VÍRUS… Ontem, hoje e “Sempre”

Em 1983 o pesquisador Len Eidelmen apresentou, em um seminário de segurança computacional, o que seria o primeiro código de computadores com capacidade para se auto-replicar e no ano seguinte o termo vírus foi definido como um programa com capacidade de alterar o código de outros programas replicando assim seu código para outras partes do sistema.

Em 1986 o primeiro Vírus foi descoberto e a ele deram o nome de Brain. Criado para infectar a área de boot dos sistemas, o Brain era transmitido por disquetes e seu método de infecção foi bastante “popular” até meado dos anos 90. Porém, o vírus considerado como precursor de tudo o que vemos hoje, foi criado em 1982 por um garoto de 15 anos chamado Rich Skrenta. O Elk Cloner foi desenvolvido para atacar computadores Apple II mas não causava qualquer dano ao sistema.

Atualmente os vírus são transmitidos diretamente pela internet, muitos computadores nem possuem mais uma unidade de disquete e os pen-drivers e HD´s externos se tornaram “peça básica” em qualquer PC. Curiosamente o primeiro código malicioso transmitido pela internet ficou conhecido como Morris Worm e foi distribuído acidentalmente em 2 de Novembro de 1988 (dia de finados) para cerca de 60.000 computadores conectados que tiveram seu sistema operacional inutilizado. A propagação e eficácia do Morris Worm foi ocasionada devido ao um erro no código do programa. Ao tentar ser processado pelos sistemas os mesmos acabavam sendo corrompidos.

Com a propagação dos vírus na internet, o e-mail se tornou o principal meio de distribuição de novas pragas, cerca de 80% de todos os e-mails que circulam na internet são SPAM e esse número já chegou a 97% entre o fim de 2009 e inicio de 2010, mas esse assunto será discutido em um outro post.

No fim dos anos 90 e inicio dos anos 2000 tivemos o grande “BOOM” de propagação de vírus no mundo. Diversos Worms foram criados e milhões de sistemas foram infectados, prejudicados e até mesmo inutilizados devido às suas infecções. Alguns dos principais vírus são o “Chernobyl” de 1999, “I love You” de 2000, “SQL Slammer” de 2003 e “Sasser” de 2004.

Todos possuíam a mesma característica, infectar muitos computadores e causar sua indisponibilidade temporária ou permanente. O que mudou para os dias de hoje? Muita coisa, quase não vemos mais vírus com grande poder de propagação e muito menos com poder de destruição. Um vírus que se propaga e causa danos “visíveis” muito rapidamente é facilmente identificado pelas empresas de segurança e consequentemente sua “vida útil” se torna curta e ineficiente para as “necessidades” dos crackers atuais.

Existem diversos típos de vírus, para cada um deles existe um tipo de nomenclatura, apesar das empresas definirem, cada uma, um determinado nome, um “padrão” é adotado para que a identificação e divulgação de informações seja mais bem elaborada.

Vírus com alto poder de propagação por e-mail são reconhecidos como “@mm/e-mail-worm/l-worm” (Ex. e-mail-Worm.Win32.Sober.c), para os vírus que instalam arquivos no computador baixados da internet o padrão utilizado é “Downloader/Dldr” (Ex. Downloader.Trojan), para códigos usados para a exploração de falhas o nome é “Exploit” (ex. Exploit-MS04-028) e o mais utilizado atualmente e que possui muitas das funcionalidades de outros vírus é chamado de “TROJAN/Troj” (Ex. Troj/Ransom-A). Esses são apenas alguns exemplos dos padrões adotados pelas empresas para a identificação dos vírus.

