TÉCNICAS DE DETECÇÃO DE VÍRUS

TÉCNICAS DE DETECÇÃO DE VÍRUS
12/04/2017 Técnicas de Detecção de Vírus TÉCNICAS DE DETECÇÃO DE VÍRUS Roberto Cássio Silva do Nascimento Júnior (rcsdnj) Manoel Gilvan Calou de Araújo e Sá Filho (mgcasf)

ROTEIRO DA APRESENTAÇÃO
12/04/2017 ROTEIRO DA APRESENTAÇÃO Técnicas de Detecção de Vírus Algumas definições Prejuízos ocasionados por vírus e similares Um pouco de história Funcionamento básico Técnicas utilizadas por vírus Tipos de vírus Técnicas de detecção Limitações dos softwares anti-vírus Como prevenir Conclusão Referências

Técnicas de Detecção de Vírus
12/04/2017 ALGUMAS DEFINIÇÕES Técnicas de Detecção de Vírus Vírus x Worm O comportamento é bastante similar O vírus necessita de um “hospedeiro” a ser executado, como meio para se propagar Worm não depende de intervenção humana para seu espalhamento Worm explora vulnerabilidades do sistema ou do comportamento das pessoas É assim que os analistas de malware fazem a diferenciação. O termo “worm”, que significa “minhoca”, possui sentido lógico, se você pensar que uma minhoca se aproveita de “buracos” (no caso, as falhas do sistema) para sobreviver. A analogia também é óbvia com o termo “vírus”, que necessita de um hospedeiro.

12/04/2017 ALGUMAS DEFINIÇÕES Técnicas de Detecção de Vírus Trojans Atuam indesejadamente, e podem causar danos, da mesma forma como vírus e worms A diferença consiste apenas na falta de um mecanismo de auto-replicação Bots Possui as características básicas de um worm Em geral, possuem uma gama aumentada de meios para infectar Provêem serviços como espionagem, suporte a spam, ataques de DoS, etc.

PREJUÍZOS OCASIONADOS POR VÍRUS E SIMILARES
12/04/2017 PREJUÍZOS OCASIONADOS POR VÍRUS E SIMILARES Técnicas de Detecção de Vírus Estimativa: U$ 200 por host infectado Tempo perdido na empresa com tratamento do problema Gastos com suporte Danos morais / à imagem Ações danosas para outras pessoas podem partir de uma máquina hospedeira, cujo dono sequer tem conhecimento do problema... Empresas podem perder credibilidade devido a ações de software desse tipo Ajudam a espalhar a maldição do spam Como se pode perceber, o custo vai além do que, nós, usuários domésticos, imaginamos quando perdemos apenas algumas horas de nosso tempo em casa “brigando” com a máquina para remover estas pragas. Para uma empresa que dependem de seus sistemas computacionais para funcionar, as perdas são muito significativas, lembrando sempre também que “tempo é dinheiro” é mais que um jargão americano, é uma realidade. De forma indireta, o spam indiretamente também faz as empresas perderem tempo e dinheiro.

12/04/2017 UM POUCO DE HISTÓRIA Técnicas de Detecção de Vírus Existem trabalhos teóricos desde o final da década de 40, a respeito (Von Neumann) Teorema da recursão Década de 70: Vírus Creeper Utilizava a rede militar ARPANET, precursora da Internet “I am the Creeper – catch me if you can” Vírus Reaper Apagava as instâncias do Creeper que encontrava Pergunta-se se não foi feito pelo mesmo que criou o Creeper O Creeper ganhava acesso, de forma independente, através do modem e então copiava-se para o sistema remoto. Os sistemas infectados mostravam sempre esta mensagem Pergunta-se até hoje se o vírus Reaper foi uma resposta ao Creeper ou algo criado pelo próprio autor do Creeper para cancelar o que havia feito.

12/04/2017 UM POUCO DE HISTÓRIA Técnicas de Detecção de Vírus Década de 70 (cont.): Vírus “Rabbit” Apenas multiplicavam-se, sem ação alguma Acabavam travando ao exceder um certo número de infecções 80's Apple II Elk Cloner Primeiro vírus a ter alcance em larga escala 1992 Já 1300 diferentes vírus existentes (aumento de 420% em relação a 1990) Com o crescimento explosivo da utilização dos computadores pessoais, não há nada de surpreendente no aumento estrondoso da quantidade de vírus existentes, e suas evoluções tecnológicas. O mundo está repleto de ociosos, curiosos, e pessoas mal-intencionadas também, junte isso ao fato que não existem sistemas computacionais (softwares) “perfeitos” e você percebe que a realidade é, na verdade, fruto do óbvio.

