4.Cdigosmaliciosos(M alware)
Cdigosmaliciosos(malware)soprogramasespecificamente
desenvolvidosparaexecutaraesdanosaseatividadesmaliciosasemum
computador.Algumasdasdiversasformascomooscdigosmaliciosos
podeminfectaroucomprometerumcomputadorso:
pelaexploraodevulnerabilidadesexistentesnosprogramas
instalados
pelaautoexecuodemdiasremovveisinfectadas,comopendrives
peloacessoapginasWebmaliciosas,utilizandonavegadores
vulnerveis
pelaaodiretadeatacantesque,apsinvadiremocomputador,
incluemarquivoscontendocdigosmaliciosos
pelaexecuodearquivospreviamenteinfectados,obtidosemanexos
demensagenseletrnicas,viamdiasremovveis,empginasWebou
diretamentedeoutroscomputadores(atravsdocompartilhamentode
recursos).
Umavezinstalados,oscdigosmaliciosospassamateracessoaosdadosarmazenadosnocomputadorepodemexecutaraesem
nomedosusurios,deacordocomaspermissesdecadausurio.
Osprincipaismotivosquelevamumatacanteadesenvolvereapropagarcdigosmaliciosossoaobtenodevantagensfinanceiras,
acoletadeinformaesconfidenciais,odesejodeautopromooeovandalismo.Almdisto,oscdigosmaliciosossomuitasvezes
usadoscomointermediriosepossibilitamaprticadegolpes,arealizaodeataqueseadisseminaodespam(maisdetalhesnos
CaptulosGolpesnaInternet,AtaquesnaInterneteSpam,respectivamente).
Osprincipaistiposdecdigosmaliciososexistentessoapresentadosnasprximassees.
http://cartilha.cert.br/malware/ 1/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
4.1.Vrus
Vrusumprogramaoupartedeumprogramadecomputador,normalmentemalicioso,quesepropagainserindo
cpiasdesimesmoesetornandopartedeoutrosprogramasearquivos.
Paraquepossasetornarativoedarcontinuidadeaoprocessodeinfeco,ovrusdependedaexecuodo
programaouarquivohospedeiro,ouseja,paraqueoseucomputadorsejainfectadoprecisoqueumprograma
jinfectadosejaexecutado.
Oprincipalmeiodepropagaodevruscostumavaserosdisquetes.Comotempo,porm,estasmdiascaramemdesusoe
comearamasurgirnovasmaneiras,comooenviodeemail.Atualmente,asmdiasremovveistornaramsenovamenteoprincipal
meiodepropagao,nomaispordisquetes,mas,principalmente,pelousodependrives.
Hdiferentestiposdevrus.Algunsprocurampermanecerocultos,infectandoarquivosdodiscoeexecutandoumasriedeatividades
semoconhecimentodousurio.Houtrosquepermaneceminativosdurantecertosperodos,entrandoematividadeapenasemdatas
especficas.Algunsdostiposdevrusmaiscomunsso:
Vruspropagadoporemail:recebidocomoumarquivoanexoaumemailcujocontedotentainduzirousurioaclicarsobre
estearquivo,fazendocomquesejaexecutado.Quandoentraemao,infectaarquivoseprogramaseenviacpiasdesimesmo
paraosemailsencontradosnaslistasdecontatosgravadasnocomputador.
Vrusdescript:escritoemlinguagemdescript,comoVBScripteJavaScript,erecebidoaoacessarumapginaWeboupore
mail,comoumarquivoanexooucomopartedoprprioemailescritoemformatoHTML.Podeserautomaticamenteexecutado,
dependendodaconfiguraodonavegadorWebedoprogramaleitordeemailsdousurio.
Vrusdemacro:tipoespecficodevrusdescript,escritoemlinguagemdemacro,quetentainfectararquivosmanipuladospor
aplicativosqueutilizamestalinguagemcomo,porexemplo,osquecompeoMicrosoftOffice(Excel,WordePowerPoint,entre
outros).
Vrusdetelefonecelular:vrusquesepropagadecelularparacelularpormeiodatecnologiabluetoothoudemensagensMMS
(MultimediaMessageService).Ainfecoocorrequandoumusuriopermiteorecebimentodeumarquivoinfectadoeoexecuta.
Apsinfectarocelular,ovruspodedestruirousobrescreverarquivos,removeroutransmitircontatosdaagenda,efetuarligaes
telefnicasedrenaracargadabateria,almdetentarsepropagarparaoutroscelulares.
4.2.Worm
Wormumprogramacapazdesepropagarautomaticamentepelasredes,enviandocpiasdesimesmodecomputadorpara
computador.
http://cartilha.cert.br/malware/ 2/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
Diferentedovrus,owormnosepropagapormeiodainclusodecpiasdesimesmoemoutrosprogramasou
arquivos,massimpelaexecuodiretadesuascpiasoupelaexploraoautomticadevulnerabilidadesexistentes
emprogramasinstaladosemcomputadores.
Wormssonotadamenteresponsveisporconsumirmuitosrecursos,devidograndequantidadedecpiasdesi
mesmoquecostumampropagare,comoconsequncia,podemafetarodesempenhoderedeseautilizaode
computadores.
Oprocessodepropagaoeinfecodoswormsocorredaseguintemaneira:
a.Identificaodoscomputadoresalvos:apsinfectarumcomputador,owormtentasepropagarecontinuaroprocessode
infeco.Paraisto,necessitaidentificaroscomputadoresalvosparaosquaistentarsecopiar,oquepodeserfeitodeumaou
maisdasseguintesmaneiras:
efetuarvarreduranaredeeidentificarcomputadoresativos
aguardarqueoutroscomputadorescontatemocomputadorinfectado
utilizarlistas,predefinidasouobtidasnaInternet,contendoaidentificaodosalvos
utilizarinformaescontidasnocomputadorinfectado,comoarquivosdeconfiguraoelistasdeendereosdeemail.
b.Enviodascpias:apsidentificarosalvos,owormefetuacpiasdesimesmoetentaenvilasparaestescomputadores,por
umaoumaisdasseguintesformas:
comopartedaexploraodevulnerabilidadesexistentesemprogramasinstaladosnocomputadoralvo
anexadasaemails
viacanaisdeIRC(InternetRelayChat)
viaprogramasdetrocademensagensinstantneas
includasempastascompartilhadasemredeslocaisoudotipoP2P(PeertoPeer).
c.Ativaodascpias:apsrealizadooenviodacpia,owormnecessitaserexecutadoparaqueainfecoocorra,oquepode
acontecerdeumaoumaisdasseguintesmaneiras:
imediatamenteapstersidotransmitido,pelaexploraodevulnerabilidadesemprogramassendoexecutadosno
computadoralvonomomentodorecebimentodacpia
diretamentepelousurio,pelaexecuodeumadascpiasenviadasaoseucomputador
pelarealizaodeumaaoespecficadousurio,aqualowormestcondicionadocomo,porexemplo,ainserodeuma
mdiaremovvel.
d.Reinciodoprocesso:apsoalvoserinfectado,oprocessodepropagaoeinfecorecomea,sendoque,apartirdeagora,
ocomputadorqueanteseraoalvopassaasertambmocomputadororiginadordosataques.
4.3.Botebotnet
http://cartilha.cert.br/malware/ 3/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
Botumprogramaquedispedemecanismosdecomunicaocomoinvasorquepermitemqueeleseja
controladoremotamente.Possuiprocessodeinfecoepropagaosimilaraodoworm,ouseja,capazde
sepropagarautomaticamente,explorandovulnerabilidadesexistentesemprogramasinstaladosem
computadores.
AcomunicaoentreoinvasoreocomputadorinfectadopelobotpodeocorrerviacanaisdeIRC,servidores
WeberedesdotipoP2P,entreoutrosmeios.Aosecomunicar,oinvasorpodeenviarinstruesparaque
aesmaliciosassejamexecutadas,comodesferirataques,furtardadosdocomputadorinfectadoeenviarspam.
Umcomputadorinfectadoporumbotcostumaserchamadodezumbi(zombiecomputer),poispodeser
controladoremotamente,semoconhecimentodoseudono.Tambmpodeserchamadodespamzombie
quandoobotinstaladootransformaemumservidordeemailseoutilizaparaoenviodespam.
Botnetumaredeformadaporcentenasou
milharesdecomputadoreszumbisequepermite
potencializarasaesdanosasexecutadaspelos
bots.
Quantomaiszumbisparticiparemdabotnetmaispotenteelaser.O
atacantequeacontrolar,almdeuslaparaseusprpriosataques,
tambmpodealuglaparaoutraspessoasougruposquedesejemqueuma
aomaliciosaespecficasejaexecutada.
Algumasdasaesmaliciosasquecostumamserexecutadaspor
intermdiodebotnetsso:ataquesdenegaodeservio,propagaode
cdigosmaliciosos(inclusivedoprpriobot),coletadeinformaesdeum
grandenmerodecomputadores,enviodespamecamuflagemda
identidadedoatacante(comousodeproxiesinstaladosnoszumbis).
Oesquemasimplificadoapresentadoaseguirexemplificaofuncionamentobsicodeumabotnet:
a.Umatacantepropagaumtipoespecficodebotnaesperanadeinfectareconseguiramaiorquantidadepossveldezumbis
b.oszumbisficamentodisposiodoatacante,agoraseucontrolador,esperadoscomandosaseremexecutados
c.quandoocontroladordesejaqueumaaosejarealizada,eleenviaaoszumbisoscomandosaseremexecutados,usando,por
exemplo,redesdotipoP2Pouservidorescentralizados
d.oszumbisexecutamentooscomandosrecebidos,duranteoperodopredeterminadopelocontrolador
e.quandoaaoseencerra,oszumbisvoltamaficaresperadosprximoscomandosaseremexecutados.
http://cartilha.cert.br/malware/ 4/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
4.4.Spyware
Spywareumprogramaprojetadoparamonitorarasatividadesdeumsistemaeenviarasinformaes
coletadasparaterceiros.
Podeserusadotantodeformalegtimaquantomaliciosa,dependendodecomoinstalado,dasaes
realizadas,dotipodeinformaomonitoradaedousoquefeitoporquemrecebeasinformaescoletadas.
Podeserconsideradodeuso:
Legtimo:quandoinstaladoemumcomputadorpessoal,peloprpriodonooucomconsentimentodeste,comoobjetivode
verificarseoutraspessoasoestoutilizandodemodoabusivoounoautorizado.
Malicioso:quandoexecutaaesquepodemcomprometeraprivacidadedousurioeaseguranadocomputador,como
monitorarecapturarinformaesreferentesnavegaodousurioouinseridasemoutrosprogramas(porexemplo,contade
usurioesenha).
Algunstiposespecficosdeprogramasspywareso:
Keylogger:capazdecapturarearmazenarasteclasdigitadaspelousurionotecladodocomputador.Sua
ativao,emmuitoscasos,condicionadaaumaaoprviadousurio,comooacessoaumsiteespecfico
decomrcioeletrnicooudeInternetBanking.
Screenlogger:similaraokeylogger,capazdearmazenaraposiodocursoreatela
apresentadanomonitor,nosmomentosemqueomouseclicado,ouaregioquecircunda
aposioondeomouseclicado.bastanteutilizadoporatacantesparacapturarasteclas
digitadaspelosusuriosemtecladosvirtuais,disponveisprincipalmenteemsitesdeInternetBanking.
Adware:projetadoespecificamenteparaapresentarpropagandas.Podeserusadoparafins
legtimos,quandoincorporadoaprogramaseservios,comoformadepatrocnioouretorno
financeiroparaquemdesenvolveprogramaslivresouprestaserviosgratuitos.Tambmpodeserusadoparafins
maliciosos,quandoaspropagandasapresentadassodirecionadas,deacordocomanavegaodousurioe
semqueestesaibaquetalmonitoramentoestsendofeito.
4.5.Backdoor
Backdoorumprogramaquepermiteoretornodeuminvasoraumcomputadorcomprometido,pormeiodainclusodeservios
criadosoumodificadosparaestefim.
http://cartilha.cert.br/malware/ 5/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
Podeserincludopelaaodeoutroscdigosmaliciosos,quetenham
previamenteinfectadoocomputador,ouporatacantes,queexploram
vulnerabilidadesexistentesnosprogramasinstaladosnocomputadorpara
invadilo.
Apsincludo,obackdoorusadoparaasseguraroacessofuturoao
computadorcomprometido,permitindoqueelesejaacessadoremotamente,
semquehajanecessidadederecorrernovamenteaosmtodosutilizadosna
realizaodainvasoouinfecoe,namaioriadoscasos,semqueseja
notado.
Aformausualdeinclusodeumbackdoorconsistenadisponibilizaode
umnovoservioounasubstituiodeumdeterminadoservioporuma
versoalterada,normalmentepossuindorecursosquepermitemoacesso
remoto.Programasdeadministraoremota,comoBackOrifice,NetBus,
SubSeven,VNCeRadmin,semalconfiguradosouutilizadossemoconsentimentodousurio,tambmpodemserclassificadoscomo
backdoors.
Hcasosdebackdoorsincludospropositalmenteporfabricantesdeprogramas,sobalegaodenecessidadesadministrativas.Esses
casosconstituemumasriaameaaseguranadeumcomputadorquecontenhaumdestesprogramasinstaladospois,almde
comprometeremaprivacidadedousurio,tambmpodemserusadosporinvasoresparaacessaremremotamenteocomputador.
4.6.Cavalodetroia(Trojan)
Cavalodetroia1,trojanoutrojanhorse,umprogramaque,almdeexecutarasfunesparaasquaisfoi
aparentementeprojetado,tambmexecutaoutrasfunes,normalmentemaliciosas,esemoconhecimentodo
usurio.
ExemplosdetrojanssoprogramasquevocrecebeouobtmdesitesnaInternetequeparecemserapenas
cartesvirtuaisanimados,lbunsdefotos,jogoseprotetoresdetela,entreoutros.Estesprogramas,
geralmente,consistemdeumnicoarquivoenecessitamserexplicitamenteexecutadosparaquesejam
instaladosnocomputador.
Trojanstambmpodemserinstaladosporatacantesque,apsinvadiremumcomputador,alteramprogramasjexistentesparaque,
almdecontinuaremadesempenharasfunesoriginais,tambmexecutemaesmaliciosas.
http://cartilha.cert.br/malware/ 6/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
Hdiferentestiposdetrojans,classificados2deacordocomasaesmaliciosasquecostumamexecutaraoinfectarumcomputador.
Algunsdestestiposso:
TrojanDownloader:instalaoutroscdigosmaliciosos,obtidosdesitesnaInternet.
TrojanDropper:instalaoutroscdigosmaliciosos,embutidosnoprpriocdigodotrojan.
TrojanBackdoor:incluibackdoors,possibilitandooacessoremotodoatacanteaocomputador.
TrojanDoS:instalaferramentasdenegaodeservioeasutilizaparadesferirataques.
TrojanDestrutivo:altera/apagaarquivosediretrios,formataodiscorgidoepodedeixarocomputadorforadeoperao.
TrojanClicker:redirecionaanavegaodousurioparasitesespecficos,comoobjetivodeaumentaraquantidadedeacessos
aestessitesouapresentarpropagandas.
TrojanProxy:instalaumservidordeproxy,possibilitandoqueocomputadorsejautilizadoparanavegaoannimaeparaenvio
despam.
TrojanSpy:instalaprogramasspywareeosutilizaparacoletarinformaessensveis,comosenhasenmerosdecartode
crdito,eenvilasaoatacante.
TrojanBankerouBancos:coletadadosbancriosdousurio,atravsdainstalaodeprogramasspywarequesoativados
quandositesdeInternetBankingsoacessados.similaraoTrojanSpypormcomobjetivosmaisespecficos.
[1]O"CavalodeTroia",segundoamitologiagrega,foiumagrandeesttua,utilizadacomoinstrumentodeguerrapelosgregospara
obteracessocidadedeTroia.Aesttuadocavalofoirecheadacomsoldadosque,duranteanoite,abriramosportesdacidade
possibilitandoaentradadosgregoseadominaodeTroia.voltar
[2]Estaclassificaobaseiaseemcoletneafeitasobreosnomesmaiscomumenteusadospelosprogramasantimalware.voltar
4.7.Rootkit
Rootkit3umconjuntodeprogramasetcnicasquepermiteescondereassegurarapresenadeuminvasor
oudeoutrocdigomaliciosoemumcomputadorcomprometido.
Oconjuntodeprogramasetcnicasfornecidopelosrootkitspodeserusadopara:
removerevidnciasemarquivosdelogs(maisdetalhesnaSeo7.6doCaptuloMecanismosde
segurana)
instalaroutroscdigosmaliciosos,comobackdoors,paraasseguraroacessofuturoaocomputador
infectado
esconderatividadeseinformaes,comoarquivos,diretrios,processos,chavesderegistro,conexesderede,etc
mapearpotenciaisvulnerabilidadesemoutroscomputadores,pormeiodevarredurasnarede
capturarinformaesdaredeondeocomputadorcomprometidoestlocalizado,pelainterceptaodetrfego.
http://cartilha.cert.br/malware/ 7/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
muitoimportanteressaltarqueonomerootkitnoindicaqueosprogramaseastcnicasqueocompesousadasparaobter
acessoprivilegiadoaumcomputador,massimparamantlo.
Rootkitsinicialmenteeramusadosporatacantesque,apsinvadiremumcomputador,osinstalavamparamanteroacessoprivilegiado,
semprecisarrecorrernovamenteaosmtodosutilizadosnainvaso,eparaescondersuasatividadesdoresponsvele/oudosusurios
docomputador.Apesardeaindaserembastanteusadosporatacantes,osrootkitsatualmentetmsidotambmutilizadose
incorporadosporoutroscdigosmaliciososparaficaremocultosenoseremdetectadospelousurioenempormecanismosde
proteo.
HcasosderootkitsinstaladospropositalmenteporempresasdistribuidorasdeCDsdemsica,sobaalegaodenecessidadede
proteoaosdireitosautoraisdesuasobras.Ainstalaonestescasoscostumavaocorrerdeformaautomtica,nomomentoemque
umdosCDsdistribudoscontendoocdigomaliciosoerainseridoeexecutado.importanteressaltarqueestescasosconstituemuma
sriaameaaseguranadocomputador,poisosrootkitsinstalados,almdecomprometeremaprivacidadedousurio,tambm
podemserreconfiguradoseutilizadosparaesconderapresenaeosarquivosinseridosporatacantesouporoutroscdigos
maliciosos.
[3]Otermorootkitoriginasedajunodaspalavras"root"(quecorrespondecontadesuperusurioouadministradordocomputador
emsistemasUnix)e"kit"(quecorrespondeaoconjuntodeprogramasusadosparamanterosprivilgiosdeacessodestaconta).voltar
4.8.Preveno
Paramanteroseucomputadorlivredaaodoscdigosmaliciososexisteumconjuntodemedidaspreventivasquevocprecisa
adotar.Essasmedidasincluemmanterosprogramasinstaladoscomasversesmaisrecentesecomtodasasatualizaes
disponveisaplicadaseusarmecanismosdesegurana,comoantimalwareefirewallpessoal.
Almdisso,halgunscuidadosquevocetodosqueusamoseucomputadordevemtomarsemprequeforemmanipulararquivos.
Novoscdigosmaliciosospodemsurgir,avelocidadesnemsempreacompanhadaspelacapacidadedeatualizaodosmecanismos
desegurana.
InformaessobreosprincipaismecanismosdeseguranaquevocdeveutilizarsoapresentadosnoCaptuloMecanismosde
segurana.OutroscuidadosquevocdevetomarparamanterseucomputadorsegurosoapresentadosnoCaptuloSeguranade
computadores.
4.9.Resumocomparativo
Cadatipodecdigomaliciosopossuicaractersticasprpriasqueodefineeodiferenciadosdemaistipos,comoformadeobteno,
formadeinstalao,meiosusadosparapropagaoeaesmaliciosasmaiscomunsexecutadasnoscomputadoresinfectados.Para
http://cartilha.cert.br/malware/ 8/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
facilitaraclassificaoeaconceituao,aTabela4.1apresentaumresumocomparativodascaractersticasdecadatipo.
importanteressaltar,entretanto,quedefinireidentificaressascaractersticastmsetornadotarefascadavezmaisdifceis,devidos
diferentesclassificaesexistenteseaosurgimentodevariantesquemesclamcaractersticasdosdemaiscdigos.Destaforma,o
resumoapresentadonatabelanodefinitivoebaseiasenasdefiniesapresentadasnestaCartilha.
CdigosMaliciosos
Vrus Worm Bot Trojan Spyware Backdoor Rootkit
Comoobtido:
Recebidoautomaticamentepelarede
Recebidoporemail
BaixadodesitesnaInternet
Compartilhamentodearquivos
Usodemdiasremovveisinfectadas
Redessociais
Mensagensinstantneas
Inseridoporuminvasor
Aodeoutrocdigomalicioso
Comoocorreainstalao:
Execuodeumarquivoinfectado
Execuoexplcitadocdigomalicioso
Viaexecuodeoutrocdigomalicioso
Exploraodevulnerabilidades
Comosepropaga:
Inserecpiadesiprprioemarquivos
Enviacpiadesiprprioautomaticamentepelarede
Enviacpiadesiprprioautomaticamenteporemail
Nosepropaga
Aesmaliciosasmaiscomuns:
Alterae/ouremovearquivos
Consomegrandequantidadederecursos
Furtainformaessensveis
Instalaoutroscdigosmaliciosos
http://cartilha.cert.br/malware/ 9/10
23/01/2017 CartilhadeSeguranaCdigosMaliciosos(Malware)
Possibilitaoretornodoinvasor
Enviaspamephishing
DesfereataquesnaInternet
Procurasemanterescondido
Tabela4.1:Resumocomparativoentreoscdigosmaliciosos.
CartilhadeSeguranaparaInternetCERT.br$Date:2012/06/0301:41:42$
http://cartilha.cert.br/malware/ 10/10