A Aldeia Numaboa ancestral ainda está disponível para visitação. É a versão mais antiga da Aldeia que eu não quis simplesmente descartar depois de mais de 10 milhões de pageviews. Como diz a Sirley, nossa cozinheira e filósofa de plantão: "Misericórdia, ai que dó!"

Se você tiver curiosidade, o endereço é numaboa.net.br.

Leia mais...

Segurança

Processos, Trojans e Vírus

Seg

13

Nov

2006


12:15

(16 votos, média 4.75 de 5) 


Iniciantes

Se o seu sistema operacional é o Windows, então vale a pena dar uma lida neste artigo.

O Windows, assim como outros sistemas operacionais, depende de uma porção de serviços para funcionar. Cada um destes serviços é um programa que roda silenciosamente na retaguarda, ou seja, apesar do sistema usá-los o tempo todo, o usuário não percebe que estão rodando - a não ser que fique curioso e resolva dar uma conferida. Cada vez que um programa é chamado (seja pelo usuário, seja pelo sistema) iniciam-se uma ou mais linhas de execução (threads). Cada um destes threads, associados ao respectivo programa, é conhecido como processo.

Conferindo Processos

Para conferir quais processos estão "no ar" digite CTRL+ALT+DEL para abrir a janela do Gerenciador de Tarefas e clique na aba Processos para obter a lista dos processos ativos. Alguns se referem a programas que estão sendo executados no momento, outros são programas que foram ativados quando a máquina foi ligada (por exemplo, programas anti-vírus) e outros ainda são do sistema operacional. Pelos nomes nem sempre é fácil saber quem é quem, principalmente quando são do sistema operacional. Você saberia dizer para o que serve o svchost.exe ou o services.exe? Pois é, a grande maioria dos usuários de computadores não tem a menor idéia e é justamente disto que os hackers aproveitam.

Enxertando código malicioso (vírus, trojans, etc) sem alterar as funções básicas de programas, os hackers conseguem criar verdadeiros monstrinhos (que costumo chamar de sacanaware :blush: ). Como os programas do sistema rodam silenciosos, os usuários não percebem o estrago que podem estar causando no "mocó" e só resta acreditar nos programas anti-vírus (se estiverem atualizados!). Será que é esta a triste sina dos usuários comuns? Não necessariamente. Para aqueles que querem fuçar um pouco mais, aqui vão algumas sugestões. São simples, mas ajudam muito.

Conferindo arquivos

Os arquivos dos programas do sistema, os mais visados pelos hackers, possuem algumas características. Se alguma delas estiver fora de esquadro, é bom ficar esperto. As características mais comuns são:

  • atencao Localização: os programas do sistema geralmente ficam em arquivos localizados na pasta /windows/system32. É muito suspeito se algum deles estiver sendo executado a partir de outra pasta.
  • atencao Data e Hora: todos os arquivos do sistema costumam ter a mesma data e hora (que dependem da versão do Windows que foi instalada). É muito suspeiro se algum deles tiver uma data/hora diferente, principalmente se a data for mais recente.
  • atencao Tamanho: é lógico que o tamanho do arquivo cresce se algum código foi adicionado. Tamanho maior é mais do que suspeito!

Referências dos arquivos mais comuns

Para que você possa fazer comparações, resolvi fazer um resumo das descrições dos programas/arquivos mais comuns. Na localização, quando o nome da pasta pode ser escolhido pelo usuário, o nome fica entre dois sinais %. Por exemplo, %WINDIR% significa o nome da pasta onde foi instalado o Windows.

O nível de risco é classificado usando os seguintes critérios:

  • Não preocupante Info e PUA (Potentially Unwanted Applications - Aplicativos Potencialmente Indesejados): possuem características de sacanaware sem oferecer risco ao sistema. São os anúncios indesejados ou programas que só são desinstalados parcialmente.
  • Baixo Baixo: Instalação de componentes sem informar o usuário, fornecimento de dados sem grande importância a outros servidores e propaganda em janelas pop-up.
  • Médio Médio: Apresentação de End User License Agreement (EULA) capciosa ou incompleta durante a instalação, apresentação agressiva de propaganda em múltiplas janelas pop-up e pretensa desinstalação.
  • Elevado Elevado: Podem interferir no sistema ou serem capazes de capturar dados de baixo risco, por exemplo, o envio de dados de navegação para terceiros para possibilitar propaganda dirigida. Além disto, falta de apresentação de EULA durante a instalação, apresentação de propaganda não solicitada e sequestro de páginas de procura do navegador.
  • Alto Alto: infecções que se sobrepõem ao controle do sistema pelo usuário ou que ofereçam grandes riscos de segurança: instalação involuntária sem interação ou controle do usuário, sequestro de home pages no navegador, envio de dados importantes a outros servidores, reinstalação automática após uma desisntalação. Exemplos destas infecções incluem keyloggers e discadores.

CTFMON

Nome da Imagem Autor Parte de
ctfmon.exe Microsoft Sistema Operacional Windows
Descrição ctfmon.exe é um processo que pertence à Suite do Microsoft Office. Ele ativa o Alternative User Input Text Input Processor (TIP) e a barra de idiomas do Microsoft Office XP. Este programa não é um processo essencial, mas só deve ser finalizado caso haja suspeita de que esteja causando problemas.
O ctfmon.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais.
Risco Image Sacanaware Trojan de disseminação moderada
Localização O normal é %WINDIR%/SYSTEM32. Como sacanaware está em %WINDIR%\SYSTEM32\DLLCACHE\_003416_.TMP.DLL ou %WINDIR%\SYSTEM32\DLLCACHE\_003497_.TMP.DLL
Comportamento Instala e deleta programas, chama componentes activex, chama componentes dll, cria chaves Run, modifica o arquivo hosts, roda programas temporários e outros programas, se comunica com sites da web usando protocolos httpout, escaneia processos ativos, modifica configurações de procura do navegador, finaliza processos, sequestra processos que estejam rodando, possui comunicações outbound, inspeciona livros de endereços de email, pode logar teclas digitadas, cria entradas no registry, cria chaves de execução para malwares conhecidos, cria malwares conhecidos, cria cópias de si mesmo, sobrevive a reboots, modifica arquivos de sistema vulneráveis.

Informações adicionais