FACULDADE ANSIO TEIXEIRA

MALWARE

ENNIO JOS FREITAS SOUSA

FEIRA DE SANTANA
2015

Da mesma forma que o uso da Internet cresce dia a dia, os problemas vem
crescendo no mesmo ritmo. Uma variedade de artifcios para prejudicar ou
atrapalhar os internautas se espalha pela rede, por trs de uma simples mensagem
podem haver vrus, cavalos de troia e outros programas maliciosos [1]. Sendo
malware todo e qualquer software que faa algo que cause detrimento ao usurio,
mquina ou rede de computadores.
1. Variantes
Existem diversas variaes de como um malware pode ser classificado,
quanto ao seu meio de disseminao, dependncia de host etc. Apesar de existirem
divergncias entre pesquisadores sobre a classificao de um malware, possvel
minimamente citar as variantes a seguir:
1. 1. Worms
Worms so uma variante especfica de vrus de rede, inicialmente replicados
atravs de uma rede de computadores. Worms possuem a caracterstica de no
necessitarem de interao humana para realizar sua autoinfeco.
1.1.1. Worm de Morris
O primeiro caso notrio em que foi encontrado um worm remete ao worm de
Morris. Tal qual worms como conhecemos hoje, o worm de Morris era capaz de se
autorreplicar, fazendo isso atravs da explorao de vulnerabilidades conhecidas.
Apesar de ter sido projetado simplesmente como exerccio intelectual e no
possuir um payload (parte do worm que contm sua lgica, indicando que o mesmo
deve fazer) malicioso, o worm de Morris, em decorrncia de uma falha na lgica do
mesmo, acabou gerando um DoS (Denial of Service).
1.1.2. SQL Slammer
Explorando um buffer overflow (sendo este j conhecido desde Julho de 2002
e com correo disponvel) no Microsoft SQL Server Desktop Engine (MSDE) 2000,
aliado ao seu mecanismo de autorreplicao, o SQL Slammer foi o worm com a
maior velocidade de disseminao at ento escrito e identificado.
Dentre os principais motivos para sua rpida disseminao est o fato de este
se limitar apenas banda da mquina e de ser necessrio apenas um pacote UDP
(User Datagram Packet) de 404 bytes.

1. 2. Vrus

Vrus de computadores so cdigos com capacidade de se autorreplicar

recursivamente. Vrus infectam um host, rea do sistema ou simplesmente alteram
referncias a objetos de modo a se multiplicarem de gerao em gerao.
Existem reconhecidamente cinco tipos de vrus de computadores, a saber:
Vrus
de
infeco
de
arquivos
So vrus que normalmente infectam cdigo executvel, como.exe e.com.
Muitos vrus presentes nessa classe so residentes em memria. Aps a
memria ser infectada qualquer executvel outrora no infectado passa a ser
infectado.
Vrus
de
setor
de
boot
So vrus que infectam o setor de inicializao de um disco, seja rgido ou
flexvel. So naturalmente residentes em memria e se inserem no setor de
inicializao de modo que ao tentar iniciar algo a partir do disco o vrus
executado.
Vrus
de
MBR
(master
boot
record):
Tal qual os vrus de setor de boot, os vrus de MBR infectam o setor de boot
dos discos. A diferena bsica entre estes reside no lugar onde o cdigo viral
salvo: vrus MBR geralmente salvam uma cpia do MBR em um lugar
distinto.
Vrus
multipartidos
So vrus hbridos que tanto alteram o setor de boot quanto os executveis,
tornando
particularmente
difcil
o
processo
de
remoo.
Vrus
de
macros
So vrus que visam infectar arquivos de dados, como arquivos do Excel,
Word, Access, Power Point. Alm disso, com o advento do Visual Basic no
pacote office 97, os vrus de macros passaram a poder infectar outros tipos de
arquivos.

1.3. Rootkits
Um rootkit um software, ou conjunto de softwares, que possui o intuito de
esconder determinadas atividades e comportamentos de um sistema. Tal
caracterstica faz com que os rootkits sejam de grande utilidade para atacantes que
querem ter seus malwares persistidos no sistema por um longo perodo de tempo.
Isso feito escondendo informaes que indiquem um comportamento malicioso

durante a anlise forense de um sistema. Apesar de no mandatrio, rootkits

costumam esconder: arquivos, processos, drivers etc.
Um dos principais questionamentos relativos a rootkits reside na existncia ou
no de um contedo malicioso associado a este. Conceitualmente, rootkits no so
considerados necessariamente malwares.
De forma mais precisa, podemos dizer que rootkits possuem minimamente
trs funcionalidades, a saber:
Dissimulao
Tm-se por dissimulao a caracterstica de tornar detectar a presena do
prprio rootkit ou outros softwares convenientemente escolhidos.
Comando
e
controle
O comando e controle, tambm chamado de C&C ou C2 a parte do rootkit
que permite o controle da mquina alvo, informando quais aes esta
mquina
deve
executar
Vigilncia
a poro de software do rootkit que permite a captura de informaes
atravs da vigilncia das aes tomadas pelo usurio ou softwares presentes
no sistema.
Dadas as trs caractersticas bsicas de um rootkit possvel verificar que
softwares diversos possuem uma ou mais caractersticas que citamos. Tais
softwares se usados em conjunto podem ser encarados como um rootkit. Dispondo
das informaes supracitadas, possvel descrever uma definio precisa
sobre o que um rootkit.
Um rootkit estabelece uma interface remota com uma mquina que permite
que o sistema seja manipulado (comando e controle), dados sejam coletados
(vigilncia) e de certa forma seja difcil de ser observado.
1.4. Trojan horses
Cavalos de Tria, ou trojans, so considerados a forma mais simples de
cdigo malicioso. Por muitas vezes, os trojans tentam se dissimular atravs de um
programa lcito, sendo este tipo de cdigo muitas vezes inserido dentro de
ferramentas reais. Uma vez instalado, o trojan passa ento a permitir que atividades
maliciosas sejam realizadas.
Uma diferena bsica entre trojans e vrus o fato de os Cavalos de Tria
no serem cdigos autorreplicantes.

O comportamento dos trojans varia e pode se basear em gatilhos para

realizar aes como: apagar arquivos, roubar dados especficos ou mesmo criar
uma backdoor.
1.5. Backdoors
Backdoor tipicamente uma ferramenta, escolhida pelo atacante, que
possibilita acesso e controle de um sistema aps a execuo de um malware. Esto
intimamente ligados aos trojans, uma vez que estes so muitas vezes instalados a
partir deles.
Como comportamento padro, backdoors abrem uma porta TCP/UDP (ou
fazem uso de uma j aberta) de modo a permitir uma comunicao externa [2].
1.6. Phishing
Phishing um tipo de fraude projetada para roubar informaes valiosas
particulares. Utilizando pretextos enganosos, uma pessoa mal-intencionada tenta
obter informaes como nmeros de cartes de crdito, senhas, dados de contas ou
outras informaes pessoais convencendo voc a fornec-las. Esquemas de
phishing normalmente surgem por meio de spam ou janelas pop-up.
Os Phishers adotam diversos vetores para distribuir seus ataques, indo do
massivo envio de mensagens conhecido como spam, at ataques altamente
focalizados, conhecidos como Spear Phishing. De qualquer modo, os ataques tm
nvel razoavelmente alto de sucesso, ultrapassando os 5%, de acordo com o AntiPhishing Working Group.
Existem vrios tipos de mensagens eletrnicas utilizadas, sendo elas:
1.6.1. Email
O criminoso envia emails falsos se passando por entidades populares e
consideradas populares como sites de entretenimento, bancos, empresas de carto
de crdito etc. O envio desses emails so feitos por servidores de email mal
configurados ou computadores pessoais infectados por Cavalo de Troia [3].
1.6.2. Ataque ao Servidor DNS
Ataque baseado na tcnica "DNS cache poisoning", ou envenenamento de
cache DNS, que consiste em corromper o DNS em uma rede de computadores,
fazendo com que a URL de um site passe a apontar para um servidor diferente do
original. Ao digitar o endereo do site que deseja acessar, um banco por exemplo, o

servidor DNS converte o endereo IP do servidor do banco. Se o servidor DNS

estiver vulnervel a um ataque de Pharming, o endereo poder apontar para uma
pgina falsa hospedada em outro servidor com outro endereo IP, que esteja sob
controle de um golpista [4].
1.7. Spyware
Spyware um programa automatico que colhe informaes vigiando sobre o
usurio e sem o consentimento envia estas informaes para terceiros.
Os spywares tambm podem ser desenvolvidos por empresas que desejam
monitorar o hbito dos usurios para avaliar seus costumes e vender seus produtos
e servios, ou at mesmo vender os dados. Desta forma, estas firmas costumam
produzir inmeras variantes de seus programas-espies, aperfeioando-o,
dificultando em muito a sua remoo [5].
1.8.

Honeypot

HoneyPot uma ferramenta que tem a funo de propositalmente simular

falhas de segurana de um sistema e colher informaes sobre o invasor. um
espcie de armadilha para invasores, pois, permite que utilizemos deter atacantes,
detectar ataques, capturar e analisar ataques automatizados como worms alm de
fornecer informaes importantes sobre a comunidade hacker.
Podemos classificar as honeypots em duas categorias gerais: Honeypots
de Produo e Honeypots de Pesquisa. Estas categorias foram primeiro
propostas por Marty Roesch, desenvolvedor do Snort.
1.8.1. Honeypots de Produo
Honeypots de Produo, so sistemas que aumentam a segurana de
um organizao especfica e ajudam a mitigar riscos. So mais fceis de construir
porque requerem menos funcionalidades. Usualmente possuem as mesmas configuraes que a rede de produo da organizao e transportam para ela todo
o aprendizado obtido com os ataques sofridos.
1.8.2. Honeypots de Pesquisa
As Honeypots de Pesquisa oferecem uma plataforma de estudo visando
compreender a comunidade hacker, no apenas estudar as ferramentas utilizadas
para a invaso, que normalmente so deixadas no sistema pelo atacante, mas
obter informaes preciosas como: qual ferramenta utilizada para testar o sistema,
qual exploit utilizado para compromet-lo e cada tecla utilizada aps a invaso do
sistema.

Embora o ganho de conhecimento sobre as aes e motivaes da

comunidade hacker seja enorme, uma Honeypot de Pesquisa pouco acrescenta a
uma organizao, pois esto focadas nas aes do atacante e no apenas sua
deteco [6].

1.9. Projeto Honeynet

Fundado em 1999, o Projeto Honeynet uma organizao de pesquisa sem
fins lucrativos dedicada a investigar os ltimos ataques de malware e
desenvolvimento de ferramentas de segurana open source para melhorar a
segurana na internet.
O Projeto Honeynet centra-se em trs objetivos principais:
aumentar a conscincia das ameaas existentes na internet;
realizar pesquisa abordando anlise de dados, desenvolvimento de
ferramenta de segurana e reunir dados sobre os atacantes e softwares malintencionados que usam.
fornecer as suas ferramentas e tcnicas utilizadas para que outras
organizaes podem se beneficiar [7].
1.10. Ataques DoS:
Ataque de negao de servio (tambm conhecido como DoS Attack, um
acrnimo em ingls para Denial of Service), uma tentativa em tornar os recursos
de um sistema indisponveis para seus utilizadores. Por serem muito parecidos,
muitas pessoas confundem os ataques DoS com os DDoS. A principal diferena
entre os dois na forma com que eles so feitos. Enquanto o ataque DDoS
distribudo entre vrias mquinas, o ataque DoS feito por apenas um invasor que
envia vrios pacotes.
Os ataques DoS so bem mais fceis de evitar com algumas regras em
firewalls. Alm disso, preciso uma conexo de banda larga e um computador
capaz de enviar muitos pacotes ao mesmo tempo para que esse tipo de ataque
tenha sucesso [8].
1.11. Ataque DDoS
Ao contrrio das invases, os ataques DDoS no so pensados em roubo de
dados, mas sim como uma forma de tirar do ar os servidores. Esses ataques se
tratam basicamente de tentar enviar vrios pacotes ao mesmo tempo para um
servidor, fazendo com que ele fique sobrecarregado.

Os ataques DDoS so organizados hierarquicamente. No topo da hierarquia

est o atacante, depois os mestres, os milhares de zumbis, e no fim a vtima. Os
zumbis so, em quase todos os casos, involuntrios onde os crackers utilizam de
vulnerabilidades no SO e engenharia social para torna-los zumbis [8].
H criminosos que vendem estes ataques na internet, geralmente quem
contrata so empresas concorrentes visando arranhar a imagem da rival [9]. Da
mesma forma que h criminosos vendendo servios de ataque, h tambm
empresas que vendem servio de proteo a estes ataques como o CloudFlare [10].
1.12. Firewalking
Desenvolvido por Mike Schiffman e David Goldsmith, o Firewalking uma
tcnica para testar a vulnerabilidade de um firewall e mapeando os roteadores de
uma rede que est atrs de um firewall.
Firewalking um mtodo de disfarando varreduras de portas. Em aplicaes
prticas, firewalking semelhante ao tracerouting e funciona atravs do envio de
pacotes TCP ou UDP de firewall que tem um TTL definido em um salto maior que o
firewall do alvo.
Se o pacote atravs do gateway, ele encaminhado para o prximo salto onde o
TTL igual a zero e provoca uma mensagem TTL "excedido em trnsito", no ponto em
que o pacote ser descartado. Usando esse mtodo, informaes de acesso no
firewall podem ser determinadas se sonda sucessivos pacotes so enviados [11].

REFERNCIAS
[1] Antispam.br. Disponvel em <http://antispam.br/videos/>. Acessado em 28
mar. 2015.
[2] FERRAZ ARCOVERDE, H. Malwares brasileiros: tcnicas, alvos e
tendncias. 2013. Dissertao de Mestrado Centro de Informtica, Universidade
Federal de Pernambuco, Recife. 2013.
[3] Grupo de respostas a Incidentes de Segurana, Departamento de Cincia
da Computao da Universidade Federal do Rio de Janeiro. Disponvel em
<http://gris.dcc.ufrj.br/news/projetos/truta/phishing>. Acessado em 28 mar. 2015.
[4] Phishing, Wikipdia. Disponvel em <http://pt.wikipedia.org/wiki/Phishing>.
Acessado em 28 mar. 2015.
[5] Spyware, Wikipdia. Disponvel em <http://pt.wikipedia.org/wiki/Spyware>.
Acessado em 28 mar. 2015.
[6] SOUZA AZEVEDO, T. Honeypots - A segurana atravs do disfarce.
Universidade Federal do Rio de Janeiro / COPPE. 9 ago. 2005.
[7] Porjeto Honeynet. Disponvel em <http://www.honeynet.org/about>.
Acessado em 28 mar. 2015.
[8] Entenda o que so os ataques DoS e DDoS, TechTudo . Disponvel em
<http://www.techtudo.com.br/artigos/noticia/2012/01/entenda-o-que-sao-os-ataquesdos-e-ddos.html>. Acessado em 28 mar. 2015.
[9] Vdeos no Youtube anunciam venda de ataques DDos, Web Segura.
Disponvel em <http://www.websegura.net/videos-no-youtube-anunciam-venda-deataques-ddos/>. Acessado em 28 mar. 2015.
[10] DDoS, CloudFlare. Disponvel em <https://www.cloudflare.com/ddos>.
Acessado em 28 mar. 2015.
[11]
Firewalking,
Webopedia.
Disponvel
em
<http://www.webopedia.com/TERM/F/firewalking.html>. Acessado em 28 mar. 2015.