[Mr.Wolf]

Visando compartilhar assuntos relacionados à segurança, criei este tópico. A principal finalidade dele é discutir e responder questões muito encontradas hoje em dia. Às vezes por falta de uma resposta concreta, digamos assim, muitos não sabem o que é verdade e o que é mentira em algumas ocasiões, principalmente na área da informática que é uma área profundamente complexa.

Bem, trabalho com a parte de TI em uma empresa aqui em Boston nos Estados Unidos à mais de seis anos. Sou professor universitário de informática especializado em Segurança da Informação, possuo doutorado na área. Ministro aulas práticas e teóricas para alunos de graduação tecnológica, baseado nos conhecimentos acima.

Acho que a segurança da informação é um detalhe essencial na vida de um internauta. E por isso achei interessante criar um FAQ deste tipo aqui no fórum. Mas vejam bem, a intenção não é apenas passar meu conhecimento ou querer parecer ser o único entendido do assunto, mas sim discutirmos sobre este assunto pois é muito importante.

Sintam-se à vontade para perguntarem, responderem, discutirem, acrescentarem, palpitarem, discordarem, enfim... de algo.


Perguntas e questões frequentes.


O que um vírus ou malware pode fazer se infectar meu sistema?

São diversos os problemas que você pode enfrentar quando está infectado. Dependendo do vírus, ele pode fazer praticamente tudo de ruim com seu computador, até mesmo impedí-lo de iniciar. Abaixo listei alguns dos principais problemas enfrentados com uma máquina infectada:

● Exclusão de arquivos legítmos;
● Gerar erros em programas e arquivos;
● Diminuir o espaço do HD;
● Gerar blue screen (tela azul) constantemente;
● Substituir a MBR (Master Boot Record) do disco rígido por códigos maliciosos;
● Criar partições fantasmas;
● Duplicar ou substituir os arquivos;
● Impedí-lo de abrir o antivirus ou qualquer outro programa de segurança instalado na máquina;
● Impedí-lo de reiniciar em Modo de Segurança;
● Impedí-lo de acessar o disco rígido ou algum diretório;
● Impedí-lo de aceder à Internet;
● Impedí-lo de ativar as opções de ver pastas e arquivos ocultos;
● Impedí-lo de aceder aos consoles do Windows como: Gpedit.msc, services.msc;
● Impedí-lo de abrir o gerenciador de tarefas e o editor de registro (regedit);
● Impedí-lo de desligar o computador;
● Impedí-lo de instalar/desinstalar/baixar/rodar programas;
● Impedir o computador de iniciar;
● Criar/recriar malwares ou vírus em cada reboot da máquina;
● Baixar malwares ou vírus;
● Infectar arquivos legítmos e documentos importantes (em geral);
● Interromper um scan com o antivirus ou outro programa de segurança;
● Desativar a restauração do sistema;
● Causar lentidão no sistema e demora para iniciar;
● Modificar a data e hora do sistema;
● Aumentar o consumo de memória dos arquivos;
● Roubar e enviar seus dados pessoais como: Senhas e documentos importantes;
● Gerar barulhos, ruídos e outras coisas do tipo;
● Exibir imagens de anúncios e de erros aleatoriamente;
● Aumentar o tamanho dos arquivos e das pastas;
● Contaminar a rede;
● Abrir ou fechar portas cruciais e importantes do sistema;
● Causar problemas nas comunicações dos dispositivos de hardware, tais como algumas teclas do teclado não funcionarem e/ou sairem diferentes, com a impressora, com o modem, com o mouse, etc;
● Fazer o computador dar logoff/reiniciar/desligar sozinho;
● Entre outros problemas.

Lembrando também que muitos vírus, depois de terem sido removidos, deixam o sistema completamente instável. Sendo necessário uma reparação ou até mesmo uma formatação para que a instabilidade suma de vez.



Posso usar dois antivirus?

Na verdade, poder pode. Mas de forma alguma é recomendado. Ter dois, três, quatro, cinco, seis... antivirus instalados no computador não é sinônimo de mais segurança, ou seja, ter "dezenas" de antivirus instalados no PC não o deixará mais seguro. Isso apenas causará uma signficativa perda de desempenho na máquina, além de gerar diversos conflitos, reduzindo também a fiabilidade e a eficácia dos programas. Pois os antivirus tentarão acessar um arquivo ao mesmo tempo e isso irá gerar em um bloqueio do próprio sistema, causando os famosos travamentos.

Definitivamente, não é recomendado por nenhum especialista e perito em segurança possuir dois antivirus em um computador. Mesmo deixando um com proteção real-time e o outro como on-demand.


Isso vale também para anti-spywares, firewalls, anti-rootkits...?

Esta regra cabe apenas à antivirus e firewalls (que também não é recomendado instalar mais de um).

