1 

DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador
 

DT
DTD
DSS   

S
Soluç
ções em tecno
t ologia
a

I
Introd
dução
o ao v
vírus de co
ompu
utado
or
 

 
 2 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

Conteúdo
Introdução ..................................................................................................................................... 3 
Objetivos ....................................................................................................................................... 4 
Malwares? ..................................................................................................................................... 4 
Malware ........................................................................................................................................ 4 
PUPs .............................................................................................................................................. 5 
Spyware ......................................................................................................................................... 5 
Adware .......................................................................................................................................... 6 
Mail Spam ...................................................................................................................................... 7 
Phishing e Pharming ...................................................................................................................... 7 
Pharming ....................................................................................................................................... 9 
Jokers e Dialers .............................................................................................................................. 9 
Dialers ............................................................................................................................................ 9 
Resumindo ... ............................................................................................................................... 10 
Vírus de computador ................................................................................................................... 10 
Tipos de vírus .............................................................................................................................. 11 
Vírus de boot ............................................................................................................................... 11 
Vírus de macro ............................................................................................................................ 13 
O que são macros? ...................................................................................................................... 13 
Trojan Horse ................................................................................................................................ 14 
Worms ......................................................................................................................................... 17 
Rootkits ....................................................................................................................................... 18 
Antivírus ...................................................................................................................................... 19 
Detecção por assinatura ............................................................................................................. 20 
Variantes dos vírus ...................................................................................................................... 25 
Polimórficos ou criptografados ................................................................................................... 26 
Detecção por heurística .............................................................................................................. 27 
Detecção por comportamento .................................................................................................... 28 
Sintomas ...................................................................................................................................... 29 
Principais sintomas: ..................................................................................................................... 30 
Proteção ...................................................................................................................................... 32 
Conclusão ................................................................................................................................ 34 
 3 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

1.

Introdução
A DTDS Soluções em tecnologia traz a você gratuitamente e on-line
o curso Introdução ao vírus de computador, aqui você irá
conhecer mais sobre o mundo das pragas digitais que se tornam mais
avançadas a cada dia e causam prejuízos bilionários em todos os
setores.

Visite nosso site regularmente para ficar atento a novos cursos ou

promoções. www.dtds.com.br

 
Observação importante!
 Todos os exemplos aqui mostrados foram executados por um profissional
experiente utilizando um ambiente isolado e protegido.
 Não nos responsabilizamos pela má utilização dos tópicos abordados bem
como nenhum dano causado em sistemas informatizados pertencentes ao
aluno ou de terceiros.
 Todas as marcas aqui citadas pertencem aos seus respectivos fabricantes.

 
 4 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

2.

Objetivos
Ao término deste curso você será capaz de:

 Conhecer a diferença entre Malware, Spyware, Adware,

Phishing, Vírus e suas diversas características;
 Saber explicar o que é um Trojan Horse, Worm e Rootkit;
 Entender como funcionam os antivírus;
 Identificar os principais sintomas de um equipamento infectado;
 Como se proteger das pragas digitais;

3.

Malwares?
Spyware – Adware – Phishing – Trojan Horse – Rootkits - PUPs

Antes de iniciar a explicação sobre os vírus de computador é

importante esclarecer o significado de alguns termos utilizados
atualmente para definir técnicas utilizadas em fraude eletrônica e
softwares maliciosos.

Normalmente ouvimos falar de malware, spyware, adware, phishing,

rootkits, PUPs, trojan horses etc.

Afinal, o que é tudo isso?

4.

Malware vem da junção de duas palavras em inglês, malicious, que

significa malicioso, mal intencionado e ware, material, para dar
algum sentido ao contexto deste curso vamos entender ware como
sendo o software.

Então temos; mal + ware = malware, ou seja, software malicioso

ou mal intencionado.
 5 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

5.

PUPs
Os PUPs são programas potencialmente indesejados, do inglês
potentially unwanted program, este termo foi criado pela empresa
McAfee fabricante de antivírus e outras soluções de segurança digital.

A definição de PUPs na verdade é mais um conceito do que um

programa específico.

Os PUPs podem ser vários tipos de softwares que não são desejados
por uma determinada política de segurança ou que realmente
agridem a privacidade do usuário ou de uma organização.

Os PUPs nem sempre são um malware, por exemplo, o Messenger

pode ser um programa potencialmente indesejado quando instalado
em uma instituição onde sua utilização é proibida.

Dentro dos PUPs podemos encontrar também uma lista de softwares

espiões, invasores, entre alguns outros que conheceremos com mais
detalhes no andamento deste curso.

6.

Spyware
Os spywares são programas instalados no computador que coletam
informações sem o conhecimento do usuário.

Um spyware é legítimo quando sua instalação pertence a uma

estratégia de segurança e proteção de informações definidas pelo
indivíduo tutor do sistema, neste caso é utilizado para saber o que os
funcionários de uma empresa estão fazendo em seu período de
trabalho ou quando um pai deseja monitorar o que seus filhos fazem
na internet.

Um spyware é malicioso quando este se instala no sistema sem que

seja autorizado ou nem mesmo se tenha conhecimento de sua
instalação, nestes casos o spyware se foca no roubo de informações
 6 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

confidenciais ou hábitos do usuário para que sejam enviadas para

pessoas ou entidades interessadas.

Podemos citar alguns spywares como screenloggers e

keyloggers.

Os screenloggers são programas que capturam a tela do usuário

transformando-a em um arquivo de imagem. Podemos capturar
nossa tela utilizando a tecla Print Screen e depois abrir um
programa para edição de imagens como o Paint do Windows e colar o
conteúdo capturado. Os screenloggers fazem isso o tempo todo sem
que o usuário perceba o que está acontecendo e envia o arquivo de
imagem das telas capturadas para a pessoa interessada nestas
informações.

Os keyloggers são programas que capturam todas as teclas

digitadas. Imagine que você digite os dados de sua conta corrente,
sua senha de acesso a esta conta e tudo isso seja enviado para um
golpista, por exemplo.

Podemos entender então que alguns spywares são um malware.

7.

Adware
Os adwares, termo originado pela junção das palavras
Advertisement + Ware, ou software para propaganda, são grandes
responsáveis pela distribuição de spywares, toda vez que você
instala um software gratuito que mostra propaganda trata-se então
de um adware.

OBS: É importante entender estes conceitos. Um adware é apenas

um software que exibe propagandas enquanto funciona, porém
muitas vezes entrega também um spyware.

Atualmente existem vários especialistas discutindo se um adware

pode ser considerado um malware, visto que de forma indireta eles
contribuem para a captura de informações sobre hábitos do usuário
que muitas das vezes nem tem conhecimento sobre o fato.
 7 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

Não podemos nos esquecer de que adwares podem possuir

vulnerabilidades que podem ser exploradas por um usuário avançado
e mal intencionado.

8.

Mail Spam
Spam não é um vírus nem um malware somente e-mails que lotam
nossa caixa postal de mensagens não requisitadas.

O grande problema com os spams é que não temos certeza de sua

origem e muitas vezes não podemos confiar que é apenas uma
propaganda ou uma corrente ou apenas um e-mail pedindo auxílio
como estamos acostumados a receber diariamente.

Os spams podem ser utilizados para disseminar malwares mesmo

sem o conhecimento da entidade responsável pelo spam.

Para enviar um spam geralmente se utiliza programas específicos

para que seja enviado um único e-mail, de uma única vez para vários
endereços diferentes. Você verá mais adiante neste curso que alguns
vírus podem infectar e-mails e se auto enviar para todos os usuários
existentes no catálogo de endereços, desta forma, imagine que
alguém que está enviando spam não esteja protegido
suficientemente e contaminado com malware deste tipo.

9.

Phishing e Pharming
O Phishing tem sua origem no idioma inglês e significa pescaria,
trata-se de uma técnica de fraude digital onde o criminoso tenta de
alguma forma fazer com que o usuário acredite que um e-mail ou site
na internet pertença a uma entidade idônea.

Quem nunca recebeu um e-mail contendo o título?

“Atualização de cadastro bancário”

Ao abrir um e-mail deste tipo temos então uma mensagem que pode
levar um usuário desavisado a alguma página com código malicioso
 8 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

pedindo que o usuário

o digite in
nformaçõe
es referen
ntes à su a conta
bancária.

Abaixo segue
e um exemplo de e
e-mail e URL
U usadas para P
Phishing:

 
TTípica caixa po
ostal de um weeb mail mostrrando dois e‐mmails suspeitoos.  
Note que é requi sitado alterarr dados cadasttrais. 

 
Observe que esta imagem é o corpo de  um e‐mail de e Phishing, cliccando no link oo usuário será
á 
redireecionado paraa um site totalmente falso  para coletar ssuas informações, obviameente um banco o nuca 
ma requisição
faria um o dessas. 

   

 
 9 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

Pharming
O pharming é uma técnica conhecida como DNS cache poisoning,
ou, envenenamento de cache de DNS, irá abordar este assunto com
mais detalhes em outros cursos, por enquanto você precisa saber que
este tipo de ataque pode direcionar seu browser para um site
controlado por um golpista para que o usuário seja convencido que
está navegando no site oficial de uma determinada organização,
como um banco, por exemplo, este tipo de ataque é muito utilizado
em conjunto com o Phishing.

10.

Jokers e Dialers
Jokers são programas de computador que se classificam como
malware e também vírus, pregam uma peça no usuário e às vezes
agem de forma divertida mostrando janelas com mensagens de erro
com piadas entre muitas outras ações que acabam por irritar os
usuários.

Alguns jokers não destroem arquivos no sistema e sua principal

função é apenas incomodar.

Abaixo algumas mensagens exibidas por um joker:

"Incorrect DOS version"

"Invalid Volume ID Format failure"
"Please put a new disk into drive A:"
"End of input file"
"END OF WORKTIME. TURN SYSTEM OFF!"
“I am hungry! Insert HAMBURGER into drive A:"

Dialers
Discadores, malwares responsáveis por discar através um modem
utilizando a linha telefônica para serviços premium de alguns sites.
Hoje este tipo de malware não é tão comum, existe um vírus com o
mesmo nome e com algumas variações.

Os dialers podiam gerar contas altíssimas de telefone sem o usuário

nem mesmo saber sua origem.
 10 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

Após a conexão ser estabelecida podem fazer o download de outros

malwares, como algum tipo de vírus mais destrutivo ou
trojanhorses.

11.

Resumindo ...
“Nem todo malware é um vírus, mas todo vírus é um
malware”.

O malware é todo software mal intencionado que de alguma forma

tem o objetivo de prejudicar o usuário. É importante entender que
nem todo malware é um vírus devido à natureza e a forma de como
agem. A seguir iremos entender melhor sobre os vírus de
computador.

12.
Afinal. O que é um vírus de computador?

13.

Vírus de computador
“Vírus é todo programa de computador que tem a capacidade
de fazer cópias de si mesmo, infectar outros programas e
deflagrar uma carga destrutiva.”

Um vírus de computador assim como o biológico segue a mesma

lógica em sua essência, precisam de um hospedeiro para que possa
ser transportado, neste caso, um programa infectado. Também
necessitam de um meio para sua disseminação, memória, discos,
rede etc.

Assim como todo programa de computador um vírus pode ser

excluído com comandos do sistema que são específicos para este tipo
de tarefa como delete ou rm em sistemas Unix, porém o grande
segredo do vírus é se manter oculto e protegido para que não seja
fácil para um usuário comum encontrá-lo e então removê-lo
facilmente.
 11 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

O vírus digital mais uma vez se assemelha com o biológico devido

aos sintomas no sistema infectado, assim como alguém que está
gripado sente dores de cabeça, febre e espirra o tempo todo seu
sistema quando estiver infectado se mostrará lento e terá um
comportamento fora do comum.

14.

Tipos de vírus
Vírus de boot – Trojan horses – Rootkits – Worms – Macro

15.

Vírus de boot
O vírus de boot é o vírus mais antigo e um dos primeiros a serem
criados.

O vírus de boot infecta a trilha zero de um disco rígido ou flexível

que recebe o nome de registro mestre de inicialização, ou MBR
(master boot record).

Este setor é onde está inserido o código necessário para que o

sistema operacional seja iniciado, quando você liga seu computador,
por exemplo, antes de carregar o Windows este setor deve ser lido
para que o seu hardware tenha instruções de como iniciar o sistema
operacional.

O MBR tem apenas512 bytes, imaginem como é um programa vírus

que infecta este setor, um programa extremamente pequeno com um
alto poder de destruição.

Quando o vírus de boot infecta o MBR fica aguardando até que possa
entrar em contato com outros discos e programas que possam ser
propícios para a infecção e assim continuar espalhando a praga.

Este tipo de vírus antigamente tinha como principais alvos arquivos

com extensão .EXE e .COM.
 12 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

OBS: Quando sistemass e discoss possuíam

m uma es
strutura m
mais simp
ples
exis
stia uma técnica
t dee removeer um víru
us de boot sem a nnecessidaade
de uum antivírus.
Paraa isso bas
stava dar o boot n o equipam mento po
or um disq quete ou CD
conttendo o utilitário
u fdisk
f e ex
xecutar o seguinte
e comando o: fdisk
/mb br. Hoje esta técnica não é aconselh hada devido ao rissco de
danificar seu disco ou perder in nformaçõões importantes emm seu
ema.
siste

Alguns exem
mplos de
e vírus d
de boot:

 Ping-Po
ong (um dos prime
eiros conhecidos).
 Michela
angelo.
 Stonedd.
 Leandrro & Kelly
y.
 AntiEXE.

16.

 
O
O vírus de bo
oot deve ser  bem pequenno, pois o setor reservaddo 
 ao MBR poossui apenass 512 bytes.
 13 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

17.

Vírus de macro
Os vírus de macro já passaram por seus momentos de glória, hoje
ainda existem, porém em menor quantidade e oferecendo menor
risco.

Quando você abre um documento do Word, por exemplo, e não

consegue gravá-lo com a extensão .DOC, percebe na barra de
ferramentas um pequeno texto animado ou ainda na pior das
hipóteses grava um documento que você ficou digitando por horas e
quando abre para uma nova edição tudo está vazio é bem provável
que você esteja infectado com um vírus de macro.

O que são macros?

As macros foram criadas para facilitar a vida dos usuários, são
rotinas que podem ser criadas para substituir tarefas repetitivas,
então podemos dizer que estas rotinas são um programa interpretado
pelo aplicativo sendo utilizado.

Os aplicativos vulneráveis aos vírus de macro podem ser qualquer um

que ofereça uma linguagem de programação definida para esta
tarefa.

Alguns programas que integram o pacote o MSOffice e OpenOffice

já foram muito propícios à infecção deste tipo de vírus, hoje muitas
correções foram feitas anulando muitos deles.

Alguns vírus de macro como o Melissa e o ILoveYou tinham a

capacidade de ler todo catálogo de endereços de e-mail e se auto
enviar para todos os contatos contaminando cada vez mais pessoas
pelo mundo todo.

Alguns exemplos de vírus de macro:

 Melissa.
 ILoveYou.
 14 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

18.

Trojan Horse
Os Trojan Horses, cavalos de tróia, exploram a mesma técnica
utilizada na mitologia quando os gregos enviaram de presente para
os troianos um enorme cavalo de madeira propondo um tratado de
paz, porém ocultos dentro deste monumento estavam soldados
gregos esperando pelo melhor momento para o ataque.

Os trojan horses são um malware e também um vírus, você

entenderá o porquê nas próximas páginas.

Estes softwares tem a intenção de disponibilizar a uma pessoa mal

intencionada o controle remoto do computador infectado.

Geralmente chegam camuflados em uma imagem, documento de

texto, ou qualquer outro arquivo que possa ocultar o verdadeiro
conteúdo do malware.

Os trojan horses funcionam sob o conceito de cliente/servidor,

quando o usuário recebe uma imagem com um trojan anexo, ao abrir
a imagem aparentemente nada está acontecendo, mas por debaixo
dos panos já está sendo instalado o servidor do trojan para que seja
possível a conexão de vários clientes, desta forma é possível que o
criador do trojan interaja com o equipamento infectado como se
estivesse sentado fisicamente em sua frente, podendo trocar senhas,
mudar o papel de parede do Windows, abrir drives de cds etc.

Os trojans também são usados para atacar outros computadores na

internet, como servidores e hosts de sites através de um que esteja
infectado e possa ser controlado, desta forma é possível manter
oculta a origem verdadeira do atacante.

Para entender melhor como funciona uma típica infecção por

trojan vamos acompanhar o exemplo a seguir.

Você abre seu e-mail e lê o assunto de uma mensagem que lhe

chama a atenção como, por exemplo: “Você está sendo traído,
aqui estão as fotos!”

Louco para descobrir o que está acontecendo você nem quer saber
quem lhe enviou o e-mail e clica logo sobre a imagem para visualizar.
 15 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

Caso você seja um tipo mais desencanado e recebe um e-mail com o

assunto: Te amo!
Bem, basta clicar e matar a curiosidade abrindo o e-mail recebido,

No momento em que você abre o arquivo de imagem em seu

visualizador preferido vê uma imagem sem muito sentido e grita
logo: - Pegadinha sem graça!

Bem, a imagem pode ser uma pegadinha, porém o que este usuário
não sabe é que no momento em que abriu o arquivo de imagem o
servidor do trojan já se instalou em seu equipamento e a partir de
agora um invasor poderá ter acesso remoto a ele.

Como explicado anteriormente os trojans funcionam sob uma

arquitetura computacional conhecida como cliente/servidor, de um
lado existe um programa servidor que atende conexões através de
uma porta no computador que foi infectado, conectados a esta porta
existem programas clientes, desta forma o invasor tem controle
total sobre equipamento da vítima.

OBS: Está fora do escopo deste curso entender como funcionam portas
de conexão, porém de forma rápida vamos entender como são
utilizadas.

Em sistemas computacionais quando se estabelece uma comunicação

entre um computador que está rodando um software cliente e outro
rodando um programa servidor é necessário que exista uma porta
de comunicação, geralmente utilizando o protocolo TCP/IP. Esta porta
recebe um número para identificá-la.

Onde é executado o programa servidor a porta ficará ativa

aguardando uma requisição para se comunicar. Entendemos uma
porta aguardando tal requisição como sendo uma porta aberta,
então é comum quando se trata de rede usar a expressão: a porta
número tal está aberta ou fechada e assim por diante.

Um exemplo que podemos entender facilmente é a utilização do

correio eletrônico, e-mail.

Quando você envia um e-mail e utiliza um programa como o Outlook,

por exemplo, este programa é seu cliente de e-mail. Do outro lado
 16 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

exis
ste seu se
ervidor de
e e-mail q
que é man
ntido pelo
o seu pro vedor e
ambbos se comunicam através da porta a 25 utiliz
zando o p
protocolo
SMTTP.

Abaixo segue e alguns exemplos

e s de troja
an horses e as po
ortas
utilizadas para a cone
exão.

TTrojan Horsee  Porta  Porta  Protocolo 

Agent  40421  40421  TCP 
Aim Spy  777  x  TCP 
Ajan  25  x  TCP 
Ambush  10666  x  UDP 
Backk Constructtion  666  5400/5401  TCP 
 
19.

 
Esq
quema mostraando um ataq que de vários iinvasores tendo o controle remoto na m
máquina da vítima 
através da internett. Lembre‐se q
que diversos aatacantes poddem controlarr uma máquinna ao mesmo ttempo 
e estes p
podem vir de llugares geograficamente diferentes. 

Exe
emplos de
d trojan horses:

 Aggrevaator
 AntiMcA
Afee.b
 Bacterio
o61
 Sub

Existtem milhõ
ões de variações de trojans e todos os dias
d são crriados nov
vos
ou a
antigos são
o modificados.
 17 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

20.

Worms
Vimos que um vírus de computador infecta um arquivo, este, uma
vez infectado será o agente portador do vírus.

Para que o vírus infecte o equipamento e outros arquivos necessita

que um usuário desavisado execute o programa infectado para iniciar
o processo.

Os worms pertencem a uma nova geração de vírus de computador,

exploram vulnerabilidades em sistemas operacionais para que
possam se espalhar pelas redessem a interação do usuário.

Funciona desta forma:

1. O usuário recebe o arquivo infectado com o Worm;

2. Executa o arquivo a primeira vez;
3. O Worm infecta os arquivos localmente, faz cópias de si
mesmo e procura na rede sistemas vulneráveis e que estão
aptos a receber sua auto instalação;
4. Infecta todos os computadores na rede proliferando a infecção.

Os worms são pragas que se disseminam rapidamente através da

sua rede local podendo contaminar todas as máquinas vulneráveis
incluindo estações e servidores.

Worms também se espalham por e-mail levando arquivos infectados

através dos contatos existentes no catálogo de endereço sem que
você saiba.

Exemplos de worms:

 Elman.
 Balero.
 Dander.
 Diska.

 
 18 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

21.

 
O ttipo de vírus  Worm após infectar um
ma única máq
quina utiliza vvárias técniccas para infecctar 
outros eq
quipamentoss através da rede local ouu internet 

22.

Roo
otkits
Em sistemas operacio onais commo Unix e Linux os usuários com super
vilégios sã
priv ão conhec cidos commo root, são
s os administrad
dores do
siste
ema resp ponsáveis por toda rotina ad dministrativa como o a criaçã
ão
de nnovas pas stas, conffiguraçõess da rede
e, criação de outro
os usuárioos
entrre tantas outras taarefas.

Os rrootkits são um conjunto

c d
de aplicattivos utilizados parra a invas
são
de s
sistemas da platafo
orma Uni x/Linux que
q anteriormente e eram
conhhecidos como
c bac
ckdoors.

Os rrootkits são malwwares extrremamen nte poderosos, poiss podem

enganar os antivírus
a e o própr io sistema operacional reto
ornando
mennsagens modificad
m as quand
do requisitadas.

Vam
mos imag
ginar a seguinte
s o:
situação

No W
Windows se você pressiona
p ar a comb
binação de
e teclas
CTRRL+ALT+
+DEL ou CTRL+SH
C HIFT+ESSC abre-sse o geren
nciador de
tare
efas.
 19 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

O Rootkit fica “pendurado” em um desses processos e quando o

sistema operacional requisita alguma informação ele retorna algo
totalmente válido para que nenhuma suspeita seja levantada, isso
acontece também quando antivírus varre a memória onde se
encontra tal processo.

A maioria dos antivírus atuais possuem módulos especializados para

detecção e remoção de rootkits.

Exemplos de rootkits:

 Twenty.
 Radu.
 Pakes.
 Padnuha.

23.

Antivírus
Os antivírus são programas especializados na detecção e remoção
de malwares, atualmente muitos fabricantes de antivírus oferecem
soluções de segurança integradas como firewall,anti-spam, anti-
spywares, detectores de keyloggers etc.

Estes programas normalmente utilizam técnicas diferentes para

completar sua tarefa devido à existência de milhares de vírus e suas
variações e também cada fabricante pode criar seu próprio algoritmo
de detecção e remoção de pragas digitais.

Existem muitos fabricantes de antivírus e todos estão focados em

oferecer um melhor produto para a proteção de equipamentos
corporativos e domésticos.

É difícil definir um melhor antivírus, pois muitas questões são levadas

em consideração como velocidade de escaneamento, tipo de técnica
empregada para detecção e remoção do malware entre muitas outras
características que devem ser analisadas.

Muitos produtos antivírus possuem sua versão gratuita para usuários

domésticos como AVG, AVAST, AVIRA etc.

Para que você possa se decidir qual antivírus utilizar procure sites
especializados em testes com estes produtos.
 20 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

O site AV-Comparatives.org (http://www.av-comparatives.org)

realiza testes com vários programas antivírus. Os resultados deste
site são amplamente utilizados por grandes corporações no momento
de se decidir qual produto adquirir.

Uma coisa é certa, independente do antivírus que você utilizar é

muito importante que você tenha um instalado em sua máquina.

24.
Existem muitas técnicas para a detecção de um vírus devido a grande
quantidade de vírus existentes e suas variações. Algumas formas
comuns de se detectar um vírus no sistema são os seguintes:

 Assinatura do vírus
 Heurísticas
 Análise de comportamento
 

25.

Detecção por assinatura

A detecção por assinatura se dá da seguinte forma.

1. O vírus é um programa de computador e como todo programa

possui um código para ser executado.
2. Quando outro programa é infectado o código do vírus se anexa
ao código do programa original, existem técnicas avançadas de
programação para que isso seja possível, existem alguns vírus
que não alteram nem mesmo o tamanho original do software
após sua infecção.
3. Quando um vírus é identificado pela primeira vez os fabricantes
de antivírus mapeiam as ações do vírus, isolam seu código e
então é gerado um código que o identifica de forma única,
conhecida como assinatura do vírus.
4. Essa assinatura por sua vez é colocada em um banco de dados
de definição de vírus para que em um escaneamento o código
de um programa possa ser comparado ao que existe neste
banco.

Vamos utilizar um exemplo baseado no cálculo do hash de um arquivo,

vamos utilizar aqui o padrão MD5, veja que este é apenas um exemplo para
 21 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

que possamos s entenderr melhor ccomo funciiona a detecção por assinaturra.

Cadaa fabricante de antiv
vírus utilizza seus próóprios algoritmos e códigos
próp
prios para que esta consulta
c sseja feita de
d forma muito
m da, na ord
rápid dem
dos milissegunndos.

Bem
m, para podder fazer este
e exem
mplo vamos
s utilizar o program a Hashcalc
que pode ser baixado em http://wwww.slava
asoft.com//zip/hashccalc.zip

Insta
ale o prog
grama e va
amos criarr um arquiivo no bloc
co de nota
as com o
segu
uinte conteeúdo:

ABC
CDEFGH12
234567890

Salv
ve o arquiv
vo com o nome
n testte_assina
atura.txt

Se v
você instalou o programa Has
shcalc corrretamente
e execute--o e vamo
os ter
esta tela.

 
Tela doo programa H
Hashcalc 

 
 22 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador
 

mos utilizarr o Hashcalc para o

Vam obter a ass
sinatura do nosso a rquivo
testte_assinaatura.txt abaixo
a mos visualizar o res
vam sultado com
m o padrã
ão
MD5 5

 
Observe o ressultado do MD5 para nosso
o  
arquivoo teste_assinaatura.txt 

Vam
mos agora editar nos sso arquivo
o teste_aassinaturaa.txt e appenas inserir
no fiinal do arq
quivo os dígitos 123
3. Depois de sta alteraçção grave o
d feita es
arqu
uivo e calccule o MD55 novamen nte.

 
Código MD55 do arquivo modificado. 

Obse
erve que ao
a inserir apenas
a trê
ês dígitos ao final de
e nossa se
equência no
n
arqu
uivo de tes
stes o código MD5 já
á mudou totalmente
t e.

Entã
ão criamoss a assinattura de um
m simples documentto de texto o, de form
ma
pare
ecida os fa
abricantes de antivírrus utilizam
m o cálculoo de assin atura para
ao
código do proggrama víruus que preeviamente e é isolado e analisad
do.

enda que caso

Ente c eu mude a exteensão do arquivo
a pa
ara .EXE . ZIP ou
quallquer outra
a a assinatura não m
muda.

Abaiixo temos um exemplo de um m código que represe us dentro de

enta o víru
um pprograma que foi infectado.
 23 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

 
O código do víírus está destaacado em verrmelho nesta iimagem acimaa.  
O
Podee ser gerada u
uma assinaturra para este có
ódigo e então identificado vvírus. 

26.

 
ma um exempplo do código do programa após infectaddo. 
Naa imagem acim
 24 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

27.

 
A assinatura é baseeada apenas nno código do vvírus que é inserido no momento da infeecção dentro de um 
outtro programa sadio. Esta asssinatura é en tão inserida e
em um banco de dados de ddefinição de vvírus 
para coomparação noo momento de um escanea amento. 

28.
Víru
us A=e92
22301da3512247a
ab714070
096ab781
10

Víru
us B=e50f59c2cd3
3cc50d16
677c14b7
7e3b8b2e

Víru
us C=59ec31c0a42
28a10f77
792ec3eb
b3db9059
9

Todo
o vírus des
scoberto recebe
r um
ma assinatu
ura associa
ada.
 25 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

29.

 
O aantivírus escan
nceia o conteú
údo de um pr ograma e proocura por código suspeito, eentão este cód
digo 
reccebe uma assinatura que é comparada coom todas as aassinaturas existentes no baanco de dados de 
deefinição de vírrus. 

30.

Varriantes do
os vírus
No e
exemplo anterior geramos um ma assinatu ura de um
m arquivo d
de teste co
om
umaa determin
nada sequê ência de c aracteres,, podemos
s notar que
e ao altera
ar o
contteúdo destte arquivo sua assin
natura mud dou complletamente
e.

Esta
a é uma té
écnica utilizzada peloss vírus parra que não
o sejam de
etectados por
assin
natura pellos antivíru
us.

Muittos dos vírrus são apenas varia

antes de um
u já existtente, funcciona destta
form
ma:

1
1. É criadoo um víruss totalmennte novo.
2
2. Este vírrus é então
o detectaddo, analisa
ado e recebe uma asssinatura.
3
3. Alguns programadores de v vírus obtém o código fonte deeste malwa are
e altera
am pequen nas porçõees do proggrama origginal, lemb
bre-se quee
qualque er alteraçã
ão em um arquivo, suas assina
atura tambbém muda a
complettamente, isso aconttece com o código do vírus ag gora
modificado.
4
4. Ao commparar o có ódigo susppeito dentrro de um programa
p infectado com
a base de definiçã ão o antiv
vírus não reconhece
r essa nova
a assinatura e
não recconhece o código co mo um vírrus.

Nestte momento é criada

a uma varriante de um
u vírus que
q já foi cconhecido e
dete
ectado. Iss
so gera mu
uitas nova
as assinatu
uras tornando o cen ário muitoo
mais
s complexo.
 26 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

Por e
este motivvo temos vírus
v dete ctados com
mo, por ex
xemplo: C
Conficker.A
A,
Confficker.AB, Confickerr.C e assim
m por diante.

31.

Poliimórficos ou criptografad
dos
Paraa se esconder de um m antivíruss existem técnicas
t muito
m avannçadas
utiliz
zadas peloos vírus, ou melhor, pelos proogramadorres destas pragas.
Uma a técnica utilizada
u é a capacid ade de moodificar o código, ao
o infectar um
novo o sistema ele altera uma part e de si me esmo mudando assi m sua
assinnatura.

Este
e tipo de programaçãão é muitoo complexxo e requer algumass técnicas
avan
nçadas torrnando estte tipo de vírus muitto mais difícil de dettectar e
remoover.

Tam
mbém é possível criptografar sseu código desta forma não é alterado o
código, mas sim escond
dido utiliza
ando técnic
cas de crip
ptografia.

32.

 
Observe aq
qui que apena m é alterada. 
as mudando oo código do vírrus sua assinatura também
 27 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

33.

 
Aq
qui o código n
não está send o alterado e ssim escondido
o, criptografaddo. 

34.

Dettecção po
or heurísttica
A de
etecção po or heurístic
ca é muito
o útil em vírus
v que são
s novos ou tiveram m
seu código altterado de alguma
a orma. Esta técnica não é muito
fo o eficiente
e por
ser llenta, utilizar muitos
s recursoss do sistem
ma e gerarr muitos fa
alsos
positivos.

Esta
a técnica utiliza
u umaa abordage em um pouco diferente da dettecção porr
assinnatura, po
orém ainda a se baseia ca é uma forma de
a nestas. A heurístic
verifficar apena
as partes de assinatturas que podem se er conhecid
das em um
ma
basee de definiição de vírrus utilizan
ndo padrões.
 28 
DT
TDS So
oluçõ
ões em
m tecnolog
gia
Intr
rodução aos vírus
v de
e computador

35.

 
As asssinaturas são
o comparadas com as que jáá existem no bbanco, sendo uma destas ssuspeitas de seer um 
m
malware, ou seeja, se possuírem uma partee de sua assinatura, então e
este arquivo éé enviado para a 
quareentena ou exccluído. 

36.

Dettecção po
or comportamento
o
Esta
a é outra té
écnica na detecção de malwares baseada no com mportamen
nto
do p
programa que
q está sendo
s veri ficado pelo
o antivírus
s, a análisse de
comportamento é basta ante útil pa
ara vírus que
q ainda não são cconhecidos
s,
mass tem suass desvantaagens, uma a delas é gerar
g falso
os positivoos.

Um programa de compu utador, ao

o tentar fazzer uma conexão coom a internet
ansferir alg
e tra guns arquivos pode ria ser con
nsiderado pelo antiv
vírus com um
comportamento suspeitto e ser blo oqueado como
c um trojan
t por exemplo.

Esta
a técnica é mais rápiida que um
ma comparação de forma
f heuurística, po
orém
podeeria gerar muitos prroblemas cconsideran
ndo que appenas um suspeito pode
p
ser c
consideraddo um malware. Os fabricante es de antiv ocam muito
vírus se fo
em ppesquisas para a utilização de
este tipo de
d técnica e temos e evoluído
basttante.

Para
a um progrrama ser considerad
c do suspeitto pelo anttivírus ele segue cerrta
lógic
ca que pod
demos fazer uma annalogia comm o mundo físico no o qual
vivemos.
 29 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

1. Você vê de madrugada uma pessoa suspeita pular o muro da

residência de seu vizinho ( arquivo executando uma tarefa que foge
aos padrões)
2. Esta pessoa consegue pular o muro (um programa abre uma porta de
conexão)
3. Aqui poderiam acontecer várias situações que poderíamos definir este
suspeito como um ladrão ou apenas o filho adolescente do seu
vizinho voltando da balada e que provavelmente perdeu a chave.
4. Consegue pular o muro e arrombar a porta da casa (malware)
5. Consegue pular o muro, porém dorme no quintal ( perdeu a chave de
casa na balada e não é um malware)

Com este pequeno exemplo acima é possível ter uma ideia da complexidade
deste tipo de análise. Para o programa antivírus esta decisão deve ser
tomada em milissegundos o que pode tornar o sistema um pouco lento
utilizando este tipo de detecção.

OBS  
Alguns softwares para gestão comercial, ERPs, podem abrir portas de
conexão para se comunicar com um servidor de banco de dados e também
gravar arquivos temporários utilizados para operações internas do
programa neste caso o programa antivírus tem que se certificar que este
tipo de ação não está sendo executada por um malware, por este motivo,
muitas vezes são gerados falsos positivos.

37.

Sintomas
Após um equipamento ser infectado ele pode mudar muito seu
comportamento ou nada pode acontecer, pois se o vírus realmente for
muito bem programado ele se mantém oculto, sem levantar suspeita.

Mas, lembrando novamente, um vírus é um programa de computador, e

como todo programa também tem bugs então o vírus pode ser descoberto
apenas pela emissão de uma mensagem de erro no caso de usuário
experiente. Abaixo tento listar alguns dos principais sintomas de alguns
vírus e lembre-se também que nem todo problema em um computador
trata-se de vírus então o melhor a fazer é procurar um técnico
especializado, procurar o pessoal de TI de sua empresa ou comprar e
manter atualizado um bom antivírus.
 30 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

Principais sintomas:
 

1. Sistema se torna lento demais sem motivo aparente.

2. Alguns serviços de rede não respondem.
3. Sites de fabricantes de antivírus ou relacionados à segurança da
informação não podem ser carregados.
4. O programa antivírus desaparece da bandeja do sistema, para quem
não sabe, a bandeja do sistema é onde fica o relógio do Windows.
5. A rede se torna extremamente lenta.
6. Sistema desliga sem a requisição do usuário.
7. O espaço livre em disco começa a diminuir.
8. Alguns arquivos com nomes estranhos aparecem no disco.
9. Ícones, papel de parede ou coisas do tipo são modificadas sem a
requisição do usuário.
10. Acesso a impressora ou outros periféricos são bloqueados.

Observe que alguns vírus podem combinar todos estes sintomas, não é
possível saber com precisão o que pode acontecer com um sistema
contaminado devido às milhares de variações dos vírus existentes.

 
 31 
DTDS Soluções em tecnologia
Introdução aos vírus de computador
 

Ao ter um equipamento com estes sintomas qual é a melhor atitude

a tomar?

Abaixo segue uma tabela que você pode usar com referência para agir em
uma situação de infecção digital.

    
Equipamento não possui nenhum outro  1 
problema como hardware, incompatibilidade          Isolar o equipamento. Tirar acesso da rede e internet. 
de software entre outros e foi constatado que 
existe uma infecção no sistema. 
 
   
B   2 
O equipamento possui antivírus instalado.  Verificar se o antivírus está ativo. 
 
   
C   3 
O equipamento possui antivírus instalado,  Ir ao site do fabricante e procurar uma ferramenta para 
porém o mesmo não está ativo.  remoção de vírus neste tipo de situação. 
  Utilizar um CD de inicialização que contenha um solução 
antivírus. 
 
   
D   4 
O equipamento não possui antivírus  Através de um equipamento saudável fazer o download de 
instalado.  um antivírus, utilizando ainda um equipamento saudável 
gravar um CD ou utilizar um pen drive que possa ser 
protegido contra escrita para evitar sua contaminação. 
 
   
E          5 
Antivírus ativo. Porém não remove o vírus         Siga os procedimentos a seguir: 
detectado.   
1. Coloque o equipamento na internet, não na rede, e 
atualize seu antivírus. 
2. Atualize todo o sistema operacional. 
3.  Desabilite a Restauração automática do sistema.  
4. Execute um escaneamento de boot. 
 
   
F   6 
Não consigo instalar o antivírus no  Siga até o item 3. 
equipamento infectado. 
 
   
G  7 
Vírus é removido, porém arquivos são  Alguns tipos de vírus não podem ser retirados dos arquivos 
excluídos pelo antivírus.  infectados. Neste caso restaure o arquivo original através 
de sua instalação. 
 
 32 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

38.

Proteção
1. Manter duas contas no sistema: administrador e usuário
limitado.

Quando você instala um sistema operacional tem a possibilidade de criar

contas de usuário para sua operação, obviamente que não é todos os dias
que precisamos instalar programas, alterar configurações etc.

Evite operar o sistema com uma conta que possui privilégios de

administrador. Crie um usuário limitado apenas para utilizar funções
rotineiras isso dificulta bastante a infecção de seu sistema por vírus e outros
tipos de malwares.

2. Não executar anexos em e-mails de desconhecidos.

Nunca execute um arquivo anexo em seu e-mail quando vem de um

desconhecido, provavelmente este arquivo é malicioso ou você não terá
interesse em seu conteúdo de qualquer maneira, então não vale a pena o
risco.

Quando um conhecido lhe envia um e-mail com algum arquivo anexo o

melhor é confirmar se este está ciente de ter enviado alguma coisa, lembre-
se que até seu melhor amigo pode estar infectado e lhe enviar mensagens
sem nem mesmo saber.

3. Manter o sistema operacional atualizado.

Uma grande maioria de worms se utiliza de vulnerabilidades em sistemas

operacionais para que possam infectar um sistema, então os fabricantes
sabendo disso sempre lançam pacotes com atualizações corrigindo estas
falhas, como os Service Packs da Microsoft por exemplo.

Manter seu sistema operacional atualizado garante uma maior segurança.

4. Manter o antivírus e sua base de definição atualizada.

Você é extremamente paranoico, atualiza seu sistema operacional, cria

senhas fortes, tem o melhor antivírus instalado em seu sistema, pelo menos
em sua opinião é o melhor, prefere atualizar manualmente seu antivírus e
um belo dia: Virusfound!!
 33 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

O que aconteceu?

Quando se trata de segurança computacional nunca confie apenas na sua

memória, deixe sempre a atualização de seu antivírus ser feita de forma
automática. Verifique se a última atualização foi feita regularmente. Muitos,
aliás, milhares de novos vírus são criados a cada dia, então se certo vírus
lhe infectar sem o fabricante ainda o ter detectado nenhum programa
antivírus fará milagre, lembre-se disto.

5. Sempre executar uma varredura no sistema.

Vamos imaginar o seguinte: Certo dia você baixa um arquivo infectado na

internet e grava em seu Desktop, por falta de tempo ou algum outro motivo
você nem executou este arquivo.

Como vimos anteriormente para um vírus agir é preciso que alguém o

execute, clique duas vezes sobre ele ou digite qualquer comando que faça
rodar seu código. Então você continua com um arquivo infectado em sua
máquina e nem sabe disso ainda.

Qual o problema?

Você possui um arquivo infectado só que ainda não foi executado. Isto gera
um falta de segurança visto que este pode ser lançado a qualquer
momento.

Fazendo um escaneamento regularmente o antivírus tem possibilidade de

encontrar este arquivo e tratar o problema com mais segurança evitando
que um dia este vírus possa ser copiado para alguém que não possui um
antivírus e irá executar inocentemente ajudando no caos da infecção digital.

5. Manter o firewall ativado.

Ter um firewall em seu equipamento ajuda no sentido que softwares não

conhecidos são bloqueados no momento de utilizar a rede ou internet. Este
assunto é muito complexo e o abordamos em outros cursos direcionados
para configuração de firewalls e segurança de rede.

6. Ter extremo cuidado com arquivos baixados na internet

Arquivos baixados de sites que não são confiáveis é um dos maiores riscos
no qual um equipamento pode ser exposto. Imagine você entrar em uma
página desconhecida e fazer o download de um programa que se mostra
inocente.
 34 
DTDS Soluções em tecnologia
Introdução aos vírus de computador

7. Cuidado com sites não conhecidos e maliciosos

Alguns sites são confiáveis, outros não. Isto pode ser verificado caso você
utilize um navegador que suporte este tipo de verificação e assim como o
antivírus mantenha-o sempre atualizado, instalando a última versão.

39.

Conclusão
Obrigado por participar de nosso curso Introdução ao vírus de
computador!