12/04/2017 FUNCIONAMENTO BÁSICO Técnicas de Detecção de Vírus Quando um arquivo ou setor de inicalização infectado é executado... O vírus é carregado na memória Altera as rotinas do sistema necessárias para viabilizar as suas ações Ao detectar um outro local passível de ser executado... Abre o destino de infecção Detecta o ponto inicial da execução do código deste local a ser infectado Modifica as instruções iniciais para que contenha um “jump” para as suas próprias instruções Coloca suas próprias instruções anexadas no final do local de execução É importante ressaltar a analogia que um vírus tem com um vírus biológico. O uso do hospedeiro não necessariamente o inutiliza, mas o vírus se aproveita de seu código (seja executável ou genético) para pegar “carona”, e disparar as instruções que lhe convém.

12/04/2017 FUNCIONAMENTO BÁSICO Técnicas de Detecção de Vírus Quando um arquivo ou setor de inicalização executado é executado... (cont.) Ao ser disparado um evento (rotina) que esteja sob seu controle, provoca a ação para a qual foi programado Este evento pode estar associado a algum tipo de timer, e até mesmo só ocorrer numa certa data específica

12/04/2017 TIPOS DE VÍRUS Técnicas de Detecção de Vírus Vírus de Programa Jerusalem, Cascade. Vírus de setor de boot Form, Disk Killer, Michelangelo e Stoned. Alguns vírus infectam boot e também arquivos Vírus de macro Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados Tipos de Vírus Os vírus de PC pertencem a uma dessas três principais categorias: vírus de programa (ou parasitário), vírus de setor de boot e vírus de macro. Os vírus de programa infectam arquivos de programa. Esses arquivos normalmente têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são Jerusalem e Cascade. Os vírus de setor de boot infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos. Todos os disquetes e discos rígidos (incluindo discos com dados apenas) contêm um pequeno programa no registro de inicialização que é executado quando o computador é iniciado. Os vírus de setor de boot anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar a partir do disco infectado. Exemplos de vírus de setor de boot são Form, Disk Killer, Michelangelo e Stoned. (Outra classe de vírus, conhecida como vírus multiparticionados, infecta os registros de boot e os arquivos de programa). Os vírus de macro infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. Variações mais recentes também estão aparecendo em outros programas. Todos estes vírus usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados.

TÉCNICAS UTILIZADAS PELOS VÍRUS
12/04/2017 TÉCNICAS UTILIZADAS PELOS VÍRUS Técnicas de Detecção de Vírus Tunneling Vírus que buscam restaurar as rotinas originais do sistema operacional que foram controladas pelo software antivírus Monitora o funcionamento do antivírus e o analisa com heurísticas Assim, consegue definir uma estratégia ótima de ataque Softwares anti-virus podem detectar isto e se instalam em rotinas sob as que foram utilizadas pelo vírus Vírus mais espertos tentam sobrescrever rotinas sob as rotinas gerenciadas pelo anti-vírus Funciona bem com SOs sem núcleo protegido. A “guerra” entre vírus e anti-vírus acaba gerando problemas no sistema Desde os primeiros e mais simples vírus existentes, criados na década de 60, até os avançados vírus de hoje, muitas técnicas de programação foram aperfeiçoadas de modo a fazer os vírus cada vez mais difíceis de serem detectados, destrutivos ou com extrema facilidade de se proliferar. Hoje em dia, muitas destas técnicas são bem conhecidas da comunidade de vírus (por comunidade de vírus entende-se os criadores de vírus e antivírus, assim como todas as pessoas interessadas no assunto). Algumas das técnicas mais usadas são descritas a seguir. "Tunneling" é uma técnica usada para que os vírus possam ultrapassar programas residentes e tomar o controle de algumas interrupções diretamente. Deste modo, por exemplo, eles podem monitorar qualquer acesso ao disco (rígido ou disquete), enganando antivírus e demais programas. "Stealthing" é a denominação de técnicas para que o vírus seja difícil de ser detectado. Por exemplo, muitos vírus não alteram a data e hora do arquivo que contaminaram ou o tamanho deste; ou ainda, detectam a execução de um programa antivírus e imediatamente "escondem-se", eliminando qualquer vestígio de que estão presentes no sistema, voltando à ativa imediatamente após a execução do programa. Podem também eliminar arquivos de assinaturas dos programas, utilizados por diversos antivírus para verificar a integridade dos mesmos (CHKLIST.MS, ANTI-VIR.DAT, etc). O antivírus é então obrigado a gerar uma nova assinatura baseada no CRC ou checksum do arquivo, que já está contaminado.

