sábado, 30 de junho de 2012

Diferença entre Worms, Vírus e Cavalo-de-Troia

As principais vulnerabilidade para estações de trabalho de usuário final são worms, vírus e ataques de cavalo-de-Troia.

Um worm executa código e instala cópias na memória do computador infectado, o que pode, por sua vez, infectar outros hosts.

Vírus é um software malicioso anexado a outro programa com a finalidade de executar uma determinada função indesejável em uma estação de trabalho.

Um cavalo-de-Troia é diferente de um worm ou vírus apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque.

Worms
A anatomia de um ataque de worm é a seguinte:
  • A vulnerabilidade de habilitação – um worm se instala, explorando vulnerabilidades conhecidas em sistemas, como usuários finais ingênuos que abrem anexos de executáveis não verificados em emails.
  • Mecanismo de propagação – depois de obter acesso a um host, um worm se copia para esse host e, em seguida, escolhe novos destinos.
  • Payload – depois que um host é infectado por um worm, o atacante tem acesso ao host, normalmente como um usuário privilegiado. Os atacantes poderiam utilizar uma exploração local para escalonar seu nível de privilégio até administrador.
Normalmente, worms são programas autossuficientes que atacam um sistema e tentam explorar uma vulnerabilidade específica no destino. Assim que houver a exploração bem-sucedida da vulnerabilidade, o worm copia seu programa do host de ataque para o sistema recém-explorado para começar tudo novamente. Em janeiro de 2007, um worm infectou a conhecida comunidade MySpace. Usuários confiáveis habilitaram a propagação do worm, que começou a se replicar nos sites dos usuários com a desfiguração "w0rm.EricAndrew".

A atenuação de ataques de worm exige diligência por parte da equipe administradora do sistema e de rede. A coordenação entre as equipes de administração do sistema, de engenharia da rede e das operações de segurança é essencial na resposta efetiva a um incidente de worm. Estas são as etapas recomendadas para a atenuação de ataques de worm:
  • Contenção – contenha a difusão do worm na rede e dentro dela. Isole as partes não infectadas da rede.
  • Inoculação – comece aplicando patches a todos os sistemas e, se possível, verificando se há sistemas vulneráveis.
  • Quarentena – monitore todas as máquina infectadas dentro da rede. Desconecte, remova ou bloqueie máquinas infectadas na rede.
  • Tratamento – Limpe e aplique um patch a todos os sistemas infectados. Alguns worms podem exigir reinstalações completas para limpar o sistema.
Vírus e cavalos-de-Troia
Vírus é um software malicioso anexado a outro programa para executar uma determinada função indesejável em uma estação de trabalho. Um exemplo é um programa anexado ao command.com (o interpretador principal de sistemas Windows) e exclui determinados arquivos, além de infectar todas as outras versões de command.com que conseguir localizar.

Um cavalo-de-Troia é diferente apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque. Um exemplo de um cavalo-de-Troia é um aplicativo que executa um simples jogo em uma estação de trabalho. Enquanto o usuário está ocupado com o jogo, o cavalo-de-Troia envia uma cópia para todos os endereços na agenda de endereços do usuário. Os outros usuários recebem o jogo e o executam, o que difunde o cavalo-de-Troia para os endereços em todas as agendas de endereços.

Um vírus normalmente exige um mecanismo de entrega – um vetor – como um arquivo zip ou algum outro arquivo executável anexado a um email, para transportar o código do vírus de um sistema para outro. O principal elemento que distingue um worm de um vírus de computador é essa interação humana necessária à facilitação da difusão de um vírus.

Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de software antivírus no nível do usuário e, possivelmente, no nível da rede. Um software antivírus pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia, além de impedir sua difusão na rede. Manter-se atualizado em relação aos desenvolvimento mais recentes quanto a esses tipos de ataques também pode levar a uma postura mais efetiva relacionada a esses ataques. Na medida em que novos vírus ou aplicativos de cavalo-de-Troia são liberados, as empresas precisam se manter atualizadas quanto às versões mais atuais do software antivírus.

Sub7, ou subseven, é um cavalo-de-Troia comum que instala um programa backdoor em sistemas de usuários. Ele é conhecido tanto por ataques não estruturados quanto estruturados. Por ser uma ameaça não estruturada, atacantes inexperientes podem utilizar o programa de forma que os cursores do mouse desapareçam. Como uma ameaça estruturada, os crackers podem utilizá-lo para instalar keystroke loggers (programas que registram todas as teclas pressionadas pelo usuário) para capturar informações confidenciais.


Fonte: Texto retirado do material Cisco NetAcademy Exploration 4.0 na parte de Introdução à Segurança de Rede.

4 comentários: