Assim como se diz que “a arte imita a vida”, o mundo digital – em grande parte – também o faz. Basta olhar atentamente para a forma como golpes e fraudes digitais ocorrem para perceber que eles nada mais são do que as enganações da vida digitalizadas. Não obstante, além de pandemias de vírus genéticos, tem-se que lidar com infecções cibernéticas e aprender como se defender dessas ameaças digitais que podem causar tanta dor de cabeça quanto as naturais.
Em primeiro lugar, é interessante entender de onde vieram os malwares. Originados em pesquisas acadêmicas e em experiências de entusiastas, esses códigos buscavam entender e explorar as formas de alterar o comportamento dos computadores. Fora do mundo acadêmico, os primeiros vírus conhecidos – em grande parte – buscavam nada mais que chamar atenção, incomodar o usuário e tirar sarro da situação – como foram os casos dos famosos “ping-pong” e “cascade”. Em suma, era a busca pelo “estado da arte”, pelo vírus que seria capaz de ganhar mais espaço e ser o mais marcante.
Posteriormente, o número de interessados em códigos maliciosos cresceu, assim como os motivos envolvidos em seu uso, passando de mera “arte” a interesses ilícitos. Começaram, então, a manipular arquivos e programas, visando desestabilizar sistemas. Porém, até este momento, os danos limitavam-se às máquinas infectadas. O salto para a nova era dos códigos maliciosos se deu com a capacidade adquirida de se obter o controle remoto dos dispositivos e manipular os dados das pessoas. Dessa forma, os perigos e as possibilidades se tornaram infinitas, ganhando escala global, sem se limitar mais a um computador ou uma rede infectada. Assim como um dispositivo pode ser controlado do outro lado do mundo, os dados também podem ser enviados para lá.
Por fim, resta saber que, assim como a tecnologia continuará evoluindo, os códigos maliciosos também o farão. Contudo, nem tudo está perdido: a indústria e os governos têm percebido a importância da cyber segurança e investido cada vez mais no desenvolvimento de mecanismos de proteção (como antivírus de nova geração, IDS e IPS) e legislação cibernética (como a GDPR e a LGPD). Dessa forma, resta a velha máxima de que prevenir é melhor que remediar, o que, no caso, significa que é preciso buscar conhecer quais são os códigos maliciosos mais comuns e como investir na devida proteção.
Principais códigos maliciosos
Vírus
O que é: um código que insere cópias de si mesmo dentro do código de outros programas ou arquivos. O programa infectado continua, em geral, funcionando como o usuário espera, porém passa a executar também – em segundo plano – as atividades contidas no código embutido pelo vírus.
Como funciona: um vírus não entra em operação sozinho, mesmo que se baixe um arquivo infectado, pois fica encubado aguardando a execução do arquivo para ser ativado. É preciso que o usuário execute explicitamente o arquivo para que ele entre em execução. Ao entrar em execução, o vírus busca programas e arquivos com vulnerabilidades específicas para inserir cópias de seu código neles e continuar se propagando. Após a infecção, o vírus pode permanecer escondido esperando um comando remoto do atacante, aguardando uma data para ativação, ou pode executar atividades pré-programadas. As atividades maliciosas executadas podem ser variadas e em geral envolvem manipulação e roubo de dados.
Worm
O que é: diferentemente do vírus, este é um programa completo. Seu objetivo é consumir recursos de rede e computacionais se propagando pelas redes de computadores e infectando máquinas através de vulnerabilidades dos sistemas. Ao infectar uma nova máquina, o worm cria cópias de si e tentar enviá-las novamente pela rede.
Como funciona: primariamente, sua infecção ocorre pela execução indevida do arquivo malicioso. Ao entrar em ação, o programa busca novos alvos com o uso de técnicas como scans de rede ou aplicações. Após a identificação dos alvos, são realizadas cópias de si mesmo e iniciadas as tentativas de envio por meio das vulnerabilidades existente. As cópias enviadas pelo worm podem ser ativadas pela exploração de vulnerabilidades contidas em sistemas nas máquinas de destino ou pela abertura indevida pelo usuário. O worm não se insere em outros arquivos ou programas, mas utiliza as vulnerabilidades existentes para se propagar, ele é o próprio arquivo replicado e enviado.