12/04/2017 TÉCNICAS UTILIZADAS PELOS VÍRUS Técnicas de Detecção de Vírus Stealthing Mascaramento da presença do vírus quando este tem controle das interrupções do SO Técnicas para que dificultar a detecção do vírus Ex.: Não alterar a data e hora, ou tamanho do arquivo contaminado Modificar rotinas do S.O. para que a leitura das áreas afetadas, quando feita por um antivírus, pareça estar com resultados normais Desde os primeiros e mais simples vírus existentes, criados na década de 60, até os avançados vírus de hoje, muitas técnicas de programação foram aperfeiçoadas de modo a fazer os vírus cada vez mais difíceis de serem detectados, destrutivos ou com extrema facilidade de se proliferar. Hoje em dia, muitas destas técnicas são bem conhecidas da comunidade de vírus (por comunidade de vírus entende-se os criadores de vírus e antivírus, assim como todas as pessoas interessadas no assunto). Algumas das técnicas mais usadas são descritas a seguir. "Tunneling" é uma técnica usada para que os vírus possam ultrapassar programas residentes e tomar o controle de algumas interrupções diretamente. Deste modo, por exemplo, eles podem monitorar qualquer acesso ao disco (rígido ou disquete), enganando antivírus e demais programas. "Stealthing" é a denominação de técnicas para que o vírus seja difícil de ser detectado. Por exemplo, muitos vírus não alteram a data e hora do arquivo que contaminaram ou o tamanho deste; ou ainda, detectam a execução de um programa antivírus e imediatamente "escondem-se", eliminando qualquer vestígio de que estão presentes no sistema, voltando à ativa imediatamente após a execução do programa. Podem também eliminar arquivos de assinaturas dos programas, utilizados por diversos antivírus para verificar a integridade dos mesmos (CHKLIST.MS, ANTI-VIR.DAT, etc). O antivírus é então obrigado a gerar uma nova assinatura baseada no CRC ou checksum do arquivo, que já está contaminado.

12/04/2017 TÉCNICAS UTILIZADAS PELOS VÍRUS Técnicas de Detecção de Vírus Encriptação Utilização de criptografia no código do vírus Pode ser utilizada para dificultar desinfecção de arquivos Pode usar sistema de chave privada ou chave pública Polimorfismo Capacidade do vírus de modificar seu código a cada execução, mantendo a funcionalidade Normalmente se utiliza de criptografia São usados também alguns truques para trocar o código por outro equivalente, sem alterar a função do mesmo Em geral, utiliza-se um misto destas duas técnicas Código alterado com “truques” para a parte de criptografia do vírus Código restante de execução do vírus cifrado Ex.: Tremor (6,000,000,000 de variações) "Encriptação" é umas das técnicas mais usadas. Geralmente, envolve um laço ("loop") no qual o vírus é encriptado ou desencriptado, toda a vez que é executado. Encriptando o vírus, algumas strings não serão visíveis por um editor de arquivos, por exemplo, além de ocultar o código dos antivírus. O modo mais fácil e comum de se fazer isto é usando um laço com o operador lógico XOR. "Polimorfismo" é a capacidade do vírus em mudar seu código fazendo com que cada nova geração seja funcionalmente igual porém fisicamente diferente, ou seja, a cada contaminação o vírus irá trocar parte do seu código por outro que faça a mesma coisa, porém de modo diferente. Isto torna quase impossível a detecção por assinaturas. A procura heurística pode detectar tal tipo de vírus polimórfico com uma boa margem de segurança. O polimorfismo pode ser incorporado em qualquer vírus pelos vários algoritmos já desenvolvidos e disponíveis, que nada mais são do que rotinas prontas facilmente adaptáveis ao código de um vírus. Existem várias delas, que ainda adicionam encriptação, algumas mais complexas que outras, por exemplo: MtE (Mutant Engine), DAME (Dark Angel Multiple Encryptor), TPE (TridenT Polymorphic Engine), SMEG (Simulated Metamorphic Encryption Generator), NED e outras. Os vírus podem incorporar ou não algumas destas técnicas; os mais complexos utilizam-se de todas, e, com uma boa imaginação do autor, podem se tornar indetectáveis por um bom tempo.

12/04/2017 TÉCNICAS DE DETECÇÃO Técnicas de Detecção de Vírus Necessidade de Evolução das técnicas desde 80/90: Novos tipos de arquivos infectados (.DOC, .XLS, .VBS, etc.) Maior quantidade de dados (capacidade dos HDs) Necessidade de separar os tipos de vírus e os tipos de infecções Criatividade dos programadores X Anti-vírus: Com a popularização da internet aumentou a velocidade de proliferação Necessidade de métodos de identificação para vírus novos Necessidade de Evolução das técnicas desde 80/90: Nos últimos anos, as empresas de antivírus precisaram se esforçar ao máximo para criar novas tecnologias de detecção de vírus. Os antivírus dos anos 80/90 utilizavam técnicas muito diferentes dos atuais. Um exemplo é o modo como são pesquisados os arquivos. Antes, o espaço em disco era limitado a 32 MB, e isso forçava o usuário a possuir poucos dados. Com isto, os antivírus não tinham tanta preocupação em otimizar suas pesquisas, pois rapidamente faziam uma pesquisa completa no HD. Outra peculiaridade era que a contaminação de arquivos estava limitada a poucos tipos de arquivos, tais como .COM e .EXE, e outros poucos métodos de infecção, como o boot e o MBR. A evolução foi inevitável. Os discos passaram a suportar dezenas de gigabytes, e diversos outros formatos de arquivos puderam ser vítimas de infecções como, por exemplo, .DOC, .XLS, .VBS, etc. Isto fez com que os antivírus mudassem radicalmente os métodos de pesquisa, já que precisariam melhorar a performance e dar suporte a identificação e remoção de vírus em diversos formatos de arquivos. Um exemplo simples de otimização foi a necessidade de separar os tipos de vírus e os tipos de infecções, pois não existe necessidade, por exemplo, de um vírus que infecta arquivos .EXE ser procurado em arquivos do Word ou Excel, e vice-versa. Criatividade dos programadores X Anti-vírus:

12/04/2017 TÉCNICAS DE DETECÇÃO Técnicas de Detecção de Vírus Há quatro principais técnicas de detecção: Scanning Integrity checking Heuristic detection Interception Tipos de Vírus Os vírus de PC pertencem a uma dessas três principais categorias: vírus de programa (ou parasitário), vírus de setor de boot e vírus de macro. Os vírus de programa infectam arquivos de programa. Esses arquivos normalmente têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são Jerusalem e Cascade. Os vírus de setor de boot infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos. Todos os disquetes e discos rígidos (incluindo discos com dados apenas) contêm um pequeno programa no registro de inicialização que é executado quando o computador é iniciado. Os vírus de setor de boot anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar a partir do disco infectado. Exemplos de vírus de setor de boot são Form, Disk Killer, Michelangelo e Stoned. (Outra classe de vírus, conhecida como vírus multiparticionados, infecta os registros de boot e os arquivos de programa). Os vírus de macro infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. Variações mais recentes também estão aparecendo em outros programas. Todos estes vírus usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H*
12/04/2017 SCANNING Técnicas de Detecção de Vírus Busca por strings características de um vírus particular; Os vírus também se utilizam desta técnica; Busca realizada na memória, no setor de boot e no disco; Código suspeito e checksum também sáo verificados. Exemplo de assinatura: – EICAR: arquivo padrão para teste de detecção de vírus por assinatura, inofensivo. TEST-FILE!$H+H* How does a virus know if it already infected a given program? If the virus has no way of knowing this, then it may end up infecting the same program so many times that the user notices a suspicious loss in disk space.

12/04/2017 SCANNING Técnicas de Detecção de Vírus Má escolha da assinatura pode ocasionar falsos-positivos ou não identificar um vírus Exemplo: !$H+H* Um anti-vírus que procurasse pela assinatura completa, não identificaria esse EICAR alterado Uso de caracteres coringas ajuda: [*] !$H+H*

12/04/2017 SCANNING Técnicas de Detecção de Vírus Dois tipos de Scanning: On-access Os arquivos são carregados na memória e checados antes da execução Vantagem a verificação é feita de forma automática, sem depender da intervenção constante do usuário Desvantagem: consome recursos, degradando o desempenho do sistema On-access Quando os arquivos são carregados na memória antes da execução. On-demand

12/04/2017 SCANNING Técnicas de Detecção de Vírus Dois tipos de Scanning (cont.): On-demand Faz a varredura em toda a memória principal e secundária, incluindo setor de boot O momento da execução é determinado pelo usuário Vantagem: Pode ser agendada para um horário conveniente, não degradando a utilização da máquina Desvantagem: Longo período de execução On-access Quando os arquivos são carregados na memória antes da execução. On-demand

12/04/2017 SCANNING Técnicas de Detecção de Vírus Desvantagens: Identifica apenas vírus conhecidos Vírus polimórficos ou encriptados podem “enganar” a busca pela assinatura Vantagens: Detecta rapidamente vírus que ainda não foram executados; Baixa taxa de falsos-positivos Desvantagens Uma assinatura deve ser bem escolhida, para que sejam evitados falsos-positivos. Os falsos-positivos nada mais são que arquivos "sadios" e que são erroneamente identificados como vírus por um programa antivírus. Usuários comuns não possuem conhecimento necessário para verificar se um arquivo realmente contém vírus ou não. Se um antivírus emite um alerta de infecção em algum arquivo que esteja "sadio", isto poderá causar sérios problemas, pois um arquivo importante poderá ser removido e o sistema poderá ficar inoperável. Vantagens Scanners can find viruses that haven't executed yet - this is critical for worms, which can spread themselves rapidly if not stopped. Also, false alarms have become extremely rare with the software available today. Finally, scanners are also very good at detecting viruses that they have the signatures for.

12/04/2017 INTEGRITY CHECKING Técnicas de Detecção de Vírus Um verificador da integridade grava a informação da integridade sobre arquivos importantes no disco Em geral, é utilizado checksumming; Anti-vírus incorpora um código (valor) ao arquivo; Poucos anti-vírus utilizam esta técnica. Vantagens: Forma mais confiável de provar se um arquivo foi corrompido; Permite restaurar o arquivo após uma possível infecção.

12/04/2017 INTEGRITY CHECKING Técnicas de Detecção de Vírus Program Inoculation: Técnica que camufla um arquivo limpo, em infectado; Adiciona dados benignos ao arquivo; Só funciona para um tipo de vírus por arquivo; Prejudica a checagem de integridade. Vantagens: Forma mais confiável de provar se um arquivo foi corrompido; Permite restaurar o arquivo após uma possível infecção.

12/04/2017 INTEGRITY CHECKING Técnicas de Detecção de Vírus Vantagens: Forma mais confiável de provar se um arquivo foi corrompido; Permite restaurar o arquivo após uma possível infecção ou corrupção. Desvantagens: Softwares não oferecem clareza na checagem de integridade (corrompido ou infectado?); Esta técnica só funciona quando um arquivo já foi infectado; Advantages: Integrity checking is the only way to determine whether a virus has damaged a file, and it's fairly foolproof. Most integrity checkers today also have the benefit of detecting other damage to data, such as corruption, and can restore that as well. Disadvantages: The major problem with integrity checking is that not enough companies offer comprehensive integrity checking software. Most anti-virus suites that do offer it don't protect enough files, and those that they do may not be damaged at all with newer viruses. Simpler integrity checkers won't be able to differentiate between damage done via corruption and damage done via a virus, thus giving the user unclear information as to what's going on. Finally, this process is simply rather cumbersome - in today's computers, many important files are changed by as little as booting up and shutting down, so integrity checkers need to be coupled with scanners for maximum efficacy in detecting viruses. ***There exists a subtler problem with integrity self-checks. Consider a virus that replicates as follows. Once control is sent to the host the virus immediately gains control and searches the file system for two programs to infect. Once found, the virus infects both of them and then disinfects itself from its host in memory.15 The virus then sends control to its host. If the host performs an integrity check on itself in memory then it will pass since it is in the same pristine form that it would be if it were never infected.

