Segurança
Processos, Trojans e Vírus
|
Seg 13 Nov 2006 12:15 |
- Detalhes
- Categoria: Windows, o queijo suíço
- Atualização: Segunda, 23 Março 2009 22:28
- Autor: vovó Vicki
- Acessos: 11585
Se o seu sistema operacional é o Windows, então vale a pena dar uma lida neste artigo.
O Windows, assim como outros sistemas operacionais, depende de uma porção de serviços para funcionar. Cada um destes serviços é um programa que roda silenciosamente na retaguarda, ou seja, apesar do sistema usá-los o tempo todo, o usuário não percebe que estão rodando - a não ser que fique curioso e resolva dar uma conferida. Cada vez que um programa é chamado (seja pelo usuário, seja pelo sistema) iniciam-se uma ou mais linhas de execução (threads). Cada um destes threads, associados ao respectivo programa, é conhecido como processo.
Conferindo Processos
Para conferir quais processos estão "no ar" digite CTRL+ALT+DEL para abrir a janela do Gerenciador de Tarefas e clique na aba Processos para obter a lista dos processos ativos. Alguns se referem a programas que estão sendo executados no momento, outros são programas que foram ativados quando a máquina foi ligada (por exemplo, programas anti-vírus) e outros ainda são do sistema operacional. Pelos nomes nem sempre é fácil saber quem é quem, principalmente quando são do sistema operacional. Você saberia dizer para o que serve o svchost.exe ou o services.exe? Pois é, a grande maioria dos usuários de computadores não tem a menor idéia e é justamente disto que os hackers aproveitam.
Enxertando código malicioso (vírus, trojans, etc) sem alterar as funções básicas de programas, os hackers conseguem criar verdadeiros monstrinhos (que costumo chamar de sacanaware :blush: ). Como os programas do sistema rodam silenciosos, os usuários não percebem o estrago que podem estar causando no "mocó" e só resta acreditar nos programas anti-vírus (se estiverem atualizados!). Será que é esta a triste sina dos usuários comuns? Não necessariamente. Para aqueles que querem fuçar um pouco mais, aqui vão algumas sugestões. São simples, mas ajudam muito.
Conferindo arquivos
Os arquivos dos programas do sistema, os mais visados pelos hackers, possuem algumas características. Se alguma delas estiver fora de esquadro, é bom ficar esperto. As características mais comuns são:
Localização: os programas do sistema geralmente ficam em arquivos localizados na pasta /windows/system32. É muito suspeito se algum deles estiver sendo executado a partir de outra pasta.- Data e Hora: todos os arquivos do sistema costumam ter a mesma data e hora (que dependem da versão do Windows que foi instalada). É muito suspeiro se algum deles tiver uma data/hora diferente, principalmente se a data for mais recente.
- Tamanho: é lógico que o tamanho do arquivo cresce se algum código foi adicionado. Tamanho maior é mais do que suspeito!
Referências dos arquivos mais comuns
Para que você possa fazer comparações, resolvi fazer um resumo das descrições dos programas/arquivos mais comuns. Na localização, quando o nome da pasta pode ser escolhido pelo usuário, o nome fica entre dois sinais %. Por exemplo, %WINDIR% significa o nome da pasta onde foi instalado o Windows.
O nível de risco é classificado usando os seguintes critérios:
Info e PUA (Potentially Unwanted Applications - Aplicativos Potencialmente Indesejados): possuem características de sacanaware sem oferecer risco ao sistema. São os anúncios indesejados ou programas que só são desinstalados parcialmente.- Baixo: Instalação de componentes sem informar o usuário, fornecimento de dados sem grande importância a outros servidores e propaganda em janelas pop-up.
Médio: Apresentação de End User License Agreement (EULA) capciosa ou incompleta durante a instalação, apresentação agressiva de propaganda em múltiplas janelas pop-up e pretensa desinstalação.
Elevado: Podem interferir no sistema ou serem capazes de capturar dados de baixo risco, por exemplo, o envio de dados de navegação para terceiros para possibilitar propaganda dirigida. Além disto, falta de apresentação de EULA durante a instalação, apresentação de propaganda não solicitada e sequestro de páginas de procura do navegador.
Alto: infecções que se sobrepõem ao controle do sistema pelo usuário ou que ofereçam grandes riscos de segurança: instalação involuntária sem interação ou controle do usuário, sequestro de home pages no navegador, envio de dados importantes a outros servidores, reinstalação automática após uma desisntalação. Exemplos destas infecções incluem keyloggers e discadores.
CTFMON
| Nome da Imagem | Autor | Parte de | |
| ctfmon.exe | Microsoft | Sistema Operacional Windows | |
| Descrição |
ctfmon.exe é um processo que pertence à Suite do Microsoft Office. Ele ativa o Alternative User Input Text Input Processor (TIP) e a barra de idiomas do Microsoft Office XP. Este programa não é um processo essencial, mas só deve ser finalizado caso haja suspeita de que esteja causando problemas. O ctfmon.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais. |
||
| Risco |  |
Sacanaware | Trojan de disseminação moderada | Localização | O normal é %WINDIR%/SYSTEM32. Como sacanaware está em %WINDIR%\SYSTEM32\DLLCACHE\_003416_.TMP.DLL ou %WINDIR%\SYSTEM32\DLLCACHE\_003497_.TMP.DLL |
| Comportamento | Instala e deleta programas, chama componentes activex, chama componentes dll, cria chaves Run, modifica o arquivo hosts, roda programas temporários e outros programas, se comunica com sites da web usando protocolos httpout, escaneia processos ativos, modifica configurações de procura do navegador, finaliza processos, sequestra processos que estejam rodando, possui comunicações outbound, inspeciona livros de endereços de email, pode logar teclas digitadas, cria entradas no registry, cria chaves de execução para malwares conhecidos, cria malwares conhecidos, cria cópias de si mesmo, sobrevive a reboots, modifica arquivos de sistema vulneráveis. | ||
Explorer
| Nome da Imagem | Autor | Parte de | |
| explorer.exe | Microsoft | Sistema Operacional Windows | |
| Descrição |
explorer.exe é o Gerenciador de Programas do Windows (ou Windows Explorer). Ele gerencia a shell gráfica do Windows, incluindo o menu Iniciar, barra de ferramentas, desktop e Gerenciador de Arquivos. Removendo este processo, a interface gráfica do Windows desaparece. O explorer.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais. |
||
| Risco | |
Sacanaware | Trojan de disseminação moderada | Localização | O normal é %WINDIR% |
| Comportamento | Este trojan pertence ao grupo Backdoor Deloder A. | ||
JUSCHED
| Nome da Imagem | Autor | Parte de | |
| jusched.exe | Sun Microsystems | Agendador de atualizações da Sun Java | |
| Descrição | jusched.exe é um processo instalado junto com a suite Java da Sun Microsystem e checa atualizações relacionadas ao uso da Internet. Este programa é importantante na estabilidade e na segurança da navegação pela Internet, como também no uso da Java. Não deve ser finalizado. | ||
LSASS
| Nome da Imagem | Autor | Parte de | |
| lsass.exe | Microsoft | Sistema Operacional Windows | |
| Descrição |
lsass.exe é um processo de sistema relacionado a mecanismos de segurança. Ele lida especificamente com a segurança local e com regras de login. Este programa não deve ser finalizado. O lsass.exe pode estar alterado e funcionando como um downloader. Neste caso, ele está associado a um vírus ou spyware e sua principal atividade é fazer downloads de outros vírus/spyware. Também pode funcionar como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais. |
||
| Risco | |
Sacanaware | Trojan de disseminação moderada | Localização | O normal é %WINDIR%\SYSTEM32. Como sacanaware pode usar mais de 30 combinações de pastas e nomes de arquivo. As mais comuns são %documents%\unzipped\winrar 4.1 pro (com crack)\HIDDEN32.EXE, %TEMP%\HIDDEN32.EXE, %WINDIR%\ETC\HIDDEN32.EXE, %windir%\repair\autospeedtest v1.5\A.EXE, %WINDIR%\SYSTEM32\RUNSVC.EXE, %WINDIR%\SYSTEM32\SETUP\CONFIG\HIDDEN32.EXE, %windir%\system32\spool\printers\stro\HIDDEN32.EXE, %WINDIR%\TEMP\HIDDEN32.EXE, ?:\cboy\winrar 4.1 pro (com crack)\HIDDEN32.EXE, ?:\winnt\msapps\user\lan\dll\HI32.EXE |
| Comportamento | Este trojan do grupo SystemPoser chama componentes dll e roda outros programas. | ||
Services
| Nome da Imagem | Autor | Parte de | |
| services.exe | Microsoft | Sistema Operacional Windows | |
| Descrição |
services.exe faz parte do sistema operacional Windows e gerencia a operação de iniciar e finalizar serviços. Este processo também lida com o início automático de serviços durante o boot e com a finalização de serviços durante o desligamento da máquina. Este programa não deve ser finalizado. O services.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais. |
||
| Classificação | |
Sacanaware | Trojan de disseminação moderada | Localização | O normal é %WINDIR%. Como o sacanaware pode usar mais de 300 combinações de pastas e nomes de arquivo. As mais comuns são %CACHE%\CONTENT.IE5\????????\INFORMATION[1].COM, %desktop%\wildcore\top\w32\netsky\b\W3NETSKB.VXE, %programfiles%\escan\mstemp\mai25\MSG_TXT.COM, %programfiles%\incredimai...sage store\attachments\WEBSITE.TXT.PIF, %PROGRAMFILES%\LIMEWIRE\INCOMPLETE\CORRUPT-0-PHOTOSHOP 9 CRACK.EXE, %temp%\_avast4_\unp184053263.tmp\1174.PIF, %temp%\aawtmp\c1318926\2e3f67\FOUND.TXT.SCR, %temp%\暫時目錄 1 用於 disco[1].zip\DISCO.HTM.PIF, %TEMP%\NOTE.TXT.EXE e %temp%\temporary directory 1 for friend.zip\FRIEND.TXT.SCR |
| Comportamento | Este trojan do grupo SystemPoser instala e deleta programas, chama componentes dll, cria chaves Run, roda outros programas, possui capacidade de enviar emails em massa, inspeciona livros de endereço de emails, possui comunicação externa, cria entradas no registry, cria chaves run para sacanawares conhecidos, cria sacanawares conhecidos e faz cópias de si mesmo. | ||
SMSS
| Nome da Imagem | Autor | Parte de | |
| smss.exe | Microsoft | Sistema Operacional Windows | |
| Descrição |
smss.exe é um processo que faz parte do sistema operacional. É chamado de Session Manager Subsystem (Subsistema Gerenciador de Sessões) e é responsável pelo gerenciamento de sessões. O smss.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais. |
||
| Classificação | |
Sacanaware | Trojan de disseminação moderada | Localização | O normal é %WINDIR%\SYSTEM32. |
| Comportamento | Este trojan do grupo Backdoor Delf FT se comunica com sites usando protocolos httpout. | ||
SCVHOST.EXE
| Nome da Imagem | Autor | Parte de | |
| scvhost.exe | desconhecido | Tranqueira | |
| Descrição |
svchost.exe é um processo do sistema que gerencia processos executados por DLLs. Este programa é importante no funcionamento estável e seguro do computador. Apesar de não ser essencial, não deve ser finalizado, a não ser que esteja causando problemas. Este é um executável limpo. O svchost.exe (note a troca das duas letras) é um worm que pode causar muito estrago. |
||
| Classificação |  |
Sacanaware | Trojan de disseminação moderada | Localização | O normal é %WINDIR%\SYSTEM32. Como sacanaware pode usar 4 ou mais pastas e nomes de arquivo. As mais comuns são %WINDIR%\SYSTEM\SVCHOST.EXE, %WINDIR%\SYSTEM\SYSTEM.EXE e %WINDIR%\SYSTEM\WEBCHECK.EXE |
| Comportamento | Este trojan do grupo Vorofer A chama componentes dll. | ||
TASKMGR
| Nome da Imagem | Autor | Parte de | |
| taskmgr.exe | Microsoft | Sistema Operacional Windows | |
| Descrição |
taskmgr.exe é o executável para o Gerenciador de Tarefas do Windows. Ele mostra os processos ativos no sistema. Este aplicativo é aberto com as teclas CTRL+ALT+DEL. Este programa não é um processo essencial, mas só deve ser finalizado caso haja suspeita de que esteja causando problemas. O taskmgr.exe pode estar alterado e funcionando como um downloader. Neste caso, ele está associado a um vírus ou spyware e sua principal atividade é fazer downloads de outros vírus/spyware. |
||
| Classificação | |
Sacanaware | Downloader de disseminação muito baixa | Localização | O normal é %WINDIR%\SYSTEM32. Como sacanaware pode usar mais de 300 combinações de pastas e nomes de arquivo. As mais comuns são %WINDIR%\SYSTEM32\DLLCACHE\_002549_.TMP.DLL, %WINDIR%\SYSTEM32\DLLCACHE\_002592_.TMP.DLL, %WINDIR%\SYSTEM32\T.COM e %WINDIR%\SYSTEM32\TASKMGR.COM |
| Comportamento | Instala e deleta programas, chama componentes dll, registra objetos de ajuda do navegador, cria chaves Run e Run Once, modifica o arquivo hosts, roda programas temporários e outros programas, se comunica com sites da web usando protocolos httpout, escaneia processos ativos, altera mapeamentos de execução de arquivos, finaliza processos, sequestra processos que estejam rodando, possui comunicações outbound, inspeciona livros de endereços de email, pode logar teclas digitadas, cria entradas no registry, cria chaves de execução para malwares conhecidos, cria malwares conhecidos, cria cópias de si mesmo, modifica arquivos de sistema vulneráveis. | ||
WinLogon
| Nome da Imagem | Autor | Parte de | |
| winlogon.exe | Microsoft | Sistema Operacional Windows | |
| Descrição |
winlogon.exe é um processo que pertence ao gerenciador de login do Windows. Não deve ser finalizado. O winlogon.exe pode estar alterado e funcionando como um discador e downloader. |
||
| Classificação |  RUIM |
Sacanaware | Discador/Downloader de disseminação muito baixa | Localização | O normal é %WINDIR% |
| Comportamento | WinLogon é um discador para download de material pornográfico que torna as conexões com a Internet muito lentas e tem o potencial de fazer ligações internacionais. Também é um hijacker (sequestrador) que redireciona a homepage e as páginas de procura do seu navegador. É uma ameaça antiga (foi criado antes de 2004) e aparentemente não está mais infectando máquinas. | ||
Onde procurar mais informações
- Como se trata do Windows, nada como uma visita ao site da Microsoft.
- Biblioteca de processos no site da Uniblue.
- Site da PREVX.