Bot
O que é: um malware que permite o controle remoto de um dispositivo a partir de comandos enviados via rede. Em geral, a infecção por um bot não visa apenas o roubo de dados da máquina, mas também transformá-la em um “robo” ou “zumbi” que será utilizado pelo atacante para realizar ataques. Quanto maior o número de máquinas infectadas, maior será a botnet (rede ou exército de zumbis) construída e maior será o poder de ataque do invasor.
Como funciona: de forma semelhante ao worm, o bot é um programa completo que entra em atividade ao ser executado erroneamente pela vítima ou através de alguma vulnerabilidade de um sistema instalado na máquina após outro computador da rede ser infectado. Ao entrar em ação, ele busca enviar cópias de si pela rede pela realização de scans e buscas de conexões e vulnerabilidades existentes em outras máquinas. As ações mais comuns realizadas por bots são envio de spams, ataques de DDOS (Distributed Denial of Service) e camuflagem da identidade do atacante, repassando os ataques desejados.
Spyware
O que é: um programa que tem por finalidade espionar as atividades do usuário e coletar dados sobre o equipamento, o usuário, os programas usados e as atividades realizadas para enviá-los a terceiros. Pode ser instalado no computador ou estar contido em outros programas, por exemplo no navegador web.
Como funciona (mais comuns): Keylogger – captura tudo o que é digitado no teclado do usuário, salva e então envia para o atacante. Screenlogger – é uma evolução do Keylogger criada para superar o uso de teclados virtuais ou autenticações em que o usuário clica na senha em vez de digitá-la, capturando a tela do usuário no momento em que o mouse ou o teclado são utilizados. Adware – programas ou extensões, geralmente web, que monitoram a atividade do usuário para apresentar propagandas e tentar direcionar/induzir as escolhas da vítima.
Backdoor
O que é: um programa ou mecanismo incluído após ataque ou infecção para garantir que o invasor possa voltar a se conectar com a máquina de forma fácil e direta.
Como funciona: pode ser incluído sozinho por programas ou arquivos infectados, porém é mais comum que seja instalado por um atacante manualmente ou por outro malware que previamente infecte o computador.
Cavalo de Troia
O que é: um programa “impostor”, com todas as características e funcionalidades do programa legítimo, porém executa também ações maliciosas. Os trojans, como também são conhecidos, não entram em atividade sozinhos (em regra) e necessitam que a vítima os execute de forma equivocada (ou que um atacante os instale). Ao serem executados, provêm ao usuário todas as atividades para as quais foram projetados e das quais o usuário necessita, mas em segundo plano executam ações como ações adicionais como baixar outros códigos maliciosos da internet, instalar backdoors, alterar arquivos, redirecionar a navegação do usuário, entre outros. O que os torna tão perigosos é que podem ser utilizados em quase todos os tipos de arquivos ou programas.
Rootkit
O que é: um conjunto de programas e mecanismos que permitem a permanência de um invasor ou malware em uma máquina. Seu foco não é invadir um equipamento ou replicar a invasão, mas manter o controle da máquina em sigilo.
Como funciona: em geral, possui mais de uma “parte” com funções que podem ser apagar logs do sistema para esconder a presença da invasão, instalar outros códigos maliciosos (como backdoors), alterar a configuração do sistema e o conteúdo de arquivos para manipular o funcionamento do equipamento, etc.
Como se proteger de códigos maliciosos
Primordialmente, use um antivírus de qualidade – inclusive nos celulares – e o mantenha sempre atualizado. Não utilize programas pirata e de origem duvidosa. Desative o download automático de arquivos em navegadores e a execução automática de mídias removíveis nos computadores. Desative a execução automática de macros em aplicativos de escritório. Verifique sempre se quem enviou o arquivo queria mesmo enviá-lo e se você esperava receber tal arquivo. Mantenha todos os programas sempre atualizados. Utilize, se possível, firewall ou IPS para evitar conexões indevidas de malwares através da rede. Se tiver dúvidas, não abra o arquivo ou clique nos links indicados. Realize scans periódicos com o antivírus no computador.
Rafael G. C. Vianna – Analista de Sistemas – CRA-PR