICAR está disponível no site do SARC na web.
inf
Informações sobre Vírus
• Web site do SARC• http://www.sarc.com/
• Enciclopédia de Vírus
• Material de referência
• Boletim mensal do SARC
dicas
Dicas de Computação Segura1. Mantenha os arquivos de definição de vírus atualizados2. Faça backups regularmente de todos os dados importantes3. Sempre use proteção em tempo de execução4. Saiba quem são os criadores originais dos e-mails com anexos5. Saiba o porquê de um anexo antes de abri-lo.6. Não seja enganado pelos e-mails com vírus hoax.7. Mantenha atualizado o software de Internet8. Tenha cuidado com grupos de discussão (newsgroups) e listas
de e-mail (mail list)9. Tenha uma fonte de informação sobre vírus de confiança10. Proteja seu hardware
QA
Perguntas?
