analise-de-malware-aula-01

Prévia do material em texto

Tipos de categorias em que a maioria dos malwares se enquadra, conforme Sikorski 
(2012): 
 
• Backdoor – código malicioso que se instala em um computador para permitir o 
acesso do invasor. Geralmente permite que o invasor se conecte ao 
computador, com pouca ou nenhuma autenticação, e execute comandos no 
sistema local. 
 
• Botnet – Semelhantemente ao backdoor, permite que o invasor acesse o 
sistema. Porém, ao ser infectado, o alvo se torna um zumbi que recebe e 
executa ordens de seu mestre. Com isso, fará parte de um sistema de comando 
e controle dominado pelo atacante. 
 
 
• Cavalo de Troia (Trojan horse) – é um artefato aparentemente inocente e 
legítimo que na verdade contém um elemento malicioso escondido em algum 
lugar dentro dele. A maioria dos cavalos de Troia é um programa funcional a fim 
de que o usuário não desconfie, enquanto o elemento malicioso funciona e 
executa aquilo que foi projetado pelo invasor. 
 
• Downloader – código malicioso que existe apenas para baixar outro código 
malicioso. Normalmente é instalado por invasores em seu primeiro acesso a um 
sistema. O programa de download baixará e instalará o código malicioso 
principal. 
 
 
• Malware sem arquivo – é uma técnica maliciosa baseada em memória que usa 
arquivos e ferramentas do próprio sistema para baixar e executar o artefato. 
Nessa técnica, o atacante não usa o disco para armazenar seu código malicioso. 
Em vez disso, ele usa memória ou algum outro objeto do sistema operacional 
(APIs, crontabs, chaves de registro) para executar suas ações. 
 
• Malware híbrido – é uma combinação de diferentes ações de malware, como 
propagação e atividade em conjunto, por exemplo, trojans e ransomware. 
 
• Malware de roubo de informações – malware que realiza coleta de informações 
do computador da vítima e, geralmente, o envia para o invasor. Exemplos 
incluem sniffers, captadores de hash de senha e keyloggers. Este malware é 
tipicamente usado para obter acesso a contas online, como e-mail ou banco 
online. 
• Launcher – Programa usado para lançar outros programas maliciosos. Seu 
objetivo é ocultar o comportamento malicioso para que o usuário não perceba. 
Normalmente, os launchers utilizam técnicas não tradicionais para lançar outros 
programas, a fim de garantir um acesso furtivo ou acesso mais privilegiado ao 
sistema. Veremos com mais detalhes a frente, mas um exemplo mais comum é a 
 
 
inserção de um executável malicioso dentro de um binário legítimo e realizar 
sua execução apenas em determinadas condições, ofuscando seu 
comportamento durante a análise. 
• Ransomware – malware que impede ou limita os usuários de acessarem seu 
sistema, seja bloqueando a tela do sistema ou bloqueando os arquivos dos 
usuários, a menos que um resgate (ransom) seja pago. Após o pagamento, feitos 
geralmente por meio de moeda virtual devido a sua possibilidade de 
anonimização, o atacante fornece uma chave de descriptografia e posterior 
recuperação. 
 
• Rootkit – Código malicioso projetado para ocultar a existência de outros códigos. 
Os rootkits geralmente são acompanhados de outro malware, como um 
backdoor, por exemplo, para permitir um acesso remoto ao invasor e dificultar a 
detecção deste código para a vítima. 
 
• Scareware – malware projetado para assustar um usuário infectado e fazê-lo 
comprar alguma coisa. Geralmente, tem uma interface de usuário que o faz 
parecer um antivírus ou outro programa de segurança. Com isso, informa à 
vítima de que existe um código malicioso em seu sistema e que a única maneira 
de se livrar dele é comprando determinado software. Porém, na realidade, o 
software que está sendo vendido apenas remove o scareware. 
 
• Malware de envio de spam – malware que infecta a máquina de um usuário e 
depois usa a mesma para enviar spam. Este malware gera renda para o atacante 
de duas formas: permitindo-lhes vender serviços de envio de spam em massa e 
realizando anúncios das marcas nas máquinas infectadas. 
 
• Worm ou vírus – código malicioso que pode se copiar e infectar outros 
computadores.