Visão Geral sobre Vírus de Computador Ag Visão Geral sobre Vírus de Computador Ricardo Valente Engenheiro de Sistema Sênior Symantec do Brasil

Hoje, nós vamos aprender... Def Hoje, nós vamos aprender... Terminologia dos vírus de computador comuns Diferentes tipos de vírus e compreender como eles se espalham Técnicas avançadas de vírus Rápida explanação sobre como funcionam os antivírus Onde encontrar informação sobre vírus

Vírus de Computador: Definição 1st Vírus de Computador: Definição Um vírus de computador é um programa capaz de se auto duplicar. Um vírus de computador é um parasita por natureza. Em outra palavras, ele necessita de um hospedeiro para sobreviver e se reproduzir. Os hospedeiros usuais dos vírus de computador são os aplicativos, os discos, documentos ou planilhas.

O Primeiro Vírus para PC Types O Primeiro Vírus para PC Janeiro de 1986 (Época do DOS 3.2) Vírus Brain (ou vírus Pakistan Brain) Criado por Basit e Amjad Alvi no Paquistão Irritados com a extensa pirataria de software no Paquistão Somente infecta o setor de inicialização (boot) dos disquetes de 360KB Sem carga Avançados métodos para se esconder (Camuflagem) Espalha-se com a troca de disquetes

Vários Tipos de Vírus para PC Criacao Vários Tipos de Vírus para PC Vírus de Setor de Inicialização (Boot Sector) Infecta os setores de inicialização Vírus de Arquivo Infecta os arquivos de programa ao se anexar a esses arquivos Vírus Companheiro Infecta os arquivos de programa ao criar um arquivo companheiro Vírus de Cluster (ou Vírus de Link) Infecta a tabela de diretórios …..e muitos outros tipos

Homens Criam e Espalham Vírus Ex. Homens Criam e Espalham Vírus Vírus é uma criação humana Um programa escrito por homens que é capaz de se duplicar Eles não se auto-desenvolvem !!! Vírus são espalhados por homens, intencionalmente ou não Espalhados ao se compartilhar programas de computador ou disquetes

> Chicks.exe Vírus Draw.exe Calc.exe Chicks.exe Vírus Memória Chicks.exe Vírus Disco Rígido Draw.exe Calc.exe Chicks.exe Vírus > Copiar Chicks.exe para computador

> Chicks.exe Vírus Chicks.exe Vírus Draw.exe Calc.exe Chicks.exe Memória Chicks.exe Vírus Chicks.exe Vírus Disco Rígido Draw.exe Calc.exe Chicks.exe Vírus > Rodar Chicks.exe (Carrega na memória, executa)

> Chicks.exe Vírus Chicks.exe Vírus Draw.exe Calc.exe Chicks.exe Memória Chicks.exe Vírus Chicks.exe Vírus Disco Rígido Draw.exe Calc.exe Chicks.exe Vírus > Sair Chicks.exe

> Calc.exe Vírus Chicks.exe Vírus Draw.exe Calc.exe Vírus Memória Calc.exe Vírus Chicks.exe Vírus Disco Rígido Draw.exe Calc.exe Vírus Chicks.exe Vírus > Rodar Calc.exe (Carrega na memória, executa)

> Calc.exe Vírus Chicks.exe Vírus Draw.exe Calc.exe Vírus Memória Calc.exe Vírus Chicks.exe Vírus Disco Rígido Draw.exe Calc.exe Vírus Chicks.exe Vírus > Sair Calc.exe

> Draw.exe Vírus Chicks.exe Vírus Draw.exe Vírus Calc.exe Vírus Carga Memória Draw.exe Vírus Chicks.exe Vírus Disco Rígido Draw.exe Vírus Calc.exe Vírus Chicks.exe Vírus > Rodar Draw.exe (Carrega na memória, executa)

Carga Efeito colateral Intencional. Ex Carga Efeito colateral Intencional. Em vários casos, a carga tem um gatilho condicional. Quando a condição for verdadeira, a carga é executada. Não abra até 1º de Janeiro! Vamos ver alguns tipos de cargas!

Cargas Somente 20 a 30% dos vírus têm alguma carga. Modificam Dados Quant. Cargas Modificam Dados Exportam Dados Gravam e exportam vozes Gravam e exportam teclado Interceptam e exportam Comunicações Emcriptam dados locais Destroem dados locais Telefonam Introduzem outros códigos maliciosos Exportam senhas Somente 20 a 30% dos vírus têm alguma carga.

Hoje,uma ampla gama de vírus Macro Hoje,uma ampla gama de vírus Aproximadamente 55.000 diferentes vírus Infectam muitos tipos de arquivos COM, EXE, HLP, DOC, XLS, PPT, VBS, HTA… Atualmente mais de 80 tipos Tipos mais comuns em 2001 Executáveis 32-bit (EXE) Scripts (por exemplo, VBS) Macros (Word, Excel, PowerPoint)

Macros Macro é uma linguagem de programação Ex Macros Macro é uma linguagem de programação Disponível em muitos aplicativos Microsoft Word, Excel, PowerPoint… Lotus AmiPro AutoDesk AutoCAD Macro tornam as aplicações fáceis de programar e mais poderosas Vírus podem ser escritos usando uma linguagem de macro

macro macro macro macro others Modelo (normal.dot) Transmissão FAX Transmissão FAX macro Winword.exe Gastos em jan TOTAL: $99,00 Letter.doc Fax.doc Transmissão FAX PARA:ACME Corp DE: JOE ============== A quem interessar… Caro John, Como vai? De, Steve macro Expense.doc macro macro

Outros tipos de vírus… Grande variedade de linguagens de Script Worm Outros tipos de vírus… Grande variedade de linguagens de Script VBS é um linguagem de programação comum usado para escrever alguns vírus recentes VBS.LoveLetter.A foi escrito em VBS Vírus são escritos em quase todas as linguagens de programação normalmente utilizadas

Love Worms Um worm é um programa que se auto-contém e que se copia de um sistema de computador para outro Diferente dos vírus, worms não são parasitas e não necessitam de um hospedeiro para infectar Percebem uma Rede e/ou Internet Espalham-se rapidamente em muitos computadores Dependem menos dos homens para espalharem-se Exemplo: VBS.LoveLetter.A

mm LISA !!! LISA?

dano ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU ILOVEYOU Steve acabou de enviar o LoveLetter para todos que estavam no seu catálogo de endereços

Ef. col O Dano Espalha o worm a TODO MUNDO no catálogo de endereço do seu Microsoft Outlook seja por e-mail ou mIRC (Chat na Internet) Todos os seus amigos, todo mundo na empresa, todos os seus clientes Sobrescreve seus arquivos locais ou na rede com o código do worm, mas mantém o nome do arquivo apenas acrescentando VBS no final vbs, vbe, js, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, htm, html, xls, ini, bat, com, mp3 and mp2 (ex. hello.gif -> hello.gif.vbs) Altera a página inicial no Microsoft Internet Explorer para dar um download num Trojan Ladrão de Senhas Informações da sua conta/senha RAS ou ISP é enviada a um hacker Modifica chaves no Registro Efeito colateral: sistema instável devido a grandes mudanças no registro

Possíveis Efeitos Colaterais Troj Possíveis Efeitos Colaterais Sobrecarga do servidor de e-mail Derruba servidores Exchange Negação de Serviço (Denial of Service) Muitas companhias desligam os servidores de e-mail Perda de Produtividade Impossibilidade de trabalhar sem serviços de e-mail Custos de limpeza e reorganização $$$

Cavalos de Tróia ou Trojan Mal Um cavalo de tróia é um programa que aparentemente serve a um propósito útil, ainda de, na verdade, realiza uma ação maliciosa. Os Trojan receberam esse nome devido a famosa lenda homérica na qual as tropas atacantes gregas se esconderam num cavalo de madeira, supostamente um presente dos gregos, e assim conseguiram entrar e capturar a cidade de Tróia pondo um fim na Guerra de Tróia. Programas Trojan normalmente não se espalham como os vírus. Eles precisam ser executados por um usuário inocente ou introduzidos por terceiros.

Tipos Comuns de Software Maliciosos (Malware) Hide Tipos Comuns de Software Maliciosos (Malware) Vírus Um programa capaz de se auto duplicar. Necessitam de um hospedeiro para sobreviverem e se espalharem. Worm Um programa que se copia de um sistema de computador para outro. Trojan Um programa com uma caracteristica oculta

Técnicas Avançadas de Ocultamento Patrulha Técnicas Avançadas de Ocultamento Encriptação Vírus camuflados Habilidade de retornar informações falsas ao sistema para se ocultar Retro vírus Ataca diretamente os programas de antivírus Vírus Polimórficos Habilidade de mutação

Vírus Não-Camuflado Encontrei um vírus!!!

A casa é para aquele lado... assin Vírus Camuflado A casa é para aquele lado... Tudo parece estar indo bem.

Como funcionam os antivírus? Retro Como funcionam os antivírus? Anti vírus usam “impressões digitais” ou assinaturas de vírus para identificar vírus Impressões digitais são únicas nos vírus, assim como as impressões digitais humanas. Os antivírus têm uma base de dados com as impressões digitais de vírus Quando o antivírus verifica um arquivo, compara a impressão digital do arquivo com as que estão na base de dados.

Retro vírus “Retro vírus” de computador atacam softwares antivírus! polym Retro vírus “Retro vírus” de computador atacam softwares antivírus! Normalmente apagam os arquivos das impressões digitais ou alteram a base de dados de detecção das assinaturas de vírus. Não afetarão produtos AV que realizam verificações em si mesmo.

Os Vírus Polimórficos Polimorcicos Polimórficos Hoax Os Vírus Polimórficos Polimórficos Polimorcicos Polimórficos O vírus polimórfico realmente muta-se cada vez que infecta um programa novo, disco ou documento! Alguns vírus polimórficos podem ter literalmente um quadrilhão de trilhão de formas possíveis: 1,000,000,000,000,000,000,000,000,000 (Isto é muito zeros!) Estes vírus são muito mais difíceis para um programa antivírus detectar!

Sample Vírus Hoax (Falsos) Acaba de ser descoberto um novo vírus que foi classificado pela Microsoft e pela Symantec como sendo o mais destruidor de todos os tempos !!!!  Este vírus foi descoberto ontem a tarde pela mcafee e ainda não foi desenvolvida uma vacina !!!!  Ele simplesmente destroi a trilha zero do disco rígido, onde ficam guardadas informações vitais de seu funcionamento. Ele age da seguinte maneira:  1- Se auto-envia para todos da sua lista com o título:   'Um cartão virtual pra vc.'  2- Trava o micro para que o usuario de o boot  3- No momento em que são pressionadas as teclas ctrl+alt+del ou o botao reset é pressionado, ele destroi a trilha zero e, assim sendo, destroi para sempre o disco rigido.  Por favor, distribuam para o maior número de pessoas !!!! Em algumas horas de ontem este vírus já causou pânico em Nova York... Veja no site do SARC a extensa lista de vírus hoax. Não deixe eles lhe enganar e não o passe a frente.

Requisitar uma Amostra de Vírus inf Requisitar uma Amostra de Vírus Antes de tudo, nunca brinque com um vírus no seu computador. Vírus teste EICAR X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Não é um vírus real. Ele não infecta. Dispara a maioria dos produtos antivírus. O vírus teste EICAR está disponível no site do SARC na web.

Informações sobre Vírus dicas Informações sobre Vírus Web site do SARC http://www.sarc.com/ Enciclopédia de Vírus Material de referência Boletim mensal do SARC

Dicas de Computação Segura QA Dicas de Computação Segura Mantenha os arquivos de definição de vírus atualizados Faça backups regularmente de todos os dados importantes Sempre use proteção em tempo de execução Saiba quem são os criadores originais dos e-mails com anexos Saiba o porquê de um anexo antes de abri-lo. Não seja enganado pelos e-mails com vírus hoax. Mantenha atualizado o software de Internet Tenha cuidado com grupos de discussão (newsgroups) e listas de e-mail (mail list) Tenha uma fonte de informação sobre vírus de confiança Proteja seu hardware

Perguntas?