Mais de 20 anos de Historia dos Vírus e Anti-Vírus -Parte I

a

Este post é sobre a história dos Vírus e Anti-Vírus publicada pela Kaspersky Lab, uma vez que é um artigo muito extenso vou repartir em 2 ou 3 posts.

Já passaram mais de 20 anos desde que os primeiros Vírus apareceram. À medida que a tecnologia evoluiu aparecendo computadores cada vez mais avançados, também o Malware ( Trojans, Rootkits, Spam, Spyware, etc…) acompanhou essa evolução sendo cada vez mais complexos.

A Internet criou novas maneiras de se ser infectado com Malware e que este se espalhasse cada vez mais depressa, tornando-se numa verdadeira praga.

Os primeiros Vírus: Boot sector vírus

O primeiro Vírus que apareceu era um Boot sector Vírus, tinha o nome de Brain e apareceu no ano de 1986.

Este tipo de Vírus era propagado através de disquetes, caso o utilizador tivesse como boot primário do sistema a disquete, ao ligar o computador com a disquete inserida iria carregar o Vírus para a memória. Depois de ser infectado, sempre que o computador era ligado e antes de ser carregado o sistema operativo, era carregado o Vírus.

Dos Files vírus

Até 1995 apesar dos Boot sector Vírus representarem a maioria das infecções encontradas ( 70% ) existiam também outros tipos de Vírus, os Dos Files vírus. Estes eram Vírus para Dos, que infectavam os ficheiros executáveis deste sistema operativo.

Estes Vírus modificavam os ficheiros de modo a que quando o ficheiro fosse executado, o Vírus também era executado automaticamente.

“The virus landscape” dos anos 80

Nos anos 80 o principal problema era os Vírus, já existiam Worms mas como a Internet era quase só usada exclusivamente por governos e instituições de educação, a era dos Worms ainda não tinha chegado.

Já existia também um pequeno número de Trojans mas como ao contrario dos Vírus estes não eram capazes de se espalharem sozinhos, os autores tinham de arranjar maneira de os espalharem “manualmente”.

Camuflagem e polimorfismo

Durante este período também existiu o desenvolvimento de técnicas de camuflagem para os Vírus, de modo a que estes se espalhassem o máximo de tempo possível sem serem detectados. Estas técnicas incluíam a supressão de mensagens de erros, ou alteração de informações de modo a que não fosse visível que o ficheiro tinha mudado de tamanho.

Outra técnica utilizada para os Vírus não serem detectados é o polimorfismo. A ideia desta técnica, era de um Vírus ser capaz de se mudar a si mesmo, deste modo o Vírus em cada infecção seria diferente, tornando a sua detecção muito difícil. Foi em 1991com o aparecimento do Vírus Tequila que apareceu o primeiro Vírus com polimorfismo.

Com o tempo estas duas técnicas foram ficando cada vez mas sofisticadas, estando muito desenvolvidas nos dias de hoje.

Primeiras soluções de Anti-Vírus

Como no princípio o número de Vírus aumentava muito lentamente, os primeiros Anti-Vírus eram utilitários que apenas eram criados para remover um certo Vírus individualmente.

Então com o aumento dos Vírus em 1989, começaram a aparecer os primeiros Anti-Vírus “toolkits”. Basicamente estes Anti-Vírus, eram programas que faziam scan ao computador, procurando por todos os Vírus já conhecidos até essa altura, alguns tinham a capacidade de remover esse Vírus e outro a capacidade de fazer checksummer de modo a verificar se o ficheiro tinha sido alterado.

As actualizações demoravam vários meses a sair e eram distribuídas em disquetes.

Aumento das ameaças e Desenvolvimento dos métodos de detecção

No fim de 1990, o número de Vírus era aproximadamente 300. Com o número de ameaças a aumentar, os criadores de Anti-Vírus começaram a implementar protecção em tempo real e a criar métodos pró-activos, ou seja, uma maneira de detectar programas maliciosos antes de eles atacarem. A protecção em tempo real monitorizava o sistema de modo a detectar Vírus conhecidos, enquanto que os métodos pró-activos foram desenvolvidos criando uma lista de actividades suspeitas que os Vírus efectuam, e caso algum ficheiro tivesse esse comportamento da lista seria identificado como um possível Vírus.

Podem continuar a ler a parte 2

Panda ActiveScan Online

a

Vou aproveitar o artigo de hoje para lhe falar detalhadamente do Panda ActiveScan Online

, uma solução de defesa não preventiva desenvolvida pela Panda Security. Este antivírus online permite a realização de um scan completo ao seu computador sem que tenha de instalar qualquer programa nele usufruindo da alta capacidade de processamento dos servidores da Panda e da maior rapidez com que obtêm as actualizações da Panda.

A versão gratuita deste scanner online da Panda Online apenas permite a remoção de Vírus, Worms e Cavalos de Tróia (Trojans) embora tenha a capacidade de detectar os seguintes tipos de Malware:

• Spyware
• Dialers
• Detecta Riscos de Segurança no Sistema
• Detecta Ferramentas de Hacking
• Detecta Jokes

Apesar de não eliminar estes últimos tipos Malwares que acabei de referir, esta solução da Panda Online pode ser usada como uma segunda verificação ao vosso programa principal que elimina estes Malwares, só para confirmar que foi tudo eliminado.

Quero deixar duas notas importantes sobre o Panda ActiveScan Online:

1. É necessário utilizar o Internet Explorer para realizar o scan, uma vez que usa ActiveX.
2. Aconselho a desligar/desactivar o vosso Anti-Vírus, pois durante a instalação do ActiveX do scan da Panda, é possível que acuse Vírus mas não se preocupem que não é Vírus, podem ler a explicação aqui.

Aceda ao site da Panda Online e clique em “Analisar o Computador” para dar inicio à detecção de malware no seu computador. Após isto apenas terá de fornecer alguma informação como País, Região e um endereço de email.

Ao clicarem em “pesquise agora” vai ser então instalado o ActiveX, a própria pagina da panda tem instruções de como instalar o ActiveX e é bastante simples, é só clicar na barra que vai aparecer no cimo da janela e carregar em “instalar ActiveX“

Pode ser necessário clicar varias vezes em install/run ActiveX, não sei ao certo quantas vezes, mas é irem clicando até que a barra no topo da janela deixe de aparecer. Quando tiver tudo pronto a correr aparece a seguinte pagina onde podem escolher a que pastas querem fazer o scan (esta pagina ao inicio aparece ainda com a barra no cimo da janela, logo é preciso continuar a instalar/correr o ActiveX até a barra desaparecer ).

E pronto está tudo pronto para fazer o scan (Nota: a instalação do ActiveX só acontece na primeira vez que correm o scan, das próximas vezes já não é necessário) é só escolherem ao que querem fazer o scan e ele começa.

Por fim é vos apresentado um relatório do scan em que indica o tipo de Malware que encontrou . É dado também a possibilidade de fazer download do relatório para o vosso computador.

Ao longo das varias paginas podem ver no canto superior direito um link vermelho que diz “1-clique em ActiveScan”, se clicarem nele podem escolher ter um atalho no vosso computador que inicia logo o Panda ActiveScan Online sem ser necessário entrar no site do Panda Online.

Como podem ver, foi encontrado Spyware e Vírus no meu computador, mais especificamente 36 Spyware e 1 Vírus. Este computador foi formatado à uma semana ,tem um Anti-Vírus, uma Firewall, e tenho cuidado com os sites que visito e tinha esta quantidade de Spyware, imaginem meses de utilização a quantidade que podem ter.

Esta ferramenta da Panda Online é muita boa como segunda ferramenta, mas para poderem remover os spywares e outros aconselho a utilização de um anti-spyware muito bom , o noadware.

Computadores Portugueses dos mais infectados e Aumento de Malware

a

Este post é sobre duas noticias e como são sobre assuntos semelhantes, resolvi escrever tudo em um post.

A primeira noticia é sobre um relatório divulgado hoje pela Symantec em que Portugal ocupa o décimo lugar do “ranking” de computadores que foram infectados por Malware na região Europa, Médio Oriente e África em 2007.

Também em 2007, de todas as actividades maliciosas na Internet a nível mundial, Portugal conseguiu um 25º lugar de entre 231 países.

Podem ler a noticia mais completa no Publico online ou então no Webtuga que foi onde vi a referencia a esta noticia.

A segunda noticia é sobre o aumento de Malware .

Segundo os analistas da Kaspersky o numero de Malware em 2006 era de 535,131 e em 2007 teve um grande crescimento tendo atingido mais ou menos o valor de 2,227,415. Como podem ver é um aumento de quatro vezes mais em relação ao Malware de 2006, tendo o volume de Malware detectado em 2007 sido de 354 GB.

Segundo também estes analistas, a qualidade e complexidade do Malware tem vindo a aumentar, dando como exemplo as BOTNET´s(Storm worm, kraken).

Se a maioria das pessoas seguíssem o meu blog, o numero de computadores infectados seria menos e teríamos ficado num lugar melhor. Não é assim tão difícil seguir algumas “regras” básicas de segurança na Internet e ter uma Firewall, um Anti-vírus e um Anti-Spyware a correr para livrar destes bichos chatos.

Ficam então aqui para os menos atentos as dicas que escrevi sobre segurança e o post sobre sintomas de estarm infectados com malware:

• Dicas segurança
• Estou infectado com Malware?

BOTNET Kraken – O monstro da internet

a

Kraken segundo as lendas era um monstro marinho, algo como uma lula/polvo gigante e que ameaçava os navios…mas neste caso falo mesmo do nome de uma BOTNET e não de um mostro marinho(mas se pensarmos bem no assunto, uma BOTNET acaba por ser um “monstro” da Internet e o nome para esta botnet assenta que nem uma luva)que tem vindo a crescer e muito nos últimos tempos.

Para quem não sabe o que é uma BOTNET, esse assunto já foi falado aqui no blog e podem ler sobre isso aqui.

A kraken BOTNET conseguiu ultrapassar o numero de maquinas infectadas da Storm BOTNET que é das mais conhecidas mundialmente. O numero de maquinas estimado para kraken é de mais de 400 mil.

Imaginem só o poder computacional que esta BOTNET tem. E segundo a companhia de segurança Damballa que tem observado o comportamento desta BOTNET, foi identificado o envio de mais de 500 mil mensagens de spam por apenas uma única maquina, imaginem agora a capacidade desta BOTNET se cada maquina infectada(conhecidas por “zombie”) enviar mais de 500 mil mensagens de spam, é só fazer as contas!

Como posso ser infectado?

O kraken propaga-se através de um ficheiro executável disfarçado de imagem(como o JPEG ou PNG) e com a extensão escondida para que o utilizador não veja que é um executável. Após o utilizador abrir o ficheiro, ele copia-se a sim próprio para o disco, reinicia e apaga o ficheiro original.

Anti-vírus não detecta e elimina o kraken?

Infelizmente a resposta é: nem sempre. Apenas 20% dos computadores com Anti-vírus consegue detectar o kraken uma vez que este tem a capacidade de modificar o seu código.

Nunca é de mais lembrar para terem cuidado a abrir ficheiros, se tiverem cuidado com o que abrem é difícil virem a ser infectados.

Estou infectado com Malware?

a

Quais podem ser os sintomas que indicam que estou infectado com algum tipo de Malware?

Seguem então algumas dicas que foram feitas a pensar nos utilizadores do windows, que podem indicar que tenham o computador infectado:

-Quando entram no windows, ou no browser abrem-se alguns pop-ups ou então mesmo centenas de pop-ups.

-No browser a home page que abre não foi definida por vocês e não conseguem definir outra.

-No browser quando escrevem um endereço na barra de endereços, abrem outros sites diferente dos que escreveram.

-Aparecem toolbars do nada e sem estarem á espera do seu aparecimento.

-Aparecem mensagens de erro aleatórias e sem nada a haver com algum programa que estejam a correr.

-Têm problemas de performance no computador, muita lentidão a executar programas ou a gravar ficheiros.

-Aparecem novos icons inesperados no system tray.

Se têm algum destes sintomas que descrevi, é provável que estejam infectados com algum tipo de Malware, por isso o melhores que têm a fazer é correr um Anti-Vírus e Anti-Spyware para descobrirem se estão mesmo infectados e remover essas infecções.Têm mais sugestões de sintomas? Deixem comentário!

BOTNET- A rede zombie

a

Uma BOTNET é um grupo de computadores “zombies” que são controlados remotamente. Estes foram de alguma maneira infectados por Trojan ou por Vírus e estão num estado de “hibernação” até que quem os controle dê alguma ordem.

O objectivo de uma BOTNET é provocar um ataque em larga a escala, imaginem milhões de computadores ao mesmo tempo a atacar um único sistema. Imaginem que existe um sistema para onde vocês comuniquem em caso de emergência, existe um ataque de BOTNET contra esse sistema, apesar de ele estar muito bem protegido, o numero de computadores a atacar é tão grande que vocês deixam de conseguir comunicar com o sistema. Este ataque tem o nome de DDos -Distributed Denial of Service.

De momento existe um BOTNET muito conhecido chamada de Storm Worm BotNet e da qual irei falar outro dia.

Para se protegerem de o vosso computador vir a virar “zombie”, devem seguir as dicas que já dei aqui no blog e servem para o Malware em geral. Podem ler a primeira parte aqui e a segunda parte aqui .

Definição de worms e Trojan Horse

a

Definição de Worms

Não, não estou a falar daquele jogo chamado worms em que somos uma minhoca com um grande arsenal bélico. Falo sim de um código de computador considerado Malware e que é semelhante a um Vírus.

Não existe muito para falar sobre a definição de Worms uma vez que é semelhante ao Vírus, mas existe uma diferença muito importante que tornam estes bichinhos tão destruidores. É que enquanto um Vírus para se espalhar de computador em computador precisava da nossa ajuda, ou seja, de qualquer maneira nós transportarmos o ficheiro com Vírus para outro computador, os Worms não precisam da nossa ajuda, eles possuem capacidades de se enviarem sozinhos através da rede e infectarem outros computadores.

Existem dois exemplos que para quem já utiliza a Internet à algum tempo deve conhecer bem, o Blaster e o Sasser que fazia o computador desligar-se após alguns minutos.

Trojan horse

Em português, Trojan Horse significa cavalo de Tróia

. Penso que vocês conhecem a historia do cavalo de Tróia, se não conhecem podem ler aqui.

O porquê de ter o nome de Trojan Horse (cavalo de Tróia) é devido a este comportar-se como o cavalo de Tróia da historia que vos falei. O Trojan Horse pode ter o aspecto de um programa útil ou mesmo de um jogo, mas que por trás do programa executa um código malicioso, que pode ser por exemplo permitir que alguém aceda a todos os conteúdos do teu computador sem tu saberes.

Portanto podes estar todo contente a jogar um Pacman enquanto o jogo por trás esta a correr programas maliciosos.