Hackerteen

Edutainment for Internet Generation

Como os crackers tornam o vírus invisível?

Olá, eu sou o Yago. Vamos conversar sobre segurança.
Assunto de hoje: Como os crackers tornam o vírus invisível?

Desde o início desta era digital, a construção e a destruição tem andado lado a lado. Sempre que uma empresa é criada, surge outra, quase ao mesmo tempo querendo tirar vantagem desta.

Um exemplo disso são os vírus e os anti-vírus. Vírus são programas que funcionam como parasitas e infectam todo o sistema. Estes programas se instalam na parte central do computador e com o tempo infectam todo o Sistema Operacional. Eles são criados por programadores.

Você sabia que 94% dos computadores possuem algum tipo de erro que prejudicam sua performance? Os Crackers procuram, diariamente, por estas vulnerabilidades.

Assim como continuamos evoluindo tecnologicamente, observamos que vírus, spams e malwares também avançam, criando novas e cada vez mais poderosas formas de invadir nosso sistema. Trata-se de uma batalha contínua.

Muitas vezes os crackers estão em um ritmo mais rápido, o que pode resultar em milhares de computadores infectados.

As técnicas abaixo são usadas para esconder a existência de vírus no sistema. O ponto central é camuflar a infecção. Precisamos entender então sobre as técnicas usadas para esconder a execução do vírus do sistema operacional.

Qual sistema é mais confiável? Linux ou Windows?

O panorama de infecções causadas por vírus tem mudado. Não estamos falando apenas de windows, mas de Linux também.

Até pouco tempo atrás, os crackers escolhiam o Windows como alvo principal, já que conheciam suas vulnerabilidades. No entanto, como Linux continua crescendo em popularidade, os criadores de vírus tem trabalhado diretamente em função disso.

Vírus desenvolvidos para Linux:

  • Alaeda - Virus.Linux.Alaeda
  • Bad Bunny - Perl.Badbunny
  • Binom - Linux/Binom
  • Bliss
  • Brundle
  • Bukowski
  • Diesel - Virus.Linux.Diesel.962


Trojans desenvolvidos para Linux:

  • Kaiten - Linux.Backdoor.Kaiten trojan horse
  • Rexob - Linux.Backdoor.Rexob trojan

As técnicas para ocultar vírus

Para ser escondido, os vírus baseados em Linux e Windows trabalham de uma forma especial. As técnicas padrões não mudam, apenas a maneira de execução em cada uma delas;

1. Os vírus com os códigos maliciosos escritos, são escondidos nas pastas de inicialização fazendo com que cada executável ou binário seja iniciado depois de um processo de boot com sucesso, junto do carregamento das pastas de inicialização. Isso faz com que o vírus seja mantido em estado de execução sempre que o sistema é ligado;

2. O executor do vírus normalmente cria alguns arquivos e diretórios padrões baseados no software do sistema para enganar os usuários e esconder os códigos do vírus. Os processos em execução podem ser escondidos através de funções "ganchos", o termo usado para definir esses programas é RootKit. Ele até esconde os processos para que os mesmos não possam ser mapeados facilmente pelo sistema. É uma técnica de altíssimo nível de rodar programas escondendo os respectivos processos;

3. O executor do vírus faz com que ele fique residente no registro. Nesse momento o vírus se mantém unido com o sistema operacional através do registro e executa no momento em que uma chamada de execução é feita. Ele não só modifica entradas no registro como também manipula a funcionalidade do sistema operacional que afeta seu normal funcionamento, antes de afetar a interação do usuário com o mesmo;

4. Arquivos de música são a maior fonte de vírus ocultos. O código é escondido no formato da música que quando é tocada, parece sem nenhum problema, mas por trás de um som bom, o vírus afeta o usuário do sistema;

5. O sistema Windows usa arquivos de batch com arquivos de inicialização. Os executores do vírus escondem o código nesses arquivos também. Quando um arquivo batch é executado o código corre por trás e afeta a integridade do usuário do sistema. Os vírus podem também ser acionados como um programa normal na inicialização;

6. A execução do código do vírus pode ser agendada levando em consideração o limite de tempo. No Windows é possível através do agendador de tarefas e no Linux através do CRON deamon. Então quando chega a hora certa, o vírus executa e a devastação ocorre;

7. Os vírus podem ser escondidos como páginas da web, estruturadas em HTM relacionadas com o específico serviço rodando com um link malicioso colocado em aplicações de terceiros. Por exemplo: Criação de página fake do orkut. Um programa que circula on-line que pode ajudar os crackers a construir essas páginas fake. Usuários que seguirem os apontamentos do e-mail podem ver uma mensagem de erro que contém o vídeo que eles querem ver, porém esse vídeo não toca sem a instalação de um software antes. Essas mensagens de erro incluem um link que o cracker forneceu para um programa malicioso, que entrega o vírus;

Proteja-se!

Existem alguns passos preventivos que podem ser tomados a fim de excluir os problemas causados por um vírus já residente. A solução de benchmarks padrões a ser seguida é fazer seu sistema mais robusto e livre de todos os riscos aleatórios.

1. Toda companhia precisa ter uma boa política de segurança, especialmente se os empregadores estão conectados na rede interna com servidores de missão critica ou informações corporativas importantes. A política de leitura de e-mail é apenas uma parte dessa estratégia de segurança, mas é bastante importante;

2. Organizações devem seguir a abordagem do On Access scanning que é uma ferramenta padrão de scanner de arquivos em um sistema quando é primeiramente acessado. É chamado como Tecnologia de cache de decisões que fornece alta-velocidade e performance escaneando somente os arquivos que foram modificados desde o último acesso. Muitos anti-vírus de hoje em dia tem essa funcionalidade por padrão. KASPERSKY AV está indo bem nos dias de hoje e tem feito isso com grande eficiência;

3. Anti-vírus devem ter capacidade de suportar novas versões de kernel tão bem quando o windows que deve pegar uma atualização diretamente da rede quando um sistema está junto a rede. Todos os anti-vírus como o bitDefender, McAfee, KASPERSKY são capazes disso;

4. Políticas de e-mail, devem ser atualizadas regularmente como a base de dados de novos vírus. O usuário deve fazer checagem interativa para escrutinar o conteúdo do e-mail e tentar checar o domínio que ele está se referindo. Um bom AV tem capacidades de filtrar lixo entre os e-mails também. CA Antivírus é um bom exemplo disso;

5. O sistema operacional deve ser distribuído com um bom anti-vírus, incluindo funções de antispywares, firewalls e habilidade de detectar processos escondidos chamados como root kits. Para checar rootkits no sistema linux, CHKROOTKIT é a ferramenta.

Os anti-vírus são mesmo confiáveis?

Há sempre uma guerra de anti-vírus no mercado. Encontramos, no entanto, avaliações de desempenho das opções a venda:

  • Norton Antivírus 13.79%
  • BitDefender Antivírus 3.94%
  • CA Antivírus 1.97%
  • AVG Anti-Vírus 17.73%
  • Norman Antivírus and Antispyware 1.48%
  • F-Secure Anti-Vírus 1.97%
  • Trend Micro 5.42%
  • ESET Nod32 23.65%
  • McAfee VirusScan 7.39%
  • Kaspersky Anti-Vírus 22.66%

Fonte: www.hakin9.org

Anti-Vírus para Linux:

  • CLAMAV;
  • Sophos.

Engenharia social

Não importa qual sistema operacional – Mac, Linux, NetWare, OpenVMS, Windows – você utiliza, o que eles tem em comum é que seus usuários estão suscetíveis a engenharia social e podem ser enganados com o download de um arquivo infectado, por exemplo.
Como pode observar, nenhum software irá te proteger 100%. Os crackers trabalham não apenas com informações técnicas, mas com a curiosidade, falta de informação e despreparo do usuário.

Conhece o curso de Web Security do Hackerteen?

 

Próximos assuntos:

Não perca, durante as próximas semanas:

  • Programas que fazem ví­rus;
  • Teste de Intrusão;
  • Exploração de dispositivos móveis;
  • Criptografia;
  • Roubo de senha.


Veja a lista completa com os próximos assuntos

Conte comigo, sua fonte completa e confiável de informações!

Tem alguma idéia? Quer sugerir um assunto?

Até a próxima!