Os TROJAN´s se tornaram o melhor “custo x benefício” dos crackers e quadrilhas para o roubo de dados confidenciais e, consequentemente, lucro financeiro ($$$.$$$,$$). Suas principais características são o fato de não se propagarem automaticamente, não causarem danos ao sistema, alterarem arquivos e recursos do sistema para manipular o usuário, se conectarem com a internet para enviar dados capturados ou receber atualizações e até mesmo abrir portas de comunicação para que o computador seja controlado remotamente por um cracker. TROJAN´s são responsáveis por “BILHÕES de DÓLARES” em prejuízo para empresas, governos e pessoas de todo o mundo com o roubo de dados bancários (contas e senhas), de números de cartões de crédito e outros dados confidenciais. O Vírus Conficker atingiu um patamar tão alto de infecção e danos, que a Microsoft ofereceu uma recompensa de U$ 250.000,00 para quem fornecesse informações válidas para a identificação e captura de seus criadores.

O Termo TROJAN é uma alusão a lenda do “Trojan Horse” (Cavalo de Troia) utilizado pelos gregos para invadirem a cidade de Troia sem ter que passar pelas muralhas gigantescas e “impenetráveis” que cercavam a cidade. O cavalo de madeira gigante era oco e alguns soldados ficaram escondidos dentro deles enquanto o mesmo era transportado para dentro da cidade. Durante a falta de atenção dos guardas, os gregos saíram do cavalo e abriram os portões para a invasão e destruição da cidade.

A quantidade de novos vírus criados diariamente não para de crescer e, de certa forma, continua espantando os especialistas. Estimasse que no início de 2009 a quatidade de novos códigos maliciosos era de 35.000, no fim de 2010 de 55.000 e agora no início de 2011 já são 63.000. Além do fato da grande quantidade criada, os crackers tem evoluído o código dos vírus, os tornando mais completos, agregando funcionalidades de outros vírus e novas funções que os sistemas ainda não possuem proteção. É preciso mencionar que um software de antivirus apenas com atualização de lista de vírus, geralmente diária, não é capaz de ser 100% eficiente com essa evolução???

Com a evolução dos sistemas Anti-Spam, os vírus tem sido “transferidos” para as páginas Web. Blogs e Fórums são muito utilizados para a propagação já que muitos vírus não precisam da interferência do usuário para infectarem os sistemas, um simples acesso a uma página infectada é o suficiente para estar comprometido. Sites de grandes empresas são atacados diariamente com a mesma finalidade, em caso de sucesso a disseminação daquele vírus seria muito eficiente devido a grande quantidade de acessos que o site recebe.

A evolução da Internet aumentou a “facilidade” de interação da Web com os usuários e diversas outras páginas são carregadas ao mesmo tempo em que a principal de acordo com o perfil de cada usuário. Não é raro acessarmos uma “única” página e em seu entorno outras serem carregadas com propagandas e notícias. Essas outras páginas, não necessariamente estão hospedadas nos mesmos servidores e não possuem os mesmos critérios de segurança. Com uma página dessas estando comprometida, o vírus passa a ser distribuído mesmo que você esteja acessando um site “confiável”. Facebook, Orkut, Jornais, Revistas, etc. de todo o mundo já tiveram esse problema. Nessa semana foi descoberto um novo trojan que se disfarça de aplicativo para o Facebook (If I Die) que deixa você escrever um texto para seus amigos e familiares, e que promete ser publicado após a sua morte.

O próximo passo na evolução são os ataques a Mac´s, Smartphones e Tablets. Engana-se quem acredita que esses ataques são direcionados apenas para os PC´s e que os novos dispositivos são mais seguros. Recentemente foram descobertos vírus para MAC´s, que estão sendo tratados com muito cuidado pela Apple e os Smartphones com sistema Android foram infectados diretamente por aplicações publicadas na Android Market. Diferentemente da AppStore (Apple) aonde os aplicativos que são disponiblizados são avaliados pela própria Apple, no Android Market os aplicativos são disponibilizados pelos seus próprios criadores, o que para os crackers é uma facilidade enorme na distribuição dos seus códigos.

Julio Carvalho

Mais artigos deste autor »

Sou Graduado em Redes de Computadores e Pós Graduado em Auditoria e Segurança de Sistemas, Especialista em Códigos Maliciosos (Vírus) e possuo 10 anos de experiência em Infraestrutura e Segurança de ambientes.

http://br.linkedin.com/in/julioinfo


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!


7 − = três

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>