Gironsoft - Vírus de Computador

Os vírus de computador têm um grande poder de destruição: falhas em arquivos, desaparecimento de dados importantes, produtividade interrompida, redes inteiras derrubadas. As soluções antivírus protegem as redes em vários pontos de entrada contra vírus conhecidos e desconhecidos. Através desta página a Gironsoft sempre irá trazer as informações mais atualizadas sobre este polêmico assunto, saiba tudo sobre os últimos vírus, proteja-se fazendo o download das últimas versões de antivírus e saiba tudo sobre os boatos que rondam a Internet.

43,1%: Banker
Bankers são vírus brasileiros que roubam senhas de bancos, MSN, Orkut e cartões de crédito. Alguns são também capazes de roubar senhas de provedores como Globo, Terra e UOL. Muitos são espalhados manualmente pelos seus criadores, que enviam e-mails fraudulentos (falsos) para milhares de pessoas que, caso abram a mensagem e o link nela presente, serão infectadas. Outros se espalham automaticamente por meio de mensagens de MSN e recados e depoimentos do Orkut.

Para evitar os Bankers é importante tomar extremo cuidado durante a abertura de links recebidos por meio de mensagens de e-mail, Orkut e MSN.
12,4%: Bot
Bot é um tipo de código malicioso que torna cada computador infectado um “zumbi” a serviço do criador da praga. A rede de computadores infectados por um mesmo bot é chamada de botnet (rede zumbi). Os controladores das Botnets as utilizam para enviar spam, atacar websites e exigir dinheiro de seus donos para parar o ataque, roubar dados dos sistemas infectados, hospedar códigos maliciosos e sites falsos para roubo de senha, entre outros usos.

Botnets podem ser formadas por milhares de máquinas. A maioria dos bots se espalha utilizando falhas no Windows, portanto manter o sistema atualizado é recomendado. Outros bots se espalham por meio de arquivos falsos em redes Peer-to-Peer (P2P).
5,7%: Vundo
O Vundo é uma praga semelhante ao Wareout e ao Smitfraud. Ao invés de instalar um software de segurança falso imediatamente, ele cria pop-ups e mensagens de alerta no computador até que o usuário autorize a instalação do programa de segurança.

O Vundo (também conhecido como Virtumonde) geralmente instala programas da WinSoftware, tais como o WinAntivirus e WinFixer. A WinSoftware é conhecida por práticas publicitárias enganosas, como no caso do vírus Backtera.

Remover o Vundo é uma tarefa complexa. O programa VundoFix pode ajudar, mas algumas das versões mais novas do Vundo conseguem se esconder no sistema e podem não ser detectadas pelo VundoFix.
5,5%: Adware
Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

Com o aumento da pressão sob os adwares mais conhecidos, os adwares genéricos — que são instalados ilegalmente sem qualquer punição — se tornaram mais viáveis para donos de botnet que querem ganhar dinheiro instalando adwares nos computadores que infectam.
5,4%: Lop
C2.Lop é a praga instalada pelo Messenger Plus!. O C2.Lop é capaz de redirecionar o Internet Explorer, instalar ícones na área de trabalho e exibir pop-ups que levam o usuário a outras pragas digitais, como o Vundo. Um sintoma conhecido é o aparecimento de uma barra azul que divulga cassinos e outros sites pouco confiáveis.

A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível instalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP).
5,1%: Backdoor
Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um cracker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

Nessa classe estão os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin. Um exemplo de Backdoor malicioso é o BiFrost (também chamado de BiFrose).
2,9%: Smitfraud
Smitfraud é um conjunto de infecções que instala no computador afetado um anti-spyware fraudulento que tenta remover a própria infecção que o instalou. Em outras palavras, os criadores do Smitfraud vendem a solução para o problema que eles mesmos criaram. Esses anti-spywares são geralmente caros e ruins — muitas vezes detectam pragas que nem sequer existem no sistema e deixam passar casos reais de infecção.
2,3%: Bagle
Uma variante do worm Bagle que utiliza rootkits para dificultar sua remoção gerou vários casos no Fórum Linha Defensiva este mês. A mesma variante causou problemas em Janeiro, com 1,6% das infecções, e em março de 2007, quando apareceu no Top 10 com 1,9% das infecções.
1,4%: Wareout
Wareout é uma praga semelhante ao Smitfraud. Ele instala aplicativos de segurança que não funcionam de forma correta. Apesar do objetivo ser o mesmo (convencer o usuário a gastar dinheiro com um software que não funciona), o Wareout opera de modo diferente no sistema, portanto sua remoção é complicada. O anti-spyware Wareout hoje é pouco comum. Outras variantes mais novas como o UnSpyPC é que são responsáveis pelos casos atuais de Wareout.

O FixWareout é útil para remover infecções de Wareout.
0,9%: MyWebSearch
MyWebSearch/MyBar é um adware geralmente instalado por programas da FunWebProducts. O objetivo deles é direcionar tráfego para o portal MyWay.com (daí o seu nome). Tanto o portal MyWay como a Fun Web Products pertencem à IAC Search & Media, que também gerencia o portal de buscas Ask.com.

Os produtos da FunWebProducts são muito divulgados na web por meio de banners que prometem “novos emoticons” e cursores animados (que levam o internauta aos programas Smiley Central e Cursor Mania, respectivamente).

Apesar de não ser um software malicioso, muitos usuários não sabem que o MyWay foi instalado no PC por estes programas e, em alguns casos, estes programas podem causar problemas com o navegador, visto que são instalados como plug-ins.

Como um visitante indesejado, os vírus podem causar grandes danos à rede corporativa. A pesquisa sobre crime e segurança de computadores do FBI e do 2000 Computer Security Institute revelou que 85% das 581 maiores empresas pesquisadas sofreram ataques de vírus em 2003. Entretanto, "vírus de computador" tornou-se um termo genérico para muitos tipos de códigos maléficos. Como um vírus biológico, há mais de uma "espécie" que pode atacar a rede, já que muitos vírus e outros códigos maléficos são geralmente criados para explorar os pontos fracos de determinadas plataformas de computação, ambientes de rede ou "culturas" do usuário. O conhecimento do principais tipos de vírus pode ajudar os gerentes de TI a proteger melhor a rede e priorizar vulnerabilidades.

Geralmente, um vírus é definido como um programa que infecta documentos ou sistemas inserindo ou anexando uma cópia dele próprio ou substituindo integralmente determinados arquivos. Um vírus age sem o conhecimento ou o consentimento do usuário. Portanto, quando um arquivo infectado é aberto, o vírus incorporado também é executado, geralmente em segundo plano. Um vírus verdadeiro é propagado pelos próprios usuários, quase sempre inadvertidamente. Um vírus não se dissemina deliberadamente de um computador para outro. Ele pode ser duplicado em um computador, mas para se propagar para outras máquinas, precisa ser transmitido para outros usuários através de material infectado, como anexos de documentos em correio eletrônico, programas em disquetes ou arquivos compartilhados. Novas modalidades de códigos maléficos tornaram a auto-replicação de vírus mais comum.

Um simples vírus pode se propagar e, em seguida, permitir que o programa seja executado normalmente. A maior parte dos vírus, entretanto, possui uma "carga" ou ação maléfica. Por exemplo, o vírus pode ser programado para exibir uma certa mensagem na tela do computador ou efetuar uma exclusão ou modificação de um documento específico (ou alguma combinação desse tipo). Os vírus mais perigosos causam danos irreversíveis, como, por exemplo, a exclusão de arquivos inteiros da rede ou do usuário, ou a reformatação de unidades de disco rígido. Outros podem simplesmente devastar sistemas de rede através da reprodução de processos que, por sua vez, reproduzem outros processos, levando o sistema a um colapso. Para evitar a propagação de novos vírus, os usuários da empresa devem ser instruídos sobre os vírus e como reagir a um ataque.

Um vírus simples é ativado quando um usuário inicializa um programa infectado. O vírus, então, assume o controle do computador e se associa a um outro arquivo de programa. Esses vírus são fáceis de serem detectados, já que fazem uma cópia exata de si mesmos. Para localizar um vírus desse tipo, o programa antivírus apenas examina seqüências específicas de bytes, conhecidas como assinaturas.

Em um vírus criptografado, a assinatura é misturada para que o verificador não possa detectá-lo. A assinatura do vírus muda de um programa para outro. Entretanto, a rotina de decodificação permanece igual; portanto, o programa antivírus examina uma rotina de descriptografia repetitiva e não a assinatura.

Além de vírus simples e criptografados, há quatro tipos principais de códigos maléficos: vírus polimorfos, vírus de macro, worms e cavalos de Tróia.

Os vírus de computador polimorfos são propositadamente difíceis de serem detectados, apesar dos programas antivírus poderem localizá-los com facilidade e exterminá-los. Os autores de vírus polimorfos criptografam o corpo do vírus e a rotina de decodificação. Não existem duas infecções iguais; por isso, não é possível criar apenas uma única definição de antivírus para combater todas elas. Os provedores de solução antivírus usam sua tecnologia de proteção contra vírus para criar rotinas de decodificação genéricas que expõem os vírus.

Os vírus de macro estão entre os vírus mais comuns e mais facilmente criados. Eles também tendem a ser os menos prejudiciais. Os vírus de macro usam uma linguagem de macro do aplicativo (como Visual Basic ou VBScript) para infectar e duplicar documentos e modelos. Eles independem da plataforma, mas estão geralmente associados a programas do Microsoft Office. Esses vírus usam o ambiente de programação da Microsoft para auto-executarem o código de macro viral.Quando um documento infectado é aberto, o vírus é executado e infecta os modelos de aplicativo do usuário.

As macros podem inserir palavras, números ou frases indesejadas em documentos ou alterar funções de comando. De acordo com algumas estimativas, 75% de todos os vírus atuais são vírus de macro (AOL Computing Webopaedia). Depois que um vírus de macro infecta a máquina de um usuário, ele pode se incorporar a todos os documentos criados no futuro com o aplicativo. Por exemplo, se o modelo "normal.dot" do Microsoft Word, o modelo de documento padrão desse programa, for infectado com um vírus de macro, todo documento novo criado no Word carregará uma cópia do vírus de macro.

Cavalo de Tróia é um programa maléfico disfarçado de benéfico, como, por exemplo, protetor de tela, aplicativo de arquivamento, jogos ou mesmo um programa para localizar e destruir vírus. Entretanto, na verdade, o programa executa uma tarefa perniciosa sem o conhecimento ou consentimento do usuário. Ele não se duplica como um vírus verdadeiro, não faz cópias de si mesmo como um worm e geralmente é propagado através de correio eletrônico ou downloads da Internet. As ações do cavalo de Tróia variam bastante. Eles podem roubar senhas, infectar uma máquina com vírus, ou até mesmo agir como uma ferramenta para que outros "espionem" os usuários através do registros das teclas pressionadas e da transmissão desses registros para terceiros por meio de TCP/IP.

Um worm é um programa que se propaga sozinho, geralmente pela rede através do correio eletrônico, TCP/IP ou unidade de disco, reproduzindo a si mesmo por onde passa. Um worm não é tecnicamente um "vírus" porque pode se propagar separadamente. Muitos programas maléficos que são worms são falsamente denominados vírus. Por exemplo, o ILOVEYOU era um worm, não um vírus.

Os worms são extremamente perigosos para a rede e mais difíceis de serem controlados porque não precisam ser propagados pelo usuário. Um worm pode se propagar em centenas de milhares de máquinas muito rapidamente. No exemplo do ILOVEYOU, em geral, o worm foi recebido pelos usuários através do correio eletrônico como anexo de um arquivo que consistia em um programa baseado em VBScript. Se o anexo fosse executado, diversos processos eram reproduzidos automaticamente, fazendo o worm ser copiado (propagado) e enviado como anexo de mensagem eletrônica para todas as pessoas do catálogo de endereços do Microsoft Outlook do usuário. O worm também excluiu e substituiu certos tipos de arquivos na unidade de disco rígido do usuário, de forma que se algum desses arquivos fosse aberto, sua rotina de autopropagação seria executada novamente. Imagine uma rede corporativa na qual diversos usuários receberam e ativaram o worm; é fácil imaginar a rede chegando a um colapso em poucas horas devido ao tráfego intenso de mensagens eletrônicas reproduzidas pelo worm, além da perda de dados dos arquivos danificados. E como o worm foi propagado principalmente por correio eletrônico, ele pôde infectar facilmente outras redes em um curto período de tempo.

O que é um rootkit?
Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que você não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos do trojan.

Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos.

Origem do nome rootkit
Os rootkits possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.

Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.

No Windows, eles ‘infectam’ os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.

O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.

A exemplo dos vírus e de outras ameaças da Internet, as soluções de segurança também continuam a evoluir. As soluções antivírus são apenas um aspecto de uma solução de segurança de conteúdo total que incluem proteção contra código móvel e filtragem de conteúdo de Internet e correio eletrônico. As soluções de segurança mais eficazes e melhores são abrangentes e possuem gerenciamento centralizado. Na verdade, uma estratégia de segurança eficaz considera os ativos de uma empresa, o risco a esses ativos e a cultura do usuário final.

A análise dos tipos de arquivos usados ao longo dos tempos por vírus de computador para se propagarem traz uma conclusão evidente: é cada vez mais temerário abrir arquivos de terceiros, sejam de que extensão forem. No entanto, há alguns formatos mais usados por vírus do que outros, e conhecê-los é muito importante para se proteger. A Panda Software fez um resumo das extensões mais perigosas.

Na primeira geração de vírus, era razoavelmente simples classificar os arquivos que ofereciam risco, já que havia poucos tipos “infectáveis”. Basicamente, os vírus se escondiam nos setores de inicialização (boot) dos discos e em formatos executáveis com extensões “.com” e “.exe”. Embora houvesse outras possibilidades, estas eram as mais exploradas. Naquela época, os disquetes eram o principal meio de transporte de vírus entre um computador e outro, portanto havia limitações para a propagação em massa de códigos maléficos.

A aparição dos vírus de macro aumentou significativamente o número de extensões de arquivos potencialmente perigosos. Os programas do pacote Microsoft Office converteram-se em vetores dessas pragas eletrônicas. O processador de textos Word foi o primeiro a ser afetado, e tanto documentos no formato “.doc” como os modelos de documentos (.dot) tornaram-se suspeitos. Em seguida, os vírus de macro atingiram também os arquivos gerados por outros aplicativos do Office, e extensões como “.xls” (planilhas Excel), “.mdb” (bancos de dados Access) e “.ppt” (apresentações do Power Point) entraram para a galeria das que deviam ser vistas com desconfiança.

Com a popularização da Internet, os vírus ganharam outras formas. Surgiram então os worms, que se aproveitam dos recursos de redes para se propagar, e o e-mail suplantou os disquetes como principal meio de disseminação de pragas virtuais. Worms como o famoso “I Love You” começaram a ser escritos em linguagem Visual Basic Script, e abrir arquivos com extensão “.vbs” tornou-se atitude de alto risco.

Os criadores de vírus também passaram a utilizar técnicas para enganar os usuários de computador e fazê-los clicar em anexos infectados. Surgem então as mensagens que utilizam a chamada “engenharia social” (a suposta foto da tenista Anna Kournikova em um anexo de e-mail infectado é um exemplo perfeito disso) e os arquivos com dupla extensão, nos quais uma delas sempre parece “inocente” (".txt.vbs", ".jpg.vbs", e outras). O truque da dupla extensão foi criado graças a uma característica do Windows: em sua configuração padrão, o sistema operacional não mostra ao usuário a extensão de arquivos conhecidos. Assim, o arquivo “foto.jpg.vbs” seria apresentado apenas como “foto.jpg”, pois a extensão real “.vbs” é reconhecida pelo Windows, que a “esconde” do usuário.

Atualmente, a gama de formatos e extensões de arquivos que podem alojar um vírus é muito grande. Entre os já citados, deve-se adicionar ainda os de extensão “.scr”, que identifica protetores de telas, e os arquivos “.pif”(Program Information File) usados como atalhos do MS-DOS. Para piorar, novas experiências estão sendo feitas (este ano, um filipino tentou criar um vírus para arquivos JPG, e já surgiram outros para arquivos PDF e Macromedia Flash), mas adicionar as extensões citadas neste artigo às regras de bloqueio de seu programa de correio eletrônico pode reduzir drasticamente o risco de contaminação de sua máquina.

Copyright © 1997 - 2009 Gironsoft