12/04/2017 HEURISTIC DETECTION Técnicas de Detecção de Vírus "Heurística" vem da palavra grega "heuriskein" e significa "descobrir“ Técnica utilizada para estudar o comportamento, a estrutura e as características de um arquivo 70% a 90% dos vírus conhecidos e desconhecidos Pode ser realizada de duas formas: Heurística estática; Heurística dinâmica HEURISTIC SCANNING When the number of viruses reached several hundred it was realised that for scanners to be more effective they have to be able to detect new, unknown viruses. There are two ways of catching new viruses – the first is to select very generic search strings that would ensure detection of huge groups of related viruses. The second way is to build a rule-based system that would apply heuristic rules and produce an overall score. If the program does lots of suspicious things the score is high and the program is likely to be a virus. There are two different ways of applying heuristic rules: static and dynamic. The static method checks the presence of a suspicious code fragments (whether they are executed or not). The dynamic method emulates the program and checks which actions are really performed (that is simulation of a virus execution in a virtual environment, frequently called a ‘sandbox’ or an emulator buffer). Neither the static nor dynamic method is ‘better’ – both have advantages and disadvantages. For example, the static method can trigger on the remnants of viral code that are not really executed, or it can miss some suspicious actions that become visible only as execution occurs. Dynamic methods, however, are simply slow. The best results are achieved by combining both methods. With the growing flexibility of AV databases, heuristic detection can now be implemented as part of a database so that it can be updated more easily. That is certainly a good thing as it enables the bugs and false alarms to be fixed quickly.

12/04/2017 HEURISTIC DETECTION Técnicas de Detecção de Vírus Heurística Estática: Checa a presença de fragmentos de código suspeito. Vantagens: Mais rápida; Mais fácil de implementar. Desvantagens: Mais propensa a disparar falsos-positivos; Pode não detectar comportamento suspeito de vírus encriptados e polimórficos.

12/04/2017 HEURISTIC DETECTION Técnicas de Detecção de Vírus Heurística Dinâmica: Emulação de um programa verificando atividade suspeita. Vantagens: Pode verificar o funcionamento de vírus encriptados e polimórficos; Diminui a ocorrência de falsos-positivos. Desvantagens: Mais lenta;

12/04/2017 INTERCEPTION Técnicas de Detecção de Vírus Funciona como uma sub-especialização da análise heurística Monitora a atividade dos processos rodando no computador, e avisa quando existe uma seqüência suspeita Vantagens: É um bom método genérico para evitar ação destrutiva por parte de algum vírus, trojan ou afins Apesar de não identificar o software malicioso, pode impedir maiores danos, parando a sua ação Desvantagens: É um recurso fácil de ser desabilitado pelos vírus Alguns danos podem já ter sido efetivados antes da intercepção ser feita

