A Aldeia Numaboa ancestral ainda está disponível para visitação. É a versão mais antiga da Aldeia que eu não quis simplesmente descartar depois de mais de 10 milhões de pageviews. Como diz a Sirley, nossa cozinheira e filósofa de plantão: "Misericórdia, ai que dó!"

Se você tiver curiosidade, o endereço é numaboa.net.br.

Leia mais...

Segurança

Processos, Trojans e Vírus

Seg

13

Nov

2006


12:15

(16 votos, média 4.75 de 5) 


Iniciantes

Se o seu sistema operacional é o Windows, então vale a pena dar uma lida neste artigo.

O Windows, assim como outros sistemas operacionais, depende de uma porção de serviços para funcionar. Cada um destes serviços é um programa que roda silenciosamente na retaguarda, ou seja, apesar do sistema usá-los o tempo todo, o usuário não percebe que estão rodando - a não ser que fique curioso e resolva dar uma conferida. Cada vez que um programa é chamado (seja pelo usuário, seja pelo sistema) iniciam-se uma ou mais linhas de execução (threads). Cada um destes threads, associados ao respectivo programa, é conhecido como processo.

Conferindo Processos

Para conferir quais processos estão "no ar" digite CTRL+ALT+DEL para abrir a janela do Gerenciador de Tarefas e clique na aba Processos para obter a lista dos processos ativos. Alguns se referem a programas que estão sendo executados no momento, outros são programas que foram ativados quando a máquina foi ligada (por exemplo, programas anti-vírus) e outros ainda são do sistema operacional. Pelos nomes nem sempre é fácil saber quem é quem, principalmente quando são do sistema operacional. Você saberia dizer para o que serve o svchost.exe ou o services.exe? Pois é, a grande maioria dos usuários de computadores não tem a menor idéia e é justamente disto que os hackers aproveitam.

Enxertando código malicioso (vírus, trojans, etc) sem alterar as funções básicas de programas, os hackers conseguem criar verdadeiros monstrinhos (que costumo chamar de sacanaware :blush: ). Como os programas do sistema rodam silenciosos, os usuários não percebem o estrago que podem estar causando no "mocó" e só resta acreditar nos programas anti-vírus (se estiverem atualizados!). Será que é esta a triste sina dos usuários comuns? Não necessariamente. Para aqueles que querem fuçar um pouco mais, aqui vão algumas sugestões. São simples, mas ajudam muito.

Conferindo arquivos

Os arquivos dos programas do sistema, os mais visados pelos hackers, possuem algumas características. Se alguma delas estiver fora de esquadro, é bom ficar esperto. As características mais comuns são:

  • atencao Localização: os programas do sistema geralmente ficam em arquivos localizados na pasta /windows/system32. É muito suspeito se algum deles estiver sendo executado a partir de outra pasta.
  • atencao Data e Hora: todos os arquivos do sistema costumam ter a mesma data e hora (que dependem da versão do Windows que foi instalada). É muito suspeiro se algum deles tiver uma data/hora diferente, principalmente se a data for mais recente.
  • atencao Tamanho: é lógico que o tamanho do arquivo cresce se algum código foi adicionado. Tamanho maior é mais do que suspeito!

Referências dos arquivos mais comuns

Para que você possa fazer comparações, resolvi fazer um resumo das descrições dos programas/arquivos mais comuns. Na localização, quando o nome da pasta pode ser escolhido pelo usuário, o nome fica entre dois sinais %. Por exemplo, %WINDIR% significa o nome da pasta onde foi instalado o Windows.

O nível de risco é classificado usando os seguintes critérios:

  • Não preocupante Info e PUA (Potentially Unwanted Applications - Aplicativos Potencialmente Indesejados): possuem características de sacanaware sem oferecer risco ao sistema. São os anúncios indesejados ou programas que só são desinstalados parcialmente.
  • Baixo Baixo: Instalação de componentes sem informar o usuário, fornecimento de dados sem grande importância a outros servidores e propaganda em janelas pop-up.
  • Médio Médio: Apresentação de End User License Agreement (EULA) capciosa ou incompleta durante a instalação, apresentação agressiva de propaganda em múltiplas janelas pop-up e pretensa desinstalação.
  • Elevado Elevado: Podem interferir no sistema ou serem capazes de capturar dados de baixo risco, por exemplo, o envio de dados de navegação para terceiros para possibilitar propaganda dirigida. Além disto, falta de apresentação de EULA durante a instalação, apresentação de propaganda não solicitada e sequestro de páginas de procura do navegador.
  • Alto Alto: infecções que se sobrepõem ao controle do sistema pelo usuário ou que ofereçam grandes riscos de segurança: instalação involuntária sem interação ou controle do usuário, sequestro de home pages no navegador, envio de dados importantes a outros servidores, reinstalação automática após uma desisntalação. Exemplos destas infecções incluem keyloggers e discadores.

CTFMON

Nome da Imagem Autor Parte de
ctfmon.exe Microsoft Sistema Operacional Windows
Descrição ctfmon.exe é um processo que pertence à Suite do Microsoft Office. Ele ativa o Alternative User Input Text Input Processor (TIP) e a barra de idiomas do Microsoft Office XP. Este programa não é um processo essencial, mas só deve ser finalizado caso haja suspeita de que esteja causando problemas.
O ctfmon.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais.
Risco Image Sacanaware Trojan de disseminação moderada
Localização O normal é %WINDIR%/SYSTEM32. Como sacanaware está em %WINDIR%\SYSTEM32\DLLCACHE\_003416_.TMP.DLL ou %WINDIR%\SYSTEM32\DLLCACHE\_003497_.TMP.DLL
Comportamento Instala e deleta programas, chama componentes activex, chama componentes dll, cria chaves Run, modifica o arquivo hosts, roda programas temporários e outros programas, se comunica com sites da web usando protocolos httpout, escaneia processos ativos, modifica configurações de procura do navegador, finaliza processos, sequestra processos que estejam rodando, possui comunicações outbound, inspeciona livros de endereços de email, pode logar teclas digitadas, cria entradas no registry, cria chaves de execução para malwares conhecidos, cria malwares conhecidos, cria cópias de si mesmo, sobrevive a reboots, modifica arquivos de sistema vulneráveis.

Explorer

Nome da Imagem Autor Parte de
explorer.exe Microsoft Sistema Operacional Windows
Descrição explorer.exe é o Gerenciador de Programas do Windows (ou Windows Explorer). Ele gerencia a shell gráfica do Windows, incluindo o menu Iniciar, barra de ferramentas, desktop e Gerenciador de Arquivos. Removendo este processo, a interface gráfica do Windows desaparece.
O explorer.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais.
Risco Image Sacanaware Trojan de disseminação moderada
Localização O normal é %WINDIR%
Comportamento Este trojan pertence ao grupo Backdoor Deloder A.

JUSCHED

Nome da Imagem Autor Parte de
jusched.exe Sun Microsystems Agendador de atualizações da Sun Java
Descrição jusched.exe é um processo instalado junto com a suite Java da Sun Microsystem e checa atualizações relacionadas ao uso da Internet. Este programa é importantante na estabilidade e na segurança da navegação pela Internet, como também no uso da Java. Não deve ser finalizado.

LSASS

Nome da Imagem Autor Parte de
lsass.exe Microsoft Sistema Operacional Windows
Descrição lsass.exe é um processo de sistema relacionado a mecanismos de segurança. Ele lida especificamente com a segurança local e com regras de login. Este programa não deve ser finalizado.
O lsass.exe pode estar alterado e funcionando como um downloader. Neste caso, ele está associado a um vírus ou spyware e sua principal atividade é fazer downloads de outros vírus/spyware.
Também pode funcionar como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais.
Risco Image Sacanaware Trojan de disseminação moderada
Localização O normal é %WINDIR%\SYSTEM32. Como sacanaware pode usar mais de 30 combinações de pastas e nomes de arquivo. As mais comuns são %documents%\unzipped\winrar 4.1 pro (com crack)\HIDDEN32.EXE, %TEMP%\HIDDEN32.EXE, %WINDIR%\ETC\HIDDEN32.EXE, %windir%\repair\autospeedtest v1.5\A.EXE, %WINDIR%\SYSTEM32\RUNSVC.EXE, %WINDIR%\SYSTEM32\SETUP\CONFIG\HIDDEN32.EXE, %windir%\system32\spool\printers\stro\HIDDEN32.EXE, %WINDIR%\TEMP\HIDDEN32.EXE, ?:\cboy\winrar 4.1 pro (com crack)\HIDDEN32.EXE, ?:\winnt\msapps\user\lan\dll\HI32.EXE
Comportamento Este trojan do grupo SystemPoser chama componentes dll e roda outros programas.

Services

Nome da Imagem Autor Parte de
services.exe Microsoft Sistema Operacional Windows
Descrição services.exe faz parte do sistema operacional Windows e gerencia a operação de iniciar e finalizar serviços. Este processo também lida com o início automático de serviços durante o boot e com a finalização de serviços durante o desligamento da máquina. Este programa não deve ser finalizado.
O services.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais.
Classificação Image Sacanaware Trojan de disseminação moderada
Localização O normal é %WINDIR%. Como o sacanaware pode usar mais de 300 combinações de pastas e nomes de arquivo. As mais comuns são %CACHE%\CONTENT.IE5\????????\INFORMATION[1].COM, %desktop%\wildcore\top\w32\netsky\b\W3NETSKB.VXE, %programfiles%\escan\mstemp\mai25\MSG_TXT.COM, %programfiles%\incredimai...sage store\attachments\WEBSITE.TXT.PIF, %PROGRAMFILES%\LIMEWIRE\INCOMPLETE\CORRUPT-0-PHOTOSHOP 9 CRACK.EXE, %temp%\_avast4_\unp184053263.tmp\1174.PIF, %temp%\aawtmp\c1318926\2e3f67\FOUND.TXT.SCR, %temp%\暫時目錄 1 用於 disco[1].zip\DISCO.HTM.PIF, %TEMP%\NOTE.TXT.EXE e %temp%\temporary directory 1 for friend.zip\FRIEND.TXT.SCR
Comportamento Este trojan do grupo SystemPoser instala e deleta programas, chama componentes dll, cria chaves Run, roda outros programas, possui capacidade de enviar emails em massa, inspeciona livros de endereço de emails, possui comunicação externa, cria entradas no registry, cria chaves run para sacanawares conhecidos, cria sacanawares conhecidos e faz cópias de si mesmo.

SMSS

Nome da Imagem Autor Parte de
smss.exe Microsoft Sistema Operacional Windows
Descrição smss.exe é um processo que faz parte do sistema operacional. É chamado de Session Manager Subsystem (Subsistema Gerenciador de Sessões) e é responsável pelo gerenciamento de sessões.
O smss.exe pode estar alterado e funcionando como um trojan. Este trojan permite que atacantes acessem sua máquina para roubar senhas, Internet banking e dados pessoais.
Classificação Image Sacanaware Trojan de disseminação moderada
Localização O normal é %WINDIR%\SYSTEM32.
Comportamento Este trojan do grupo Backdoor Delf FT se comunica com sites usando protocolos httpout.

SCVHOST.EXE

Nome da Imagem Autor Parte de
scvhost.exe desconhecido Tranqueira
Descrição svchost.exe é um processo do sistema que gerencia processos executados por DLLs. Este programa é importante no funcionamento estável e seguro do computador. Apesar de não ser essencial, não deve ser finalizado, a não ser que esteja causando problemas. Este é um executável limpo.
O svchost.exe (note a troca das duas letras) é um worm que pode causar muito estrago.
Classificação Image Sacanaware Trojan de disseminação moderada
Localização O normal é %WINDIR%\SYSTEM32. Como sacanaware pode usar 4 ou mais pastas e nomes de arquivo. As mais comuns são %WINDIR%\SYSTEM\SVCHOST.EXE, %WINDIR%\SYSTEM\SYSTEM.EXE e %WINDIR%\SYSTEM\WEBCHECK.EXE
Comportamento Este trojan do grupo Vorofer A chama componentes dll.

TASKMGR

Nome da Imagem Autor Parte de
taskmgr.exe Microsoft Sistema Operacional Windows
Descrição taskmgr.exe é o executável para o Gerenciador de Tarefas do Windows. Ele mostra os processos ativos no sistema. Este aplicativo é aberto com as teclas CTRL+ALT+DEL. Este programa não é um processo essencial, mas só deve ser finalizado caso haja suspeita de que esteja causando problemas.
O taskmgr.exe pode estar alterado e funcionando como um downloader. Neste caso, ele está associado a um vírus ou spyware e sua principal atividade é fazer downloads de outros vírus/spyware.
Classificação Image Sacanaware Downloader de disseminação muito baixa
Localização O normal é %WINDIR%\SYSTEM32. Como sacanaware pode usar mais de 300 combinações de pastas e nomes de arquivo. As mais comuns são %WINDIR%\SYSTEM32\DLLCACHE\_002549_.TMP.DLL, %WINDIR%\SYSTEM32\DLLCACHE\_002592_.TMP.DLL, %WINDIR%\SYSTEM32\T.COM e %WINDIR%\SYSTEM32\TASKMGR.COM
Comportamento Instala e deleta programas, chama componentes dll, registra objetos de ajuda do navegador, cria chaves Run e Run Once, modifica o arquivo hosts, roda programas temporários e outros programas, se comunica com sites da web usando protocolos httpout, escaneia processos ativos, altera mapeamentos de execução de arquivos, finaliza processos, sequestra processos que estejam rodando, possui comunicações outbound, inspeciona livros de endereços de email, pode logar teclas digitadas, cria entradas no registry, cria chaves de execução para malwares conhecidos, cria malwares conhecidos, cria cópias de si mesmo, modifica arquivos de sistema vulneráveis.

WinLogon

Nome da Imagem Autor Parte de
winlogon.exe Microsoft Sistema Operacional Windows
Descrição winlogon.exe é um processo que pertence ao gerenciador de login do Windows. Não deve ser finalizado.
O winlogon.exe pode estar alterado e funcionando como um discador e downloader.
Classificação Image RUIM Sacanaware Discador/Downloader de disseminação muito baixa
Localização O normal é %WINDIR%
Comportamento WinLogon é um discador para download de material pornográfico que torna as conexões com a Internet muito lentas e tem o potencial de fazer ligações internacionais. Também é um hijacker (sequestrador) que redireciona a homepage e as páginas de procura do seu navegador. É uma ameaça antiga (foi criado antes de 2004) e aparentemente não está mais infectando máquinas.

Onde procurar mais informações

Вадим Логофет семьям видео сковородкиwobsсамый лучшийтруба ппу оц купить7 каналmmgp mfxbroker

Informações adicionais