Para anti-spywares, anti-rootkits, anti-malwares esta regra não precisa ser aplicada. Você pode ter quantos anti-spywares quiser no PC. Mas, de fato, isso também acarretará em uma perda de desempenho, caso tenha dezenas de softwares deste tipo instalado.
Outros dois detalhes importantes é não manter todos os anti-spywares que estiverem instalados no arranque no computador, isso com certeza irá provocar uma demora para iniciar o sistema e poderá gerar erros. Também não deixe mais de um anti-spyware com proteção residente ligada.



A quarentena dos programas de segurança realmente funciona e é seguro?

Sim.

De um modo geral, é bem seguro e funcional mover um arquivo encontrado pelo programa de proteção para a quarentena. Muitos não ligam para isso e logo excluem um arquivo encontrado pelo programa, sem ao menos ver o nome do arquivo e saber do que se trata, e isso é um erro que pode ser irreparável.

A quarentena existe principalmente porque às vezes um programa de segurança detecta falso-positivo (uma detecção errônea), classificando acidentalmente um arquivo legítmo do sistema como vírus. Se o usuário remove o arquivo, e o mesmo é crucial ao sistema, a máquina se tornará inoperante.

Assim sendo, a forma mais recomendada é enviar o item para a quarentena, claro, se você não souber distinguir se é ou não um vírus. O programa irá manter o arquivo na quarentena, em uma pasta isolada, até que o banco de dados do produto seja atualizado, podendo assim corrigir o falso alerta, ou remover a infecção caso seja uma. Tenha em mente que isso pode levar semanas. Embora seja um procedimento que muitos consideram desagradável e insatisfatório, é a forma mais segura.



Com um antivirus apenas estou bem protegido?

Teoricamente, apenas o antivirus consegue proteger bem o computador pelo fato de possuir um banco de dados extenso, com vários tipos de vacinas para diversas infecções. Mas na prática, infelizmente, isso dificilmente ocorre. Anti-spyware é um software essencial, hoje em dia. Pois ambos possuem a mesma finalidade -- proteger seu computador. Mas ambos possuem maneiras de fazer isso completamente distintas. Um anti-spyware consegue detectar um malware que muitos antivirus não conseguem, e vice-versa... isso é fato! Coisa que ocorre também entre antivirus, um pode detectar malwares que o outro não consegue.

Resumindo, somente um antivirus NÃO consegue deixar seu computador devidamente protegido.



Um firewall de terceiros, ou seja, alternativo ao do Windows, é realmente necessário?

Bem, um firewall pessoal é uma das mais poderosas e eficientes medidas de proteção que você pode utilizar para proteger o seu PC. Ele permite que o usuário possa controlar exatamente que tipo de acesso o seu computador vai aceitar, protegendo-o contra worms como o Blaster e o Sasser, e também dos novos como Conficker (também conhecido como Kido). Como todos sabem, o Windows XP SP2 e o Windows Vista vêm com o firewall do Windows ligado por default, e isto, na minha opinião, é o principal motivo pelo qual nós não temos nenhuma infecção massiva na Internet desde 2004.

Mas é aí que está: O firewall do Windows não monitora conexões e informações de saída, apenas de entrada.

Sim, é verdade. Mas pergunto: Qual é o valor de se ter um firewall controlando a comunicação que sai de um computador?

O controle da comunicação de saída não impede que o seu computador seja infectado, e não oferece nenhuma proteção contra worms nem contra uma pessoa tentando acessar indevidamente o seu computador. Isto é um ponto pacífico. No entanto muitos fornecedores de firewall pessoal argumentam que o controle de saída pode impedir que informação pessoal do seu computador seja enviada para um fora, e que o seu computador seja utilizado como "trampolim" para infectar outros PCs.

Este argumento tem valor na teoria, mas acho que não se confirma na prática. Para entender isso, é preciso saber que quando um malware toma conta do seu computador, ele pode fazer qualquer coisa. É relativamente trivial para este malware ultrapassar qualquer defesa que você tenha colocado, inclusive o firewall pessoal. Por exemplo, o Trojan.Srizbi, que é um trojan que roda totalmente em modo kernel, e que por isso envia dados do usuário para um sistema remoto ultrapassando qualquer defesa que esteja configurada no sistema -- inclusive firewalls pessoais. Não existe como bloquear um componente malicioso do kernel de enviar dados pela rede.

Achar que um firewall pessoal vai impedir uma máquina infectada de se comunicar já é um conceito falso. Mas existe ainda um outro aspecto pior - estes firewalls ainda assumem que o usuário vai poder diferenciar o tráfego de saída legítimo de um tráfego malicioso, o que também não é verdade. Por exemplo, um trojan pode muito bem utilizar a API WinInet (leia-se: Internet Explorer) para enviar informações do usuário para fora. O firewall vai enxergar o IE fazendo uma conexão externa, e das duas uma: Ou vai permitir já sem qualquer questionamento, ou vai perguntar para o usuário se o IE pode falar com a Internet. E alguém aposta que o usuário não vai autorizar essa conexão? Existe no entanto um cenário onde o controle das conexões de saída é valioso, não como um recurso de segurança mas como um recurso de política corporativa. Por exemplo, uma empresa decide que nenhum dos seus PCs vai iniciar conexões para fora da sua rede sem passar pelo proxy, ou um banco configura os seus ATMs somente para falar com um conjunto específico de servidores. Se o usuário do computador não tem privilégios administrativos, um administrador de rede pode forçar uma política obrigando os seus PCs a adotarem a política da organização e seguirem estas regras.

Por estes motivos a Microsoft tomou a decisão de não colocar nenhum filtro de saída no firewall do Windows XP. Sem dúvida vários jornalistas iriam gostar disso, mas para o usuário final não haveria nenhum ganho de segurança. Pelo contrário, ele somente daria uma falsa sensação de segurança. Para um usuário caseiro, ter um firewall filtrando o tráfego de saída continua sendo inútil do ponto de vista de proteção e nada mais do que "teatro de segurança". Quando você ver um fornecedor de firewall usando este argumento, pense nisso.

Resumindo, não considero um firewall de terceiros REALMENTE necessário ou essencial.



Quanto aos downloads, como fazê-los com segurança?

Aqui também se encontra uma outra coisa que passa por desapercebido por muita gente.

Muitos dizem: "O download não é o perigo, apenas a execução do arquivo baixado!"

Grande engano. Existem malwares/vírus que, com o download em andamento, já podem vir a infectar o sistema antes mesmo do download concluir ou de uma determinada execução do arquivo. É o caso do famoso Trojan.Zlob.

Portanto, é recomendado sempre baixar programas pelo site do próprio desenvolvedor. E ainda assim, muito cuidado ao instalar o software (principalmente se for um freeware) pelo fato de que ele pode conter algum "software extra" para instalar, como o adware Ask.com que trata-se de uma toolbar presente em vários softwares conhecidos como: Foxit 3, COMODO Firewall, Zone Alarm, VDownloader, etc.

Por que baixar sempre do site do desenvolvedor? Apenas leia o link abaixo e tire suas conclusões:
http://www.linhadefe...howtopic=100954

O usuário Henrique - RJ baixou o famoso programa p2p Ares hospedado no Baixaki e ganhou um brinde: Arquivo falso contendo vírus!

Uma forma bem simples, para usuários não muito avançados, de descobrir se o programa que irá instalar está ok e obter mais informações de seus componentes, tais como adwares/spywares que possam estar presentes, é utilizando o EULAlyzer. O EULAlyzer fará uma verificação dos acordos de licença do usuário final (EULA) fornecendo-lhe uma lista detalhada de palavras e frases interessantes, podendo descobrir se o software que está prestes a instalar irá exibir anúncios pop-ups, recolherá informações pessoais do usuário, usa identificadores únicos para vigiá-lo, e outras coisas.

Algumas dicas para se fazer um download com segurança:

● Use o bom senso: Tenha cuidado com solicitações para se fazer qualquer download suspeito ou algo urgentemente importante. Estas "ofertas" aparecem muitas vezes com um vistoso anúncio ou janela pop-up. Alguns chegarão como spam, alguns de forma muito inteligente, e muitas vezes com um anexo.

● Nunca baixe um arquivo - incluindo foto e música - se você não tem a real certeza se a fonte é confiável

● Leia a descrição e recomendações sobre o software no site onde irá baixá-lo, seja do desenvolvedor ou não.

● Ao se interessar por algum programa, pesquise sobre o mesmo no Google antes de baixá-lo. Uma sugestão é digitar "nome do programa spyware" (sem aspas) na busca e veja o que encontrará

● Sempre faça um scan com seu antivirus ou com um verificador online (como o VirusTotal) no arquivo antes de executá-lo.



Como fiquei infectado?

Uma das perguntas mais comuns encontradas após uma limpeza de malwares da máquina é exatamente esta: "Como fiquei infectado?"

Há uma variedade de razões para isso. Um dos principais motivos pelos quais as pessoas se infectam é que estão com hábitos de navegação inseguro, ou seja, estão navegando em sites da Internet que trazem riscos para o sistema. A realidade é que a maioria das pessoas que estão infectadas com malwares são aquelas que clicam e acessam qualquer coisa. Não se preocupam com a segurança, saem clicando em determinado link porque é um link que você estava procurando ou é algo que chame a sua atenção. Lembrem-se que a real intenção dos criadores de pragas é focar a atenção do usuário aonde está algo potencialmente perigoso (obviamente, muito bem camuflado em algo "externamente" seguro), fazendo-o de isca.