LIMITAÇÕES DOS SOFTWARES ANTI-VÍRUS
12/04/2017 LIMITAÇÕES DOS SOFTWARES ANTI-VÍRUS Técnicas de Detecção de Vírus Análise Heurística dificilmente detecta vírus de linguagens de alto nível como C/C++, Delphi ou Visual Basic Trojans são menos vulneráveis aos anti-vírus, a menos que eles sejam largamente disseminados, como é o caso do Back Oriffice e do NetBus Mesmo usando as três técnicas citadas combinadas, um software anti-vírus não é capaz de detectar todas as ameaças a um sistema por parte de códigos mal intencionados. São portanto limitações presentes nos atuais software anti-vírus, na maioria das vezes não informadas pelos seus fabricantes e, o que é pior, ignoradas pelos seus usuários. Por exemplo, a Análise Heurística só pode detectar vírus escritos em linguagem Assembly, sendo ineficaz para códigos danosos escritos em linguagens de alto nível como C/C++, Delphi ou Visual Basic. Isto ocorre pois estes códigos são muito maiores e complexos, e usam bibliotecas igualmente complexas, sendo portanto difícil acompanhar o comportamento do mesmo, pois tal monitoramento deve ser feito em um curto espaço de tempo, para não afetar o desempenho do sistema. Assim, os programas conhecidos como Trojans (de “cavalo de tróia”), que fingem ser aplicativos inocentes, são invulneráveis aos anti-vírus a menos que eles sejam largamente disseminados, como é o caso do Back Oriffice e do NetBus. Fora estes, qualquer pessoa com conhecimentos de programação pode construir seu próprio Trojan e distribuir pela Internet. Uma segunda limitação da Análise Heurística é que cada vez mais surgem novos tipos de códigos executáveis, que exigem métodos completamente diferentes de análise do seu comportamento. É o caso dos documentos do Word, que permitem o uso de Macros em Visual Basic no desenvolvimento de rotinas complexas e com poder de realizar muitas ações sobre o Windows, como mexer no Registro e enviar s pelo OutLook. Desenvolver heurísticas para Vírus de Macro é uma tarefa muito difícil, e por isso mesmo, estes são os vírus mais populares e contagiosos da atualidade. Mais recentemente, componentes ActiveX e Applets Java adicionaram um novo risco de segurança, aumentado pelo fato de estes permitirem, mediante furos de segurança, o acesso a sua máquina pelo atacante através da Internet. O futuro caminha para que cada vez mais vírus/trojans e falhas de segurança estejam lado a lado nos ataques à sistemas de computadores na Internet. Por fim, tenha sempre em mente que não basta apenas instalar um software anti-vírus em seu sistema; é preciso ter uma política de segurança para a sua máquina, constituída por uma série de medidas e boas práticas indispensáveis para a manutenção da integridade do seu computador e, até mesmo, a do usuário. Um bom antivírus gratuito é o AVG, desenvolvido por uma empresa Tcheca.

LIMITAÇÕES DOS SOFTWARES ANTI-VÍRUS
12/04/2017 LIMITAÇÕES DOS SOFTWARES ANTI-VÍRUS Técnicas de Detecção de Vírus Vírus de Macro: Maior dificuldade para desenvolver heurísticas Mais populares e contagiosos ActiveX e Applets Java: Novos riscos de segurança -Desenvolver heurísticas para Vírus de Macro é uma tarefa muito difícil, e por isso mesmo, estes são os vírus mais populares e contagiosos da atualidade. -Mais recentemente, componentes ActiveX e Applets Java adicionaram um novo risco de segurança, aumentado pelo fato de estes permitirem, mediante furos de segurança, o acesso a sua máquina pelo atacante através da Internet.

12/04/2017 COMO PREVENIR Técnicas de Detecção de Vírus Verificar se as suas definições de vírus estão atualizadas Evitar deixar um disco flexível no computador quando desligá-lo Suspeitar de anexos de provenientes de origens desconhecidas. Abrir ou executar estes anexos é como “aceitar carona de estranhos” Os vírus mais recentes podem enviar mensagens de que parecem ter sido enviadas por pessoas que você conhece

12/04/2017 COMO PREVENIR Técnicas de Detecção de Vírus Ativar a exibição de extensões para arquivos conhecidos no sistema operacional (desativada por quê?) Arquivos com duplas-extensões, como: .txt.exe ou .jpg.vbs são maliciosos, praticamente sempre Quanto mais pessoas tiverem acesso a um mesmo computador, mais chance de ser infectado Evitar troca de dados com computadores "públicos“ Inspeção manual pode ser uma tática importante, para um usuário mais experiente

12/04/2017 CONCLUSÃO Técnicas de Detecção de Vírus Não existe um método único de detecção para todos os casos Através da análise de padrões de forma, arquitetura e comportamento dos vírus existentes, pode-se criar novos métodos heurísticos para identificar novas ameaças Escritores de vírus estão mais sofisticados e os vírus mais complexos “Para leigos não há limites!” A melhor proteção ainda é o bom senso. Como se pode notar, não existe um método único de detecção para todos os casos. Os antivírus necessitam estar sempre atualizando seus métodos de pesquisa, de modo que possam identificar os novos vírus. Atualmente os vírus se alastram rapidamente, devido à Internet. Muitos aproveitam falhas de softwares e vulnerabilidades do sistema para conseguirem se alastrar. Este tipo de ação forçará as empresas de antivírus a criar novos mecanismos para barrar esta forma de ataque. A escolha de um bom antivírus é essencial. Entretanto, não devemos confiar plenamente em um produto antivírus, pois novos vírus são lançados diariamente, muito mais complexos e usando novas técnicas antidetecção. A melhor maneira de evitar vírus, é usar o computador com bom-senso:

Perguntas / Dúvidas? Técnicas de Detecção de Vírus 12/04/2017
Como se pode notar, não existe um método único de detecção para todos os casos. Os antivírus necessitam estar sempre atualizando seus métodos de pesquisa, de modo que possam identificar os novos vírus. Atualmente os vírus se alastram rapidamente, devido à Internet. Muitos aproveitam falhas de softwares e vulnerabilidades do sistema para conseguirem se alastrar. Este tipo de ação forçará as empresas de antivírus a criar novos mecanismos para barrar esta forma de ataque. A escolha de um bom antivírus é essencial. Entretanto, não devemos confiar plenamente em um produto antivírus, pois novos vírus são lançados diariamente, muito mais complexos e usando novas técnicas antidetecção. A melhor maneira de evitar vírus, é usar o computador com bom-senso:

12/04/2017 REFERÊNCIAS Técnicas de Detecção de Vírus Security focus – Markus Schmall Sha Sha Chu, Brendan Dixon, Peter Lai, Darren Lewis, and Camila Valdes Extreme Tech Lockabit – Bruno da Rocha Braga Como se pode notar, não existe um método único de detecção para todos os casos. Os antivírus necessitam estar sempre atualizando seus métodos de pesquisa, de modo que possam identificar os novos vírus. Atualmente os vírus se alastram rapidamente, devido à Internet. Muitos aproveitam falhas de softwares e vulnerabilidades do sistema para conseguirem se alastrar. Este tipo de ação forçará as empresas de antivírus a criar novos mecanismos para barrar esta forma de ataque. A escolha de um bom antivírus é essencial. Entretanto, não devemos confiar plenamente em um produto antivírus, pois novos vírus são lançados diariamente, muito mais complexos e usando novas técnicas antidetecção. A melhor maneira de evitar vírus, é usar o computador com bom-senso:

12/04/2017 REFERÊNCIAS Técnicas de Detecção de Vírus Malicious Cryptography: Exposing Cryptography, by Adam Young and Moti Yung Erik Kohler Symantec Grisoft Igor Muttik Como se pode notar, não existe um método único de detecção para todos os casos. Os antivírus necessitam estar sempre atualizando seus métodos de pesquisa, de modo que possam identificar os novos vírus. Atualmente os vírus se alastram rapidamente, devido à Internet. Muitos aproveitam falhas de softwares e vulnerabilidades do sistema para conseguirem se alastrar. Este tipo de ação forçará as empresas de antivírus a criar novos mecanismos para barrar esta forma de ataque. A escolha de um bom antivírus é essencial. Entretanto, não devemos confiar plenamente em um produto antivírus, pois novos vírus são lançados diariamente, muito mais complexos e usando novas técnicas antidetecção. A melhor maneira de evitar vírus, é usar o computador com bom-senso:

12/04/2017 REFERÊNCIAS Técnicas de Detecção de Vírus Malicious Cryptography: Exposing Cryptography, by Adam Young and Moti Yung Como se pode notar, não existe um método único de detecção para todos os casos. Os antivírus necessitam estar sempre atualizando seus métodos de pesquisa, de modo que possam identificar os novos vírus. Atualmente os vírus se alastram rapidamente, devido à Internet. Muitos aproveitam falhas de softwares e vulnerabilidades do sistema para conseguirem se alastrar. Este tipo de ação forçará as empresas de antivírus a criar novos mecanismos para barrar esta forma de ataque. A escolha de um bom antivírus é essencial. Entretanto, não devemos confiar plenamente em um produto antivírus, pois novos vírus são lançados diariamente, muito mais complexos e usando novas técnicas antidetecção. A melhor maneira de evitar vírus, é usar o computador com bom-senso:

TÉCNICAS DE DETECÇÃO DE VÍRUS

Apresentações semelhantes

Apresentação em tema: "TÉCNICAS DE DETECÇÃO DE VÍRUS"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback

Login

Autorizar-se através da rede social:

TÉCNICAS DE DETECÇÃO DE VÍRUS

Apresentações semelhantes

Apresentação em tema: "TÉCNICAS DE DETECÇÃO DE VÍRUS"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback