Malware Guide: Viruses, Trojans & More

Comitê Gestor da Internet no Brasil

Cartilha de Segurança
para Internet

Parte VIII: Códigos Maliciosos
(Malware)

Versão 3.1
2006

CERT.br – Centro de Estudos, Resposta e Tratamento
de Incidentes de Seguranca no Brasil
¸

Cartilha de Seguranca para Internet
¸

´
Parte VIII: Codigos Maliciosos (Malware)

¸˜
Esta parte da Cartilha aborda os conceitos e m´ todos de prevencao
e
para diversos c´ digos maliciosos (malwares), que s˜ o programas
o a
¸˜
especiﬁcamente desenvolvidos para executar acoes danosas em
um computador. Dentre eles ser˜ o discutidos v´rus, cavalos de
a ı
tr´ ia, spywares, backdoors, keyloggers, worms, bots e rootkits.
o

˜
Versao 3.1 – Outubro de 2006
http://cartilha.cert.br/

´

Sum´ rio
a
1 V´rus
ı 4
1.1 Como um v´rus pode afetar um computador? . . . . . . . . . . . . . .
ı . . . . . . . . 4
´
1.2 Como o computador e infectado por um v´rus? . . . . . . . . . . . . .
ı . . . . . . . . 4
1.3 Um computador pode ser infectado por um v´rus sem que se perceba?
ı . . . . . . . . 4
´
1.4 O que e um v´rus propagado por e-mail? . . . . . . . . . . . . . . . .
ı . . . . . . . . 4
´
1.5 O que e um v´rus de macro? . . . . . . . . . . . . . . . . . . . . . .
ı . . . . . . . . 5
1.6 Como posso saber se um computador est´ infectado? . . . . . . . . .
a . . . . . . . . 5
1.7 Existe alguma maneira de proteger um computador de v´rus? . . . . .
ı . . . . . . . . 5
´
1.8 O que e um v´rus de telefone celular? . . . . . . . . . . . . . . . . .
ı . . . . . . . . 6
1.9 Como posso proteger um telefone celular de v´rus? . . . . . . . . . .
ı . . . . . . . . 6

2 Cavalos de Tr´ ia
o 7
2.1 Como um cavalo de tr´ ia pode ser diferenciado de um v´rus ou worm? . . . .
o ı . . . . 7
2.2 Como um cavalo de tr´ ia se instala em um computador? . . . . . . . . . . .
o . . . . 8
2.3 Que exemplos podem ser citados sobre programas contendo cavalos de tr´ ia?
o . . . . 8
2.4 O que um cavalo de tr´ ia pode fazer em um computador? . . . . . . . . . . .
o . . . . 8
2.5 Um cavalo de tr´ ia pode instalar programas sem o conhecimento do usu´ rio?
o a . . . . 8
2.6 E´ poss´vel saber se um cavalo de tr´ ia instalou algo em um computador? . . .
ı o . . . . 8
2.7 Existe alguma maneira de proteger um computador dos cavalos de tr´ ia? . . .
o . . . . 9

3 Adware e Spyware 9
3.1 Que exemplos podem ser citados sobre programas spyware? . . . . . . . . . . . . . 10
´
3.2 E poss´vel proteger um computador de programas spyware? . . . . . . . . . . . . . .
ı 10

4 Backdoors 11
´
4.1 Como e feita a inclus˜ o de um backdoor em um computador? . . . . . .
a . . . . . . . 11
4.2 A existˆ ncia de um backdoor depende necessariamente de uma invas˜ o?
e a . . . . . . . 11
4.3 Backdoors s˜ o restritos a um sistema operacional espec´ﬁco? . . . . . .
a ı . . . . . . . 12
4.4 Existe alguma maneira de proteger um computador de backdoors? . . . . . . . . . . 12

5 Keyloggers 12
¸˜
5.1 Que informacoes um keylogger pode obter se for instalado em um computador? . . . 12
¸˜
5.2 Diversos sites de instituicoes ﬁnanceiras utilizam teclados virtuais. Neste caso eu
estou protegido dos keyloggers? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
´
5.3 Como e feita a inclus˜ o de um keylogger em um computador? . . . . . . . . . .
a . . 13
5.4 Como posso proteger um computador dos keyloggers? . . . . . . . . . . . . . . . . . 13

6 Worms 13
6.1 Como um worm pode afetar um computador? . . . . . . . . . . . . . . . . . . . . . 14
6.2 Como posso saber se meu computador est´ sendo utilizado para propagar um worm?
a 14
6.3 Como posso proteger um computador de worms? . . . . . . . . . . . . . . . . . . . 14

7 Bots e Botnets 14
7.1 Como o invasor se comunica com o bot? . . . . . . . . . . . . . . . . . . . . . . . . 15
7.2 O que o invasor pode fazer quando estiver no controle de um bot? . . . . . . . . . . 15
7.3 O que s˜ o botnets? . . . . . . . . . . . . . . . . . . . . . . . . .
a . . . . . . . . . . 15
7.4 Como posso saber se um bot foi instalado em um computador? . . . . . . . . . . . . 15
7.5 Como posso proteger um computador dos bots? . . . . . . . . . . . . . . . . . . . . 15

Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 2/18

´

8 Rootkits 16
8.1 Que funcionalidades um rootkit pode conter? . . . . . . . . . . . . . . . . . . . . . 16
8.2 Como posso saber se um rootkit foi instalado em um computador? . . . . . . . . . . 17
8.3 Como posso proteger um computador dos rootkits? . . . . . . . . . . . . . . . . . . 17

Como Obter este Documento 18

Licenca de Uso da Cartilha
¸ 18

Agradecimentos 18

¸ 3/18

´

1 V´rus
ı

´
V´rus e um programa ou parte de um programa de computador, normalmente malicioso, que se
ı
´
propaga infectando, isto e, inserindo c´ pias de si mesmo e se tornando parte de outros programas e
o
arquivos de um computador. O v´rus depende da execucao do programa ou arquivo hospedeiro para
ı ¸˜
¸˜
que possa se tornar ativo e dar continuidade ao processo de infeccao.
¸˜ ¸˜
Nesta secao, entende-se por computador qualquer dispositivo computacional pass´vel de infeccao
ı
por v´rus. Computadores dom´ sticos, notebooks, telefones celulares e PDAs s˜ o exemplos de dispo-
ı e a
¸˜
sitivos computacionais pass´veis de infeccao.
ı

1.1 Como um v´rus pode afetar um computador?
ı

Normalmente o v´rus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar
ı
uma mensagem de “feliz anivers´ rio”, at´ alterar ou destruir programas e arquivos do disco.
a e

´
1.2 Como o computador e infectado por um v´rus?
ı

´
Para que um computador seja infectado por um v´rus, e preciso que um programa previamente
ı
infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:

• abrir arquivos anexados aos e-mails;
• abrir arquivos do Word, Excel, etc;
• abrir arquivos armazenados em outros computadores, atrav´ s do compartilhamento de recursos;
e
• instalar programas de procedˆ ncia duvidosa ou desconhecida, obtidos pela Internet, de disque-
e
tes, pen drives, CDs, DVDs, etc;
• ter alguma m´dia remov´vel (infectada) conectada ou inserida no computador, quando ele e
ı ı ´
ligado.

¸˜ ´
Novas formas de infeccao por v´rus podem surgir. Portanto, e importante manter-se informado
ı
atrav´ s de jornais, revistas e dos sites dos fabricantes de antiv´rus.
e ı

1.3 Um computador pode ser infectado por um v´rus sem que se perceba?
ı

Sim. Existem v´rus que procuram permanecer ocultos, infectando arquivos do disco e executando
ı
uma s´ rie de atividades sem o conhecimento do usu´ rio. Ainda existem outros tipos que permanecem
e a
inativos durante certos per´odos, entrando em atividade em datas espec´ﬁcas.
ı ı

´
1.4 O que e um v´rus propagado por e-mail?
ı

´
Um v´rus propagado por e-mail (e-mail borne virus) normalmente e recebido como um arquivo
ı
`
anexado a uma mensagem de correio eletrˆ nico. O conte´ do dessa mensagem procura induzir o
o u

¸ 4/18

´

usu´ rio a clicar sobre o arquivo anexado, fazendo com que o v´rus seja executado. Quando este tipo
a ı
ı ¸˜
de v´rus entra em acao, ele infecta arquivos e programas e envia c´ pias de si mesmo para os contatos
o
encontrados nas listas de enderecos de e-mail armazenadas no computador do usu´ rio.
¸ a
´ a ´
E importante ressaltar que este tipo espec´fico de v´rus n˜ o e capaz de se propagar automatica-
ı ı
mente. O usu´ rio precisa executar o arquivo anexado que cont´ m o v´rus, ou o programa leitor de
a e ı
e-mails precisa estar configurado para auto-executar arquivos anexados.

´
1.5 O que e um v´rus de macro?
ı

´
Uma macro e um conjunto de comandos que s˜ o armazenados em alguns aplicativos e utilizados
a
para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor de textos, definir uma
uˆ ¸˜
macro que contenha a seq¨ encia de passos necess´ rios para imprimir um documento com a orientacao
a
de retrato e utilizando a escala de cores em tons de cinza.
´ ¸˜ ´
Um v´rus de macro e escrito de forma a explorar esta facilidade de automatizacao e e parte de um
ı
´
arquivo que normalmente e manipulado por algum aplicativo que utiliza macros. Para que o v´rus ı
possa ser executado, o arquivo que o cont´ m precisa ser aberto e, a partir da´, o v´rus pode executar
e ı ı
uma s´ rie de comandos automaticamente e infectar outros arquivos no computador.
e
Existem alguns aplicativos que possuem arquivos base (modelos) que s˜ o abertos sempre que o
a
´
aplicativo e executado. Caso este arquivo base seja infectado pelo v´rus de macro, toda vez que o
ı
aplicativo for executado, o v´rus tamb´ m ser´ .
ı e a
Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e
Access, s˜ o os mais suscet´veis a este tipo de v´rus. Arquivos nos formatos RTF, PDF e PostScript
a ı ı
s˜ o menos suscet´veis, mas isso n˜ o significa que n˜ o possam conter v´rus.
a ı a a ı

1.6 Como posso saber se um computador est´ infectado?
a

a ´
A melhor maneira de descobrir se um computador est´ infectado e atrav´ s dos programas an-
e
tiv´rus
ı 1.

´
E importante ressaltar que o antiv´rus e suas assinaturas devem estar sempre atualizados, caso
ı
contr´ rio poder´ n˜ o detectar os v´rus mais recentes.
a a a ı

1.7 Existe alguma maneira de proteger um computador de v´rus?
ı

¸˜ ¸˜
Sim. Algumas das medidas de prevencao contra a infeccao por v´rus s˜ o:
ı a

• instalar e manter atualizados um bom programa antiv´rus e suas assinaturas;
ı

• desabilitar no seu programa leitor de e-mails a auto-execucao de arquivos anexados as mensa-
¸˜ `
gens;
1 Maioresdetalhes sobre antiv´rus podem ser encontrados na Parte II: Riscos Envolvidos no Uso da Internet e M´ todos
ı e
¸˜
de Prevencao.

¸ 5/18

´

• n˜ o executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham
a
de pessoas conhecidas. Caso seja necess´ rio abrir o arquivo, certifique-se que ele foi verificado
a
pelo programa antiv´rus;
ı

• procurar utilizar na elaboracao de documentos formatos menos suscet´veis a propagacao de
¸˜ ı ` ¸˜
v´rus, tais como RTF, PDF ou PostScript;
ı

• procurar n˜ o utilizar, no caso de arquivos comprimidos, o formato execut´ vel. Utilize o pr´ prio
a a o
formato compactado, como por exemplo Zip ou Gzip.

´
1.8 O que e um v´rus de telefone celular?
ı

Um v´rus de celular se propaga de telefone para telefone atrav´ s da tecnologia bluetooth2 ou da
ı e
tecnologia MMS3 (Multimedia Message Service). A infeccao se d´ da seguinte forma:
¸˜ a

1. O usu´ rio recebe uma mensagem que diz que seu telefone est´ prestes a receber um arquivo.
a a

2. O usu´ rio permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho.
a

ı a ¸˜
3. O v´rus, ent˜ o, continua o processo de propagacao para outros telefones, atrav´ s de uma das
e
tecnologias mencionadas anteriormente.

Os v´rus de celular diferem-se dos v´rus tradicionais, pois normalmente n˜ o inserem c´ pias de si
ı ı a o
mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente proje-
tados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho.
Depois de infectar um telefone celular, o v´rus pode realizar diversas atividades, tais como: des-
ı
¸˜
truir/sobrescrever arquivos, remover contatos da agenda, efetuar ligacoes telefˆ nicas, drenar a carga
o
da bateria, al´ m de tentar se propagar para outros telefones.
e

1.9 Como posso proteger um telefone celular de v´rus?
ı

¸˜ ¸˜
Algumas das medidas de prevencao contra a infeccao por v´rus em telefones celulares s˜ o:
ı a

• mantenha o bluetooth do seu aparelho desabilitado e somente habilite-o quando for necess´ rio.
a
Caso isto n˜ o seja poss´vel, consulte o manual do seu aparelho e configure-o para que n˜ o seja
a ı a
¸˜
identificado (ou “descoberto”) por outros aparelhos (em muitos aparelhos esta opcao aparece
como “Oculto” ou “Invis´vel”);
ı

• n˜ o permita o recebimento de arquivos enviados por terceiros, mesmo que venham de pessoas
a
conhecidas, salvo quando vocˆ estiver esperando o recebimento de um arquivo espec´fico;
e ı

• fique atento as notćias veiculadas no site do fabricante do seu aparelho, principalmente aquelas
` ı `
sobre seguranca;
¸
2 Mais detalhes sobre a tecnologia bluetooth podem ser encontrados na Parte III: Privacidade.
3A ¸˜
definicao deste termo pode ser encontrada no Gloss´ rio.
a

¸ 6/18

´

• aplique todas as correcoes de seguranca (patches) que forem disponibilizadas pelo fabricante
¸˜ ¸
do seu aparelho, para evitar que possua vulnerabilidades;

• caso vocˆ tenha comprado uma aparelho usado, restaure as opcoes de f´ brica (em muitos apare-
e ¸˜ a
¸˜ ¸˜
lhos esta opcao aparece como “Restaurar Configuracao de F´ brica” ou “Restaurar Configuracao
a ¸˜
Original”) e configure-o como descrito no primeiro item, antes de inserir quaisquer dados.

Os fabricantes de antiv´rus tˆ m disponibilizado vers˜ es para diversos modelos de telefones celu-
ı e o
lares. Caso vocˆ opte por instalar um antiv´rus em seu telefone, consulte o fabricante e verifique a
e ı
¸˜
viabilidade e disponibilidade de instalacao para o modelo do seu aparelho. Lembre-se de manter o
antiv´rus sempre atualizado.
ı

2 Cavalos de Tr´ ia
o

Conta a mitologia grega que o “Cavalo de Tr´ ia” foi uma grande est´ tua, utilizada como instru-
o a
mento de guerra pelos gregos para obter acesso a cidade de Tr´ ia. A est´ tua do cavalo foi recheada
o a
com soldados que, durante a noite, abriram os port˜ es da cidade possibilitando a entrada dos gregos
o
¸˜
e a dominacao de Tr´ ia. Da´ surgiram os termos “Presente de Grego” e “Cavalo de Tr´ ia”.
o ı o
a o ´
Na inform´ tica, um cavalo de tr´ ia (trojan horse) e um programa, normalmente recebido como um
a ´
“presente” (por exemplo, cart˜ o virtual, album de fotos, protetor de tela, jogo, etc), que al´ m de exe-
e
¸˜ ¸˜
cutar funcoes para as quais foi aparentemente projetado, tamb´ m executa outras funcoes normalmente
e
maliciosas e sem o conhecimento do usu´ rio.a
¸˜
Algumas das funcoes maliciosas que podem ser executadas por um cavalo de tr´ ia s˜ o:
o a

• instalacao de keyloggers ou screenloggers (vide secao 5);
¸˜ ¸˜

• furto de senhas e outras informacoes sens´veis, como n´ meros de cart˜ es de cr´ dito;
¸˜ ı u o e

• inclus˜ o de backdoors, para permitir que um atacante tenha total controle sobre o computador;
a

• alteracao ou destruicao de arquivos.
¸˜ ¸˜

2.1 Como um cavalo de tr´ ia pode ser diferenciado de um v´rus ou worm?
o ı

¸˜
Por definicao, o cavalo de tr´ ia distingue-se de um v´rus ou de um worm por n˜ o infectar outros
o ı a
arquivos, nem propagar c´ pias de si mesmo automaticamente.
o
´
Normalmente um cavalo de tr´ ia consiste em um unico arquivo que necessita ser explicitamente
o
executado.
Podem existir casos onde um cavalo de tr´ ia contenha um v´rus ou worm. Mas mesmo nestes
o ı
´ ı ¸˜ uˆ ¸˜
casos e poss´vel distinguir as acoes realizadas como conseq¨ encia da execucao do cavalo de tr´ ia
o
propriamente dito, daquelas relacionadas ao comportamento de um v´rus ou worm.
ı

¸ 7/18

´

2.2 Como um cavalo de tr´ ia se instala em um computador?
o
´
E necess´ rio que o cavalo de tr´ ia seja executado para que ele se instale em um computador.
a o
Geralmente um cavalo de tr´ ia vem anexado a um e-mail ou est´ dispon´vel em algum site na Internet.
o a ı
´
E importante ressaltar que existem programas leitores de e-mails que podem estar configurados
`
para executar automaticamente arquivos anexados as mensagens. Neste caso, o simples fato de ler
´
uma mensagem e suficiente para que um arquivo anexado seja executado.

2.3 Que exemplos podem ser citados sobre programas contendo cavalos de
tr´ ia?
o

Exemplos comuns de cavalos de tr´ ia s˜ o programas que vocˆ recebe ou obt´ m de algum site
o a e e
e que parecem ser apenas cart˜ es virtuais animados, albuns de fotos de alguma celebridade, jogos,
o ´
protetores de tela, entre outros.
Enquanto est˜ o sendo executados, estes programas podem ao mesmo tempo enviar dados confi-
a
¸˜
denciais para outro computador, instalar backdoors, alterar informacoes, apagar arquivos ou formatar
o disco r´gido.
ı
Existem tamb´ m cavalos de tr´ ia, utilizados normalmente em esquemas fraudulentos, que, ao
e o
serem instalados com sucesso, apenas exibem uma mensagem de erro.

2.4 O que um cavalo de tr´ ia pode fazer em um computador?
o

O cavalo de tr´ ia, na maioria das vezes, instalar´ programas para possibilitar que um invasor tenha
o a
controle total sobre um computador. Estes programas podem permitir que o invasor:

• tenha acesso e copie todos os arquivos armazenados no computador;

• descubra todas as senhas digitadas pelo usu´ rio;
a

• formate o disco r´gido do computador, etc.
ı

2.5 Um cavalo de tr´ ia pode instalar programas sem o conhecimento do usu´ -
o a
rio?

Sim. Normalmente o cavalo de tr´ ia procura instalar, sem que o usu´ rio perceba, programas que
o a
realizam uma s´ rie de atividades maliciosas.
e

2.6 ´
E poss´vel saber se um cavalo de tr´ ia instalou algo em um computador?
ı o

¸˜
A utilizacao de um bom programa antiv´rus (desde que seja atualizado freq¨ entemente) normal-
ı u
¸˜
mente possibilita a deteccao de programas instalados pelos cavalos de tr´ ia.
o

¸ 8/18

´

´
E importante lembrar que nem sempre o antiv´rus ser´ capaz de detectar ou remover os progra-
ı a
mas deixados por um cavalo de tr´ ia, principalmente se estes programas forem mais recentes que as
o
assinaturas do seu antiv´rus.
ı

2.7 Existe alguma maneira de proteger um computador dos cavalos de tr´ ia?
o

¸˜ `
Sim. As principais medidas preventivas contra a instalacao de cavalos de tr´ ia s˜ o semelhantes as
o a
¸˜ ¸˜
medidas contra a infeccao por v´rus e est˜ o listadas na secao 1.7.
ı a
´
Uma outra medida preventiva e utilizar um firewall pessoal. Alguns firewalls podem bloquear o
recebimento de cavalos de tr´ ia, como descrito na Parte II: Riscos Envolvidos no Uso da Internet e
o
¸˜
M´ todos de Prevencao.
e

3 Adware e Spyware

´
Adware (Advertising software) e um tipo de software especificamente projetado para apresentar
propagandas, seja atrav´ s de um browser, seja atrav´ s de algum outro programa instalado em um
e e
computador.
Em muitos casos, os adwares tˆ m sido incorporados a softwares e servicos, constituindo uma
e ¸
forma leg´tima de patrocńio ou retorno financeiro para aqueles que desenvolvem software livre ou
ı ı
prestam servicos gratuitos. Um exemplo do uso leg´timo de adwares pode ser observado no programa
¸ ı
de troca instantˆ nea de mensagens MSN Messenger.
a
´
Spyware, por sua vez, e o termo utilizado para se referir a uma grande categoria de software que
¸˜
tem o objetivo de monitorar atividades de um sistema e enviar as informacoes coletadas para terceiros.
Existem adwares que tamb´ m s˜ o considerados um tipo de spyware, pois s˜ o projetados para
e a a
a a ¸˜
monitorar os h´ bitos do usu´ rio durante a navegacao na Internet, direcionando as propagandas que
ser˜ o apresentadas.
a
Os spywares, assim como os adwares, podem ser utilizados de forma leg´tima, mas, na maioria
ı
das vezes, s˜ o utilizados de forma dissimulada, n˜ o autorizada e maliciosa.
a a
¸˜
Seguem algumas funcionalidades implementadas em spywares, que podem ter relacao com o uso
leg´timo ou malicioso:
ı

• monitoramento de URLs acessadas enquanto o usu´ rio navega na Internet;
a

• alteracao da p´ gina inicial apresentada no browser do usu´ rio;
¸˜ a a

• varredura dos arquivos armazenados no disco r´gido do computador;
ı

• monitoramento e captura de informacoes inseridas em outros programas, como IRC ou proces-
¸˜
sadores de texto;

• instalacao de outros programas spyware;
¸˜

• monitoramento de teclas digitadas pelo usu´ rio ou regi˜ es da tela pr´ ximas ao clique do mouse
a o o
¸˜
(vide secao 5);

¸ 9/18

´

• captura de senhas banc´ rias e n´ meros de cart˜ es de cr´ dito;
a u o e

• captura de outras senhas usadas em sites de com´ rcio eletrˆ nico.
e o

´
E importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade
a ¸ a ¸˜
do usu´ rio e, pior, a seguranca do computador do usu´ rio, dependendo das acoes realizadas pelo
¸˜
spyware no computador e de quais informacoes s˜ o monitoradas e enviadas para terceiros.
a
¸˜
A secao 3.1 apresenta alguns exemplos de spywares usados de modo leg´timo e de spywares
ı
maliciosos.

3.1 Que exemplos podem ser citados sobre programas spyware?

¸˜
Alguns exemplos de utilizacao de programas spyware de modo leg´timo s˜ o:
ı a

• uma empresa pode utilizar programas spyware para monitorar os h´ bitos de seus funcion´ rios,
a a
desde que tal monitoramento esteja previsto em contrato ou nos termos de uso dos recursos
computacionais da empresa;

• um usu´ rio pode instalar um programa spyware para verificar se outras pessoas est˜ o utilizando
a a
o seu computador de modo abusivo ou n˜ o autorizado.
a

Na maioria das vezes, programas spyware s˜ o utilizados de forma dissimulada e/ou maliciosa.
a
Seguem alguns exemplos:

• existem programas cavalo de tr´ ia que instalam um spyware, al´ m de um keylogger ou screen-
o e
logger. O spyware instalado monitora todos os acessos a sites enquanto o usu´ rio navega na
a
Internet. Sempre que o usu´ rio acessa determinados sites de bancos ou de com´ rcio eletrˆ nico,
a e o
´
o keylogger ou screenlogger e ativado para a captura de senhas banc´ rias ou n´ meros de cart˜ es
a u o
de cr´ dito;
e

• alguns adwares incluem componentes spyware para monitorar o acesso a p´ ginas Web durante a
a
¸˜
navegacao na Internet e, ent˜ o, direcionar as propagandas que ser˜ o apresentadas para o usu´ rio.
a a a
¸ ¸˜
Muitas vezes, a licenca de instalacao do adware n˜ o diz claramente ou omite que tal monito-
a
a ¸˜
ramento ser´ feito e quais informacoes ser˜ o enviadas para o autor do adware, caracterizando
a
assim o uso dissimulado ou n˜ o autorizado de um componente spyware.
a

¸˜ ¸˜
A secao 3.2 apresenta algumas formas de se prevenir a instalacao de programas spyware em um
computador.

´
3.2 E poss´vel proteger um computador de programas spyware?
ı

Existem ferramentas espec´ficas, conhecidas como “anti-spyware”, capazes de detectar e remover
ı
uma grande quantidade de programas spyware. Algumas destas ferramentas s˜ o gratuitas para uso
a
pessoal e podem ser obtidas pela Internet (antes de obter um programa anti-spyware pela Internet,
e ´
verifique sua procedˆ ncia e certifique-se que o fabricante e confi´ vel).
a

¸ 10/18

´

¸˜ ¸˜
Al´ m da utilizacao de uma ferramenta anti-spyware, as medidas preventivas contra a infeccao por
e
ı ¸˜
v´rus (vide secao 1.7) s˜ o fortemente recomendadas.
a
Uma outra medida preventiva e utilizar um firewall pessoal4 , pois alguns firewalls podem bloquear
´
o recebimento de programas spyware. Al´ m disso, se bem configurado, o firewall pode bloquear o
e
¸˜
envio de informacoes coletadas por estes programas para terceiros, de forma a amenizar o impacto da
¸˜
poss´vel instalacao de um programa spyware em um computador.
ı

4 Backdoors

Normalmente um atacante procura garantir uma forma de retornar a um computador comprome-
e ¸˜
tido, sem precisar recorrer aos m´ todos utilizados na realizacao da invas˜ o. Na maioria dos casos,
a
e ´ ¸˜
tamb´ m e intencao do atacante poder retornar ao computador comprometido sem ser notado.
A esses programas que permitem o retorno de um invasor a um computador comprometido, utili-
zando servicos criados ou modificados para este fim, d´ -se o nome de backdoor.
¸ a

´
4.1 Como e feita a inclus˜ o de um backdoor em um computador?
a

a ¸˜
A forma usual de inclus˜ o de um backdoor consiste na disponibilizacao de um novo servico ou ¸
¸˜
substituicao de um determinado servico por uma vers˜ o alterada, normalmente possuindo recursos
¸ a
que permitam acesso remoto (atrav´ s da Internet). Pode ser inclu´do por um invasor ou atrav´ s de um
e ı e
cavalo de tr´ ia.
o
´ ¸˜
Uma outra forma e a instalacao de pacotes de software, tais como o BackOrifice e NetBus, da
¸˜
plataforma Windows, utilizados para administracao remota. Se mal configurados ou utilizados sem o
consentimento do usu´ rio, podem ser classificados como backdoors.
a

4.2 A existˆ ncia de um backdoor depende necessariamente de uma invas˜ o?
e a

N˜ o. Alguns dos casos onde a existˆ ncia de um backdoor n˜ o est´ associada a uma invas˜ o s˜ o:
a e a a a a

• instalacao atrav´ s de um cavalo de tr´ ia (vide secao 2).
¸˜ e o ¸˜

• inclus˜ o como conseq¨ encia da instalacao e m´ configuracao de um programa de administracao
a uˆ ¸˜ a ¸˜ ¸˜
remota;

Alguns fabricantes incluem/incluám backdoors em seus produtos (softwares, sistemas operacio-
ı
´
nais), alegando necessidades administrativas. E importante ressaltar que estes casos constituem uma
e ¸ `
s´ ria ameaca a seguranca de um computador que contenha um destes produtos instalados, mesmo que
¸
backdoors sejam inclu´dos por fabricantes conhecidos.
ı
4 Mais ¸˜ ¸˜
informacoes podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao.
e

¸ 11/18

´

4.3 Backdoors s˜ o restritos a um sistema operacional espec´fico?
a ı

N˜ o. Backdoors podem ser inclu´dos em computadores executando diversos sistemas operacio-
a ı
nais, tais como Windows (por exemplo, 95/98, NT, 2000, XP), Unix (por exemplo, Linux, Solaris,
FreeBSD, OpenBSD, AIX), Mac OS, entre outros.

4.4 Existe alguma maneira de proteger um computador de backdoors?

Embora os programas antiv´rus n˜ o sejam capazes de descobrir backdoors em um computador, as
ı a
¸˜ ¸˜
medidas preventivas contra a infeccao por v´rus (secao 1.7) s˜ o v´ lidas para se evitar algumas formas
ı a a
¸˜
de instalacao de backdoors.
A id´ ia e que vocˆ n˜ o execute programas de procedˆ ncia duvidosa ou desconhecida, sejam eles
e ´ e a e
¸˜
recebidos por e-mail, sejam obtidos na Internet. A execucao de tais programas pode resultar na
¸˜
instalacao de um backdoor.
¸˜
Caso vocˆ utilize algum programa de administracao remota, certifique-se de que ele esteja bem
e
configurado, de modo a evitar que seja utilizado como um backdoor.
Uma outra medida preventiva consiste na utilizacao de um firewall pessoal5 . Apesar de n˜ o eli-
¸˜ a
´
minarem os backdoors, se bem configurados, podem ser uteis para amenizar o problema, pois podem
barrar as conex˜ es entre os invasores e os backdoors instalados em um computador.
o
e ´
Tamb´ m e importante visitar constantemente os sites dos fabricantes de softwares e verificar a
existˆ ncia de novas vers˜ es ou patches para o sistema operacional ou softwares instalados em seu
e o
computador.
¸˜ `
Existem casos onde a disponibilizacao de uma nova vers˜ o ou de um patch est´ associada a des-
a a
coberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um
computador, de maneira similar ao acesso aos backdoors.

5 Keyloggers

´
Keylogger e um programa capaz de capturar e armazenar as teclas digitadas pelo usu´ rio no te-
a
clado de um computador.

¸˜
5.1 Que informacoes um keylogger pode obter se for instalado em um compu-
tador?

¸˜
Um keylogger pode capturar e armazenar as teclas digitadas pelo usu´ rio. Dentre as informacoes
a
capturadas podem estar o texto de um e-mail, dados digitados na declaraca ¸ ˜ o de Imposto de Renda e
¸˜
outras informacoes sens´veis, como senhas banc´ rias e n´ meros de cart˜ es de cr´ dito.
ı a u o e
¸˜ ´ ¸˜
Em muitos casos, a ativacao do keylogger e condicionada a uma acao pr´ via do usu´ rio, como
e a
por exemplo, ap´ s o acesso a um site espec´fico de com´ rcio eletrˆ nico ou Internet Banking. Normal-
o ı e o
5 Mais ¸˜ ¸˜
e

¸ 12/18

´

e a ¸˜
mente, o keylogger cont´ m mecanismos que permitem o envio autom´ tico das informacoes capturadas
para terceiros (por exemplo, atrav´ s de e-mails).
e

¸˜
5.2 Diversos sites de instituicoes financeiras utilizam teclados virtuais. Neste
caso eu estou protegido dos keyloggers?

¸˜
As instituicoes financeiras desenvolveram os teclados virtuais para evitar que os keyloggers pudes-
¸˜
sem capturar informacoes sens´veis de usu´ rios. Ent˜ o, foram desenvolvidas formas mais avancadas
ı a a ¸
de keyloggers, tamb´ m conhecidas como screenloggers, capazes de:
e

• armazenar a posicao do cursor e a tela apresentada no monitor, nos momentos em que o mouse
¸˜
´
e clicado, ou

• armazenar a regi˜ o que circunda a posicao onde o mouse e clicado.
a ¸˜ ´

¸˜
De posse destas informacoes um atacante pode, por exemplo, descobrir a senha de acesso ao
banco utilizada por um usu´ rio.
a

´
5.3 Como e feita a inclus˜ o de um keylogger em um computador?
a

¸˜
Normalmente, o keylogger vem como parte de um programa spyware (veja a secao 3) ou cavalo
¸˜ ´
de tr´ ia (veja a secao 2). Desta forma, e necess´ rio que este programa seja executado para que o
o a
keylogger se instale em um computador. Geralmente, tais programas vˆ m anexados a e-mails ou
e
est˜ o dispon´veis em sites na Internet.
a ı
Lembre-se que existem programas leitores de e-mails que podem estar configurados para executar
`
automaticamente arquivos anexados as mensagens. Neste caso, o simples fato de ler uma mensagem
´
e suficiente para que qualquer arquivo anexado seja executado.

5.4 Como posso proteger um computador dos keyloggers?

¸˜ ` ¸˜
Para se evitar a instalacao de um keylogger, as medidas s˜ o similares aquelas discutidas nas secoes
a
de v´rus (1.7), cavalo de tr´ ia (2.7), worm (6.3), bots (7.5) e na Parte IV: Fraudes na Internet.
ı o

6 Worms

´
Worm e um programa capaz de se propagar automaticamente atrav´ s de redes, enviando c´ pias de
e o
si mesmo de computador para computador.
Diferente do v´rus, o worm n˜ o embute c´ pias de si mesmo em outros programas ou arquivos
ı a o
e n˜ o necessita ser explicitamente executado para se propagar. Sua propagacao se d´ atrav´ s da
a ¸˜ a e
¸˜ ¸˜
exploracao de vulnerabilidades existentes ou falhas na configuracao de softwares instalados em com-
putadores.

¸ 13/18

´

6.1 Como um worm pode afetar um computador?

a uˆ
Geralmente o worm n˜ o tem como conseq¨ encia os mesmos danos gerados por um v´rus, como
ı
¸˜ ¸˜ ¸˜
por exemplo a infeccao de programas e arquivos ou a destruicao de informacoes. Isto n˜ o quer dizer
a
a ¸ `
que n˜ o represente uma ameaca a seguranca de um computador, ou que n˜ o cause qualquer tipo de
¸ a
dano.
Worms s˜ o notadamente respons´ veis por consumir muitos recursos. Degradam sensivelmente
a a
`
o desempenho de redes e podem lotar o disco r´gido de computadores, devido a grande quantidade
ı
de c´ pias de si mesmo que costumam propagar. Al´ m disso, podem gerar grandes transtornos para
o e
aqueles que est˜ o recebendo tais c´ pias.
a o

6.2 Como posso saber se meu computador est´ sendo utilizado para propagar
a
um worm?

¸ a ´
Detectar a presenca de um worm em um computador n˜ o e uma tarefa f´ cil. Muitas vezes os
a
e ¸˜
worms realizam uma s´ rie de atividades, incluindo sua propagacao, sem que o usu´ rio tenha conhe-
a
cimento.
Embora alguns programas antiv´rus permitam detectar a presenca de worms e at´ mesmo evitar
ı ¸ e
´
que eles se propaguem, isto nem sempre e poss´vel.
ı
´ ¸˜
Portanto, o melhor e evitar que seu computador seja utilizado para propag´ -los (vide secao 6.3).
a

6.3 Como posso proteger um computador de worms?

e ı e ¸˜
Al´ m de utilizar um bom antiv´rus, que permita detectar e at´ mesmo evitar a propagacao de
´
um worm, e importante que o sistema operacional e os softwares instalados em seu computador n˜ o
a
possuam vulnerabilidades.
Normalmente um worm procura explorar alguma vulnerabilidade dispon´vel em um computador,
ı
para que possa se propagar. Portanto, as medidas preventivas mais importantes s˜ o aquelas que pro-
a
curam evitar a existˆ ncia de vulnerabilidades, como discutido na Parte II: Riscos Envolvidos no Uso
e
¸˜
da Internet e M´ todos de Prevencao.
e
Uma outra medida preventiva e ter instalado em seu computador um firewall pessoal6 . Se bem
´
configurado, o firewall pessoal pode evitar que um worm explore uma poss´vel vulnerabilidade em
ı
algum servico dispon´vel em seu computador ou, em alguns casos, mesmo que o worm j´ esteja
¸ ı a
instalado em seu computador, pode evitar que explore vulnerabilidades em outros computadores.

7 Bots e Botnets

¸˜ ´
De modo similar ao worm (secao 6), o bot e um programa capaz se propagar automaticamente,
¸˜
explorando vulnerabilidades existentes ou falhas na configuracao de softwares instalados em um com-
¸˜
putador. Adicionalmente ao worm, disp˜ e de mecanismos de comunicacao com o invasor, permitindo
o
que o bot seja controlado remotamente.
6 Mais ¸˜ ¸˜
e

¸ 14/18

´

7.1 Como o invasor se comunica com o bot?

Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal
¸˜
(sala) determinado. Ent˜ o, ele aguarda por instrucoes do invasor, monitorando as mensagens que
a
est˜ o sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no
a
uˆ
mesmo canal, envia mensagens compostas por seq¨ encias especiais de caracteres, que s˜ o interpre-
a
uˆ ¸˜
tadas pelo bot. Estas seq¨ encias de caracteres correspondem a instrucoes que devem ser executadas
pelo bot.

7.2 O que o invasor pode fazer quando estiver no controle de um bot?

¸˜
Um invasor, ao se comunicar com um bot, pode enviar instrucoes para que ele realize diversas
atividades, tais como:

• desferir ataques na Internet;
• executar um ataque de negacao de servico (detalhes na Parte I: Conceitos de Seguranca);
¸˜ ¸ ¸
• furtar dados do computador onde est´ sendo executado, como por exemplo n´ meros de cart˜ es
a u o
de cr´ dito;
e
• enviar e-mails de phishing (detalhes na Parte IV: Fraudes na Internet);
• enviar spam.

7.3 O que s˜ o botnets?
a

Botnets s˜ o redes formadas por computadores infectados com bots. Estas redes podem ser com-
a
postas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet
pode utiliz´ -la para aumentar a potˆ ncia de seus ataques, por exemplo, para enviar centenas de milha-
a e
¸˜
res de e-mails de phishing ou spam, desferir ataques de negacao de servico, etc.
¸

7.4 Como posso saber se um bot foi instalado em um computador?

a ´
Identiﬁcar a presenca de um bot em um computador n˜ o e uma tarefa simples. Normalmente, o bot
¸
´ ¸˜
e projetado para realizar as instrucoes passadas pelo invasor sem que o usu´ rio tenha conhecimento.
a
Embora alguns programas antiv´rus permitam detectar a presenca de bots, isto nem sempre e
ı ¸ ´
´
poss´vel. Portanto, o melhor e procurar evitar que um bot seja instalado em seu computador (vide
ı
¸˜
secao 7.5).

7.5 Como posso proteger um computador dos bots?

´
Da mesma forma que o worm, o bot e capaz de se propagar automaticamente, atrav´ s da ex-
e
¸˜ ¸˜
ploracao de vulnerabilidades existentes ou falhas na conﬁguracao de softwares instalados em um
computador.

¸ 15/18

´

´
Portanto, a melhor forma de se proteger dos bots e manter o sistema operacional e os softwares
¸˜
instalados em seu computador sempre atualizados e com todas as correcoes de seguranca (patches)
¸
dispon´veis aplicadas, para evitar que possuam vulnerabilidades.
ı
¸˜ e ´
A utilizacao de um bom antiv´rus, mantendo-o sempre atualizado, tamb´ m e importante, pois
ı
¸˜
em muitos casos permite detectar e at´ mesmo evitar a propagacao de um bot. Vale lembrar que o
e
antiv´rus s´ ser´ capaz de detectar bots conhecidos.
ı o a
Outra medida preventiva consiste em utilizar um firewall pessoal7 . Normalmente, os firewalls
´
pessoais n˜ o eliminam os bots, mas, se bem configurados, podem ser uteis para amenizar o problema,
a
¸˜
pois podem barrar a comunicacao entre o invasor e o bot instalado em um computador.
¸˜ ¸˜
Podem existir outras formas de propagacao e instalacao de bots em um computador, como por
¸˜
exemplo, atrav´ s da execucao de arquivos anexados a e-mails. Portanto, as medidas apresentadas
e
e ¸˜
na Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao tamb´ m s˜ o fortemente
e a
recomendadas.

8 Rootkits

Um invasor, ao realizar uma invas˜ o, pode utilizar mecanismos para esconder e assegurar a sua
a
presenca no computador comprometido. O conjunto de programas que fornece estes mecanismos e
¸ ´
conhecido como rootkit.
´
E muito importante ficar claro que o nome rootkit n˜ o indica que as ferramentas que o comp˜ em
a o
s˜ o usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para
a
mantˆ -lo. Isto significa que o invasor, ap´ s instalar o rootkit, ter´ acesso privilegiado ao computador
e o a
previamente comprometido, sem precisar recorrer novamente aos m´ todos utilizados na realizacao da
e ¸˜
invas˜ o, e suas atividades ser˜ o escondidas do respons´ vel e/ou dos usu´ rios do computador.
a a a a

8.1 Que funcionalidades um rootkit pode conter?

Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem
ser citados:

• programas para esconder atividades e informacoes deixadas pelo invasor (normalmente presen-
¸˜
tes em todos os rootkits), tais como arquivos, diret´ rios, processos, conex˜ es de rede, etc;
o o

• backdoors (vide secao 4), para assegurar o acesso futuro do invasor ao computador comprome-
¸˜
tido (presentes na maioria dos rootkits);

• programas para remocao de evidˆ ncias em arquivos de logs;
¸˜ e

• sniffers8 , para capturar informacoes na rede onde o computador est´ localizado, como por exem-
¸˜ a
plo senhas que estejam trafegando em claro, ou seja, sem qualquer m´ todo de criptografia;
e

• scanners9 , para mapear potenciais vulnerabilidades em outros computadores;
7 Mais ¸˜ ¸˜
e
8A ¸˜
definicao de sniffer pode ser encontrada no Gloss´ rio.
a
9 A definicao de scanner pode ser encontrada no Gloss´ rio.
¸˜ a

¸ 16/18

´

• outros tipos de malware, como cavalos de tr´ ia, keyloggers, ferramentas de ataque de negacao
o ¸˜
de servico, etc.
¸

8.2 Como posso saber se um rootkit foi instalado em um computador?

Existem programas capazes de detectar a presenca de um grande n´ mero de rootkits, mas isto
¸ u
n˜ o quer dizer que s˜ o capazes de detectar todos os dispon´veis (principalmente os mais recentes).
a a ı
Alguns destes programas s˜ o gratuitos e podem ser obtidos pela Internet (antes de obter um programa
a
¸˜ ´
para a deteccao de rootkits pela Internet, verifique sua procedˆ ncia e certifique-se que o fabricante e
e
confi´ vel).
a
Como os rootkits s˜ o projetados para ficarem ocultos, ou seja, n˜ o serem detectados pelo res-
a a
a a ¸˜ ´
pons´ vel ou pelos usu´ rios de um computador, sua identificacao e, na maioria das vezes, uma tarefa
´
bem difćil. Deste modo, o melhor e procurar evitar que um rootkit seja instalado em seu computador
ı
¸˜
(vide secao 8.3).

8.3 Como posso proteger um computador dos rootkits?

¸˜
Apesar de existirem programas espec´ficos para a deteccao de rootkits, a melhor forma de se
ı
´
proteger e manter o sistema operacional e os softwares instalados em seu computador sempre atuali-
¸˜
zados e com todas as correcoes de seguranca (patches) dispon´veis aplicadas, para evitar que possuam
¸ ı
vulnerabilidades.
Desta forma, vocˆ pode evitar que um atacante consiga invadir seu computador, atrav´ s da explo-
e e
¸˜
racao de alguma vulnerabilidade, e instalar um rootkit ap´ s o comprometimento.
o

¸ 17/18

´

Como Obter este Documento

´
Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente
atualizado, certifique-se de ter sempre a vers˜ o mais recente.
a
Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, entre em contato
e a
atrav´ s do endereco doc@cert.br.
e ¸

Licenca de Uso da Cartilha
¸

Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde
´ ı
¸˜
que sejam respeitadas as seguintes condicoes:

´
1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento,
o
¸ ¸˜
acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet.
e e
´
2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro
a a
deste site que contenham partes espec´ficas da Cartilha.
ı
¸˜
3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de
material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte
¸
forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br,
ı ¸
mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.”
´ ¸˜ ¸˜
4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu-
o
¸˜ ¸˜
mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a
¸˜
comercializacao no todo ou em parte de c´ pias do referido documento.
o

¸˜
Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora
¸
¸˜
todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a
a
¸˜ ¸˜ uˆ
correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ encias
que possam advir do seu uso.

Agradecimentos

¸˜
O CERT.br agradece a todos que contribu´ram para a elaboracao deste documento, enviando co-
ı
ment´ rios, cr´ticas, sugest˜ es ou revis˜ es.
a ı o o

¸ 18/18

Malware Guide: Viruses, Trojans & More

Recommended

Recommended

More Related Content

Similar to Malware Guide: Viruses, Trojans & More

Similar to Malware Guide: Viruses, Trojans & More (20)

More from Central Info

More from Central Info (10)

Recently uploaded

Recently uploaded (20)

Malware Guide: Viruses, Trojans & More