Trabalho Vírus, Worm e Trojan

Prévia do material em texto

Vírus 
I Love You- De todos os vírus que já existiram, este foi o que mais trouxe problemas e prejuízos ao redor do mundo. O motivo é óbvio: todo mundo abriria um e-mail cujo assunto é “Eu te amo”, o nome do vírus, em inglês. Em maio de 2000, estima-se que 50 milhões de computadores foram infectados. Só que além dos usuários comuns, grandes órgãos dos governos ao redor do mundo também tiveram seus PCs afetados pelo vírus. Vários deles, como a CIA, tiveram que desligar o seu sistema de e-mail para diminuir o impacto da disseminação do vírus.
Se o usuário não abrir a mensagem, o computador não sofre nenhum dano. Se a mensagem for aberta, o vírus começa a enviar a mesma mensagem para todos os endereços que constam da lista de endereços do usuário. Simultaneamente, começa a destruir alguns tipos de arquivos e imagens, sons e de sistema. Os danos são irreparáveis.
Se o usuário insistir em utilizar a máquina, todas as senhas são roubadas e enviadas para um endereço eletrônico.
CIH- Também conhecido como Chernobyl, foi um dos vírus mais devastadores já conhecidos. Diferentemente dos outros vírus que causam danos leves e só se reproduziam, esse vírus literalmente destruía todos os dados do computador. Em alguns casos, até destruía os dados da BIOS, transformando qualquer PC em sucata, ele chegava através de e-mails e mensagens. Seu poder de se propagar foi neutralizado com um update da Microsoft, já que ele atacava apenas versões antigas do Windows, como o 95, 98 e Millenium. O "Chernobyl" apaga dados vitais do disco rígido e reescreve o Bios.
 Isso faz com que o computador pare de funcionar. Fora da data de ataque, ele ocupa espaço na memória e trava os antivírus. O "Chernobyl" é de difícil detecção e pode passar despercebido.
Como isso ocorreu em 1998 alguns PCs da época podiam ser consertados porque o chip da BIOS era removível, mas a maioria exigia a troca da placa-mãe.
Melissa - O nome curioso desse vírus vem de uma dançarina de boate que trabalhava na Flórida, na qual o criador do vírus, David L. Smith, gostava. O vírus desligava todos os sistemas de e-mails por onde os e-mails infectados com o vírus passavam. Inicialmente ele foi usado em arquivos que continham senhas de sites pornográficos, como documentos do Word.
Esse tipo de vírus é do tipo vírus de macro (ou macro-virus) que se dissemina através da internet. O usuário recebe um e-mail com um arquivo do Word (.doc) anexado. Quando o usuário abre o arquivo, o vírus Melissa se instala no computador e logo em seguida procura pela lista de endereços do Outlook e envia para os primeiros 50 e-mails uma mensagem com o seguinte assunto: “Important Message From” e o nome do usuário da maquina anteriormente infectada.
Este vírus sobrescreve os macros nos documentos abertos no Word e o arquivo modelo "normal.dot" com o seu código de vírus de macro e desliga as configurações de segurança do Word. Também verifica a segurança do Office 2000.
Caso o valor da entrada não seja nulo, o vírus desabilitará a opção de Macro/Segurança do menu opções. Assim, contaminará todos os outros arquivos que forem criados após a contaminação original, abrindo uma nova rota de contaminação para outros usuários (não usando e-mail).
Portanto, embora seja disseminado primordialmente pela Internet, o vírus Melissa também pode contaminar um micro pela cópia, e posterior leitura, de um documento contaminado com esse vírus.
Como se proteger?
 85% da sua proteção contra os vírus vêm de um antivírus pago, os outros 15% estão entre sempre atualizar seu sistema operacional e Fechar as portas que você não utiliza do Firewall.
Worm 
Slammer- Esse worm se aproveitava de uma vulnerabilidade de estouro de buffer no Microsoft SQL Server, um aplicativo famoso para gerenciamento de bancos de dados. Uma vez instalado, ele causava um ataque de negação de serviço, fazendo com que os bancos de dados não respondessem e causassem grande lentidão na Internet.
O worm se replicava e atacava todos os servidores SQL Server que tinham a mesma vulnerabilidade, causando um efeito cascata no qual os sistemas passavam a não responder mais.
Estima-se que cerca de 75.000 computadores foram afetados em apenas 10 minutos. Ele foi tão agressivo e rápido que muitos, na época, pensaram que era um ataque coordenado por um grupo hacker.
Para proteger os sistemas que utilizam o SQL Server
2000 cujas versões possuem esta vulnerabilidade, a Microsoft
recomendou que se aplicasse o Service Pack 3 do SQL Server.
Sasser - Também atacou várias máquinas com o Windows. Para isso, usou uma vulnerabilidade de segurança na porta de rede, conectando-se a outras máquinas e se espalhando pela Internet. Só que não foi por isso que ele ficou conhecido.
O worm afetou várias empresas, como a Delta Airlines, que teve que interromper seus voos por conta da infecção. A Guarda Costeira da Inglaterra teve seus serviços de mapas interrompidos, e a agência de notícias France-Press também teve as suas comunicações com os satélites interrompidos.
É considerado um Worm de Rede, pois se espalha via redes Windows: seja na internet ou em LAN. Ele se espalha devido a uma falha existente no Windows NT que permite que o malware entre no computador sem mesmo o usuário executar um arquivo malicioso.
Ele faz com que o PC fique absurdamente lento, Impossibilita de abrir paginas na internet, Erro no lsass.exe com contador de 1 minuto,Erro no LSA Shell (Export Version),Erro dizendo “The memory could not be ‘read'” ao iniciar o Windows.Para remoção rápida e simples, use a ferramenta F-Sasser, da F-Secure.
Storm - Teve um modo de propagação curioso: ele mandava e-mails com assuntos polêmicos ou sensacionalistas, como “Genocídio de mulçumanos britânico” ou “Fidel Castro faleceu”. Por ser um worm mais moderno, o Storm construiu uma verdadeira "botnet" - ou seja, ele usava o seu computador infectado para realizar ações programadas pelo worm, como ataques a determinados sites, os computadores infectados comunicavam-se entre si para melhorar as formas de ataque.
O storm worm se instala através de um rootkit de difícil detecção, e utiliza a conexão á internet do hospedeiro para gerar novos spams e se multiplicar na internet.
Ao se instalar na máquina hospedeira, a praga permanece em hibernação e não possui uma função pré-determinada, fica aguardando um comando para então executar a função que for designada, o que dá ao Storm worm características de uma botnet (rede zumbi- quando são infectados se tornam vulneráveis ao controle remoto da pessoa por trás do vírus).
Como se proteger?
A medida de proteção mais simples e eficaz é o cuidado que se deve ter ao navegar pela Internet e ler emails. Normalmente estas pragas são enviadas através de algum contato que seja conhecido e de sua confiança e que possivelmente foi infectado. Worms normalmente são fáceis de serem detectados e removidos, mas proteção nunca é demais.
Trojan 
HEUR: O Backdoor.Java.Agent.a - é uma infecção perigosa, que exibe diferentes.
comportamentos maliciosos, destinados a danificar um sistema de computador de um usuário da Internet, a fim de realizar tarefas, inclusive roubo de dados. 
Existem vários canais de distribuição usados ​​por hackers para colocar a infecção dentro do núcleo do seu PC a partir de anúncios, mensagens de spam, software livre, jogos grátis, etc., e outros que ainda não são conhecidos.O parasita é encontrado e digital reside nos sistemas Windows de usuários que não utilizam um antivírus para proteger seu sistema ou não aderem a algumas medidas de segurança. Isto não é como uma erva simples ou um arquivo que pode ser removido com apenas uma remoção simples ou o uso de um anti-vírus. Uma criação de hackers cibernéticos, HEUR: O Backdoor.Java.Agent.a inclui propriedades que lhe permitem usar rootkits para escapar de um antivírus e, na maioria dos casos, também desativa processos antivírus para Assim, é sempre benéfico usar um programa anti-spyware atualizado para tal forma prejudicial de bandidos para entrar no sistema.
Isso éo que a HEUR pode fazer: Backdoor.Java.Agent.a. Como se infiltra facilmente dentro dele, ele rasteja para dentro da memória e desabilita muitos processos para trabalhar por si só e por seu processo. Ele também adiciona arquivos e na maioria das vezes corrompe a estrutura do arquivo e leva à perda de dados e corrompe e bloqueia o acesso do usuário. Um dos maiores problemas que surge quando ele começa a dificultar os valores do registro. Devido a isso, os aplicativos começam a cair e o sistema funciona muito lentamente, às vezes até travando. Além disso, também faz muitas alterações nas configurações do navegador, sites e registros de redirecionamentos de teclas para obter suas informações pessoais e financeiras.
Asprox.N.- Utilizando um email enviado em nome do Facebook, ele informa que a conta do usuário está sendo utilizada para enviar SPAM.
Em seguida, afirma que sua senha foi modificada, por questões de segurança, e pede que o usuário acesse o arquivo em anexo para saber mais detalhes. Assim que o documento do Word é aberto, o trojan faz com que o computador envie SPAM utilizando as conexões disponíveis. Ele pega todo o histórico de navegação, Podendo atrapalhar o desempenho do sistema e levar ao desligamento abrupto do computador. Trojan.Asprox Está geralmente presente no local escondido no disco rígido do sistema. Pode bloquear o computador e exige dinheiro para recuperar o problema. Ele muda a página inicial padrão e redireciona buscas inteiras para os sites maliciosos.
É uma infecção altamente crítica que tem como alvo sistema baseado no Windows e infectá-lo de várias maneiras e de alguma forma mais comum pela qual entra facilmente no PC estão listados abaixo: -
Usando TCP / IP: - Essa ameaça desagradável extremamente perigoso e seu nível de gravidade é muito alto, por isso, pode ser lançado remotamente e infiltrado alvo PC com Windows usando o protocolo TCP / IP. Depois de ser instalado no computador, especialmente modifica "Winsock" e arquivos inetadpt.dll que são muito essenciais para o sistema operacional Windows.
Ao desativar Firewall: - Trojan.Asprox tem a capacidade de desabilitar as configurações do firewall para ser instalado no PC baseado em Windows. Depois de penetrar o sistema também bloquear antivírus pré-instalado a partir de seu trabalho.
Via download de Freeware - Esta é também uma das razões mais comuns pelas quais ele entra no computador. Porque este malware foi infectado pelos cibercriminosos para o freewares, portanto, ser instalado junto com a instalação de software livre ou jogos. Além de que também tem como alvo a plataforma Windows por outros meios, como clicar em links infectados, visitando o site inseguro ou usando anexos de e-mail de spam.
Tinba - É um daqueles trojans que podem causar um estrago enorme, seja financeiro ou psicológico. Isso porque ele consegue tanto roubar as suas senhas quanto se auto atualizar para não ser apagado pelo antivírus ou antimalware — minando todas as tentativas de retirá-lo do sistema.
Para entrar no PC da possível vítima, o Tinba usa a publicidade no Adf.ly servindo como disfarce para links maliciosos dentro do kit HanJuan EK — encurtadores de link também são utilizados. Esse kit exploit aproveita uma vulnerabilidade existente no Flash Player e no Internet Explorer para entrar de vez no computador.
Assim que o Tinba entra no PC e ataca a máquina do usuário, ele executa um código binário chamado Fobber, que se autoatualiza. Isso significa que é muito mais difícil para os softwares e soluções de segurança detectarem o trojan e lhe ajudarem na remoção.
Os alvos principais do Tinba são as credenciais de usuário e informações sensíveis, que vão desde as senhas de redes sociais até as de contas de e-mail. Ele também tem a capacidade de agir como um intermediário e interceptar todas as comunicações do computador.
Como se proteger?
Para a remoção dos Trojan, existe uma ferramenta para remoção automática mais também existe a remoção manual que consiste basicamente em Reiniciar o Windows e iniciar em modo de segurança (Para obter o modo de segurança, reinicie o sistema Windows e pressione continuamente o botão F8 para obter as opções avançadas de inicialização. Selecione a opção "Modo de rede segura com" lá.), desinstalar todos os programas que são desconhecidos ou desconfiados de você. 
Procure por todos os arquivos de acordo com o Trojan que foi contaminado e as entradas nas unidades do Windows e exclua-as também.
Por último, acesse Executar e digite "regedit" nesse país. Isso abrirá o Editor do Registro, apagará todos os valores e entradas de vírus, mas tenha cuidado se você é novato procure um profissional para executar essas etapas, pois um único erro pode levar a problemas insubstituíveis. E não se esqueça de ter um antivírus pago e não baixar coisas suspeitas, tomar cuidado com mensagens de spam, jogos grátis, etc.