Outros motivos pelos quais as pessoas possam se infectar são:

● Através de dispositivos removíveis infectados: Pen drive, HD externo, celular, cartão de memória, MP3, MP4, etc;
● Sistema ou programas desatualizados: Atualizar o Windows e ter sempre as últimas versões dos programas instalados no PC é algo que reduz e MUITO você ser vítima de malwares;
● Instalando cracks e keygens;
● Acessando sites pornográficos;
● Abrindo um anexo infectado de um e-mail;
● Etc...



Programas P2P são seguros?

Não.

Apesar de ser um tipo de programa muito usado pela grande maioria dos usuários, o uso de programas compartilhadores é sempre um risco, porque você nunca terá a real certeza se o download que fará é exatamente o arquivo que está querendo. Nem sempre é aquilo que aparece na busca. Importante também é saber que muitos programas p2p também são empacotados com softwares indesejados (spyware/adware). Para descobrir quais são os p2p mais seguros para a utilização, dê uma olhada aqui: http://malwareremoval.com/p2pindex.php

OBS: Faltou apenas o DreaMule que também é seguro, só que como é brasileiro não foi incluído na lista. E sinceramente, o DreaMule, na minha opinião, é o p2p mais seguro da atualidade. Além de possuir um detector de arquivos falsos, possui servidores seguros e já vem com uma pré-configuração bem segura.

Uma dica valiosa para usuários de compartilhadores p2p, é utilizar o PeerGuardian que analisa o tráfego de entrada e saída do PC podendo bloquear algum endereço IP malicioso que esteja em seu banco de dados. O software não consome quase nada de memória e não prejudica seus downloads e uploads pelo compartilhador.



Posso pegar um vírus quando leio meus e-mails?

Apenas ler o e-mail não irá infectar seu computador.

Somente se o e-mail vier com um anexo, e nele conter um vírus e/ou malware e você abrir/executar este arquivo anexado infectado, aí sim, seu PC será infectado.



Formatei meu computador e o vírus não saiu.

De duas uma: Ou você não formatou corretamente seu HD apagando todo o conteúdo do disco. Ou quando fez um backup de seus documentos ou arquivos importantes, salvou o vírus junto. Do contrário, impossível!

O que ocorre na maioria das vezes é exatamente o que foi dito acima, a pessoa faz backups de seus documentos e, despercebidamente, salva o vírus junto com o backup. Geralmente em pen drives ou CD/DVD. E logo após a formatação, insere a mídia no drive e passa tudo novamente para o computador, havendo assim uma reinfecção.



Um vírus ou malware pode danificar alguma parte física (hardware) da máquina?

Não.

Vírus são softwares, portanto, não podem afetar o hardware. O vírus pode corromper os dados do computador, incluindo os drivers que são utilizados para permitir que seus dispositivos de hardware se comuniquem com o computador. Se isto vier a ocorrer, pode impedir que o seu dispositivo fique sem comunicação com o sistema, mas de maneira alguma o afetará fisicamente.

Existiu um vírus, bem antigo, chamado Chernobyl (conhecido também como CIH ou Spacefiller) que apagava o BIOS da placa-mãe. Na época, muitos técnicos e profissionais de informática diagnosticavam o PC e davam a placa-mãe como morta, o que na verdade era um grande equívoco por parte dos mesmos. Mais informações sobre o CIH aqui.



Empresas antivirus criam vírus para aumentar os lucros. Verdade ou mentira?

Este é um argumento que existe na mente de muitos clientes de antivirus. Pois, às vezes, somente determinado antivirus remove determinada praga, e por isso, acham, que o malware foi criado pela empresa apenas para a mesma sair lucrando em cima disso. Mas não é verdade.

1) Criar um vírus, que não é difícil (para quem é familiarizado com computadores e programação), não ajudaria na prevenção ou detecção do mesmo -- que é finalidade de uma empresa antivirus;
2) Uma empresa antivirus não poderia se proteger contra o vírus antes dele ter sido "liberado" sem levantar suspeitas. Portanto, seria infectar o seu próprio produto causando insatisfação dos clientes;
3) O código que torna-se um vírus é analisado, reanalisado e comentado por dezenas de peritos de segurança. Analisando o código eles poderão traçar suas origens que serão voltadas à empresa antivirus;
4) A empresa antivirus seria responsabilizada pelo ato maléfico e ganancioso, de uma certa forma, por ter criado o vírus para lucrar com isso. Com isso, a empresa ficaria mal com os clientes que obviamente perderiam a confiança no mesmo, além do mais, acarretaria em um grande número de ações judiciais contra a empresa.



O que devo fazer se acho/tenho certeza que meu computador está infectado?

Muitas pessoas em um momento de susto, aflição ou desespero (e com razão) tendo seu computador infectado, acabam se precipitando e fazendo algo indevido, e isso pode vir a prejudicar mais ainda a situação do sistema. Pois, dependendo do vírus, quanto mais mexe no computador, mais o vírus o deixará instável.

Algumas medidas são recomendadas se você está com suspeitas, ou tem certeza, de que seu micro esteja infectado.

● De forma alguma utilize o computador para acessar internet banking (contas bancárias online), para fazer alguma compra online ou acessar algo que seja necessário inserir informações pessoais, como: Orkut, MSN, Facebook, MySpace, Skype, conta(s) de e-mail(s), jogos, internet banking, etc;
● Desconecte o computador da Internet e, caso possua, desconecte-o da rede também;
● Por enquanto, não faça backups de seus arquivos, pois podem estar infectados -- dependendo do vírus;
● De preferência, caso esteja possibilitado a fazer, reinicie o computador em Modo de Segurança. Assim o vírus não ficará em atividade poupando-lhe dor de cabeça;
● Atualize e faça imediatamente um scan com seu antivirus, em modo seguro mesmo que é até melhor;
● Procure por ajuda profissional em fóruns para que a resolução de seu problema seja mais segura e rápida.

São medidas simples mas que podem lhe ajudar bastante e, principalmente, proteger seus dados pessoais.



Engenharia Social.

O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.



Quais são os riscos ao se usar o navegador web?

Existem diversos riscos envolvidos na utilização de um browser. Dentre eles, podem-se citar

● Execução de JavaScripts maliciosos;
● Execução de controles ActiveX maliciosos;
● Obtenção e execução de programas perigosos em sites mal intencionados ou falsos;
● Acesso a sites falsos, se fazendo passar por instituições bancárias ou de comércio eletrônico;
● Realizações de transações bancárias ou comerciais via web, sem qualquer mecanismo de segurança.

Nos dois primeiros casos o browser executa os programas automaticamente, ou seja, sem a interferência do usuário.



Arquivos de imagens, vídeos e músicas também podem ser infectados?

Sim. Normalmente.

Os arquivos podem ser infectados em si, e podem ser alterados por um código malicioso. Neste caso há dois métodos:

Infecção direta: Este tipo de infecção ocorre quando o trojan contamina um arquivo de mídia ou imagem legítmo.

Arquivos de vídeo e áudio como: .MP3, .WMA, .WMV, .AVI, .MPEG, são na grande maioria das vezes infectadas pelo Trojan-Downloader.WMA.GetCodec. Este trojan possui diversas variantes, as mais conhecidas são: Trojan.ASF.Hijacker.gen, TROJ_MEDPINCH.A, TSPY_LDPINCH.ASG. Este trojan é muito perigoso porque além de possuir um alto nível de infecção, ele geralmente baixa trojans vundos e backdoors para o computador do usuário. Comumente é pego através de redes p2p e quase sempre resulta em perda total de seus arquivos -- sem chance de recuperação.

Já os arquivos de imagens, são na grande maioria das vezes infectados por worms. O pioneiro, mais conhecido e o comumente encontrado em arquivos de imagens, independente do tipo (se é .Bmp, .Jpg, .Gif), é o W32.Perrun. Porém, é difícil encontrarmos um arquivo de imagem infectado hoje em dia. Ocorre mais com os arquivos de mídia.

Infecção obscura: Neste tipo de infecção é utilizada uma técnica conhecida como Malicious Double Extension.

A artimanha usada pelos criadores neste tipo de técnica é bem simples de entender. O cracker define uma dupla extensão no arquivo que é ocultada da vista do usuário, onde somente se a opção de "Ocultar as extensões dos tipos de arquivos conhecidos" (em Opções de pastas) estiver desmarcada é que o usuário enxergará a segunda extensão maliciosa adicionada no arquivo.

Por exemplo:

Se você baixa um arquivo de música (Música.mp3) para o computador, e este arquivo foi alterado por alguma pessoa mal intencionada que utilizou a técnica de extensão dupla dita acima, a real extensão deste arquivo de mídia não será .MP3, mas sim:

Música.MP3.bat
Música.MP3.exe
Música.MP3.vbs
Música.MP3.reg

E por aí vai...

Ou seja, você foi enganado pensando ser um arquivo de mídia sendo que era um executável malicioso. Esta técnica pode ser utilizada em qualquer tipo de arquivo, seja de imagem, de texto, de música, de vídeo e etc.

O malware mais conhecido utilizado nesta técnica é o famoso worm "I Love You" (também conhecido como "Love Bug" ou "Loveletter"). Informações sobre o mesmo aqui.

No entanto, felizmente, os antivirus detectam estes dois tipos de infecções (técnicas) facilmente. É muito difícil um antivirus não detectar alguma das técnicas.



Como prevenir infecções via mídias removíveis?

Este é o meio mais comum de se pegar vírus atualmente. De 100% dos usuários de hoje, 90% sofrem infecções via dispositivos removíveis, pen drive, HD externo, celular, cartão de memória e etc.

Mas há algumas maneiras bem eficazes de evitar este tipo de infecção.

Desativar o recurso autorun (execução automática): Este é um dos passos mais eficazes para evitar esta infecção. Para desativar este recurso tem vários modos, vou colocar os mais rápidos e eficazes.

A Microsoft lançou uma atualização que serve exatamente para desativar o autorun do Windows. Para baixá-las, acessem o link abaixo de seu respectivo sistema operacional:

Windows 2000: http://www.microsoft...&displaylang=en
Windows XP Service Pack 2 e 3: http://www.microsoft...&displaylang=en
Windows Server 2003: http://www.microsoft...&displaylang=en

Existe também uma ferramenta chamada AutoPlayConfig que desativa o recurso.

Também há meios manuais:

Windows XP: Vá em Iniciar -> Executar, digite gpedit.msc e dê um OK. No diretivas caminhe em Configuração do computador -> Modelos Administrativos -> Sistema.
Ao lado direito do painel, dê um duplo clique no item Desativar AutoExecutar.
Marque a opção Ativado e mais abaixo coloque "Todas as unidades" -> OK.

Windows Seven e Vista: Clique em Start e na caixa de pesquisa digite gpedit.msc para abrir o group policy (diretivas de grupo).
Expanda as chaves Administrative Templates -> Windows Components -> Autoplay Policies. Ao lado direito do painel, dê um duplo clique em "Turn off AutoPlay". Marque a opção Enable e embaixo marque a opção "All drives" -> OK.

Instalar softwares de proteções para mídias removíveis: Existem alguns softwares muito bons que podem ser úteis na prevenção contra esta infecção. Os softwares são o USB Firewall, USB WriteProtector e USBVaccine. O primeiro programa deve ser instalado no próprio computador -- adianto que ele usa pouquíssimo consumo de memória e roda em background. Já o segundo programa é para ser instalado no dispositivo removível -- evitando contaminações no mesmo também. E o terceiro irá vacinar o dispositivo e o computador previnido-os contra infecções futuras.

Mídias de terceiros: Tenha muito cuidado ao inserir uma mídia removível de terceiros em sua máquina, ou seja, de algum amigo, parente, namorada(o), etc. Procure ao máximo evitar conexões de mídias de terceiros em seu PC.

Passar um scan: É altamente recomendado scanear com seu antivirus a mídia antes de abrí-lo(a). O scan pode ser feito com outras ferramentas específicas para isso também tais como: UsbFix, PenClean, Flash_Disinfector, Malwarebytes' Anti-Malware, entre outros.

Windows Explorer: Mesmo que o autorun esteja desativado, é recomendado que ao abrir um dispositivo removível, acesse Meu Computador e ao ver a unidade removível listada junto com as outras, clique com o botão direito do mouse sobre ela, e escolha Explorar. Dessa maneira, caso o pen drive (ou qualquer outro dispositivo) esteja infectado, o autorun.inf presente na unidade não será executado, e consequentemente, o malware não irá infectar seu computador.



Como os vírus podem afetar os arquivos?

Os vírus têm capacidade de contaminar qualquer tipo de arquivo, porém, geralmente infectam arquivos executáveis ou arquivos de dados. Eis abaixo algumas tarefas exercidas pelos vírus ao infectar um arquivo:

Aumentar o tamanho dos arquivos: Ao infectar arquivos, os vírus geralmente irão aumentar o tamanho do arquivo, no entanto, com estas mudanças mais sofisticados os vírus podem ficar escondidos.

Apagar arquivos quando o mesmo é executado: Como a maioria dos arquivos são carregados na memória, uma vez que o programa está na memória o vírus pode apagar o arquivo usado para executar o vírus.

Corromper arquivos aleatoriamente: Alguns vírus destrutivos não são projetados para destruir dados aleatórios, mas sim aleatoriamente apagar ou corromper arquivos.

Converter arquivos: Os vírus podem usar um arquivo separado para executar o programa e renomear o original para um outro de modo que a extensão .exe é executada antes do .COM.

Reinicie ao executar: Inúmeros vírus podem fazer com que o computador reinicie automaticamente quando o arquivo infectado é executado. O arquivo é aleatório.




Barra de pesquisa (ou Motores de Busca) podem nos levar a algum malware?

Sim.

As barras de pesquisas não são fundamentalmente concebidas para encontrar sites confiáveis. Como resultado, muitos sites maliciosos frequentemente aparecem na pesquisa. Felizmente, há algumas medidas que você pode adotar para reduzir tal risco.

Primeiro de tudo: Utilize um respeitável motor de pesquisa. Recentemente, tem havido uma proliferação de buscadores maliciosos, projetados para atrair os usuários para sites perigosos. Certifique-se de usar um motor de busca bem conhecido e seguro, como Google, SiteAdvisor ou Yahoo. Reputados motores de busca fazem filtragens para remover sites maliciosos, apesar de não poderem acompanhar o mundial "exército de bandidos internautas" de hoje em dia.

Existem também vários plug-ins que exibem informações de segurança junto dos resultados de pesquisa, como: McAfee SiteAdvisor, Finjan, AVG Link Scanner e WOT (somente para o Firefox), que são os plug-ins mais conceituados da atualidade.

Porém, acima de tudo: Pense antes de clicar.




Afinal, máquinas virtuais são realmente seguras? Posso executar qualquer tipo de coisa, incluindo vírus e malwares?

Primeiramente, virtualização não traz nenhuma proteção adicional ao software executando à máquina hóspede, ou seja, à máquina host (real). Se uma ferramenta maliciosa pode explorar um sistema real, esta mesma ferramenta pode ser utilizada para explorar uma VM (virtual machine, máquina virtual). Inclusive, já houve casos em que o PC real foi contaminado através de uma VM.
Agora, virtualização pode ser utilizada como uma forma de isolamento, ou seja, separá-la da máquina real. Mas isso não quer dizer que um atacante virtual não possa comprometer este isolamento. Não é trivial, mas, infelizmente, é possível. Porém, é o melhor meio de se testar uma praga virtual.

O que devemos fazer com estas preocupações?

● Tenha sempre a última atualização da VM, mantendo sempre atualizada com os patches lançados pela empresa responsável pelo software;
● Mantenha a VM em um grupo de trabalho diferente do PC real;
● Desative o compartilhamento de arquivos no PC real e na VM;
● Deixe o firewall ativado no PC real e na VM;
● Não forneça informações pessoais e confidenciais na VM;
● Procure deixar a VM configurada como bridge ao invés de NAT que é a padrão. Pois em modo bridge a VM fará apenas a comunicação com sua placa de rede do PC real para aceder à Internet. Já no modo NAT a VM terá que se comunicar diretamente com seu PC real e compartilhar do mesmo IP para aceder à Internet podendo haver uma contaminação no PC real.

Estes são os conceitos necessários para usar a VM em testes com vírus e malwares.

OBS: Usar o nome de usuário e senha do provedor de Internet na VM não tem perigo algum.



O que é e como me proteger de crimewares?

Crimewares não são malwares propriamente dito. Crimeware trata-se de um nome usado para descrever todos os malwares que possuem um objetivo comum: Obtenção de dinheiro ou informação confidencial. Os bots, keyloggers, trojans bankers, adwares, spywares, spams, phishings, dialers, por exemplo, são malwares considerados crimewares.

MPack é um dos instrumentos mais utilizados nesta técnica. Escrito por um grupo de programadores russos, MPack é um kit malware baseado em código PHP que filtram em servidores web comprometidos. Quando o usuário navega para um servidor MPack'ed seus navegadores são afetados com uma bagagem de exploits que tentam instalar bots, keyloggers, rootkits e outros malwares nas máquinas das vítimas.
Estes tipos de ferramentas são uma ameaça significativa para todos os internautas, pois representam um importante vetor pelo qual o malware se propaga hoje em dia.

As melhores maneiras de se proteger contra crimewares são:

● Utilizando um browser seguro. Atualmente recomenda-se Mozilla Firefox, Opera e Google Chrome (considerado o mais seguro pelos testes da Acid3);
● Mantendo o navegador devidamente atualizado, com todas as correções e patches necessários;
● Mantendo softwares de proteção antivirus, anti-spyware e firewall atualizados e ativos;
● Não baixar controles ActiveX e outros plug-ins de sites desconhecidos, e ter cuidado até mesmo ao baixar de sites conhecidos;
● E o principal de tudo, tomar cuidado por onde navega.



CONCLUSÃO FINAL

Algumas perguntas foram retiradas da Internet mesmo, principalmente de fóruns. E algumas outras foram feitas pelos meus alunos e outros estudantes de Segurança da Informação.

As respostas todas são de minha autoria, e todas as questões foram revisadas e estudadas por peritos de segurança e outros professores graduados em Segurança da Informação.

Em caso de dúvidas sobre alguma pergunta ou resposta, fiquem à vontade para postar aqui. Em caso de pergunta, irei acrescentar ao artigo juntamente com a resposta.

Espero que tenham gostado

Abraços

[João Pedro - L]

Muito bom seu FAQ

Meus parabéns
ganhou até matéria no site do Guia

[khogan]

Li o faq, mas gostaria de saber o seguinte: Tenho um software que para atualizar recebe dados da net, no entanto no uso que faço dele não há a necessidade de enviar nenhum dado a quem quer que seja, como faço para liberar a entrada de dados e restringir totalmente o envio destes?

Uso o Zone Alarm Pró original e Antivir Personal.

Grato.

[Joao Berdeville]

FAQ maravilhoso. Parabéns.

[Cado]

Parabéns pelo tutorial. Ganhou um ponto meu por ele.
Comente no tópico que eu postei sobre "Qual é o melhor antivírus?".

[Douglas Johann]

Exelente FAQ, parabéns mesmo.

Mr.Wolf, em 07/08/2009, 17:27:52, disse:

Infecção obscura: Neste tipo de infecção é utilizada uma técnica conhecida como Malicious Double Extension.

A artimanha usada pelos criadores neste tipo de técnica é bem simples de entender. O cracker define uma dupla extensão no arquivo que é ocultada da vista do usuário, onde somente se a opção de "Ocultar arquivos protegidos do SO" (em Opções de pastas) estiver desmarcada é que o usuário enxergará a segunda extensão maliciosa adicionada no arquivo.

Não seria "Ocultar as extensões dos tipos de arquivo conhecidos"?.

[De Sordi]

Parabéns! Prático, conciso e Muito útil
De Sordi

[Ferd]

Nossa muito Bom...

Obrigado pelas esplicações...

[Viny]

Cara parabéns msm ótimo tutorial. Eu sempre tive duvidas em relaçao a usar 2 anti-virus e tals e vc tirou elas tanto q deixei só o avast aqui

Agora tenho algumas perguntas q ate hj nao achei explicaçao certa

Eu uso o sandboxie aqui e nunca usei maquina virtual. Qual a diferença dos 2?? Tudo q faiz na maquina virtual pode fazer no sandboxie??

Qual o pior ou quais os piores virus q existem atualmente???

Vlw brother

[]'sss

[Viny]

Vc tbm poderia criar outro faq com dicas brother, tipo qual o melhor anti-virus, como fazer pra gnt fica mais protegido, quais programa tu aconselha mais e tals

É so uma ideia pq curti bastante msm esse seu faq tutorial

[Mr.Wolf]

Viny, em 10/08/2009, 17:05:42, disse:

Eu uso o sandboxie aqui e nunca usei maquina virtual. Qual a diferença dos 2?? Tudo q faiz na maquina virtual pode fazer no sandboxie??

Uma sandbox e uma VM têm a mesma função -- evitar que o sistema real seja alterado indevidamente. Mas há diferenças entre os programas.

Uma sandbox é apenas um software que permite que você execute aplicações isoladamente em um ambiente separado. Ao qual, todas as configurações, operações, instalações feitas dentro da sandbox serão apagadas quando o programa for fechado, ou seja, não terão efeito em seu sistema. Por padrão, os programas em execução em uma sandbox não estão autorizados a fazer quaisquer alterações efetivas reais de arquivos ou chaves do registro em seu sistema, podendo apenas efetuar alterações visíveis no interior da sandbox.

Já a VM é simplesmente um software que irá simular um outro sistema operacional em seu computador. Podendo fazer alterações reais no próprio sistema operacional, tanto em arquivos quanto no registro, sem afetar seu PC real. Sendo uma virtualização muito mais real do que uma sandbox. Enfim, é um segundo computador, o computador "cobaia" como chamamos. O que também não deixa de ser um ambiente isolado como a sandbox, porém, mais seguro que este.

Não recomendo executar vírus em uma sandbox. Somente em uma VM. Já fiz vários testes com vírus em uma sandbox, e muitos deles acabaram vazando do isolamento do programa e infectando o sistema. Por isso, pessoalmente, não recomendo testes com vírus numa sandbox.

Viny, em 10/08/2009, 17:05:42, disse:

Qual o pior ou quais os piores virus q existem atualmente???

Esta questão de qual é o pior vírus é um detalhe bastante complexo, pois não depende do vírus em si, mas sim de sua variante. Na verdade, é a variante que pré-determina o nível da infecção. Mas considerando que seja a pior variante, na minha opinião, os piores da atualidade são:

File Infectors (contaminam todos os .exe do Windows), Rootkits, Trojan Bagle, Trojan Vundo e o Worm Conficker.

Até as variantes mais simples destes vírus acima são complicadas de remover. Alguns aí são antigos, como o vundo, por exemplo. Mas até hoje faz muitas vítimas, e a dificuldade de removê-lo apenas aumentou.

Certamente, existem outros vírus que são duros na queda também e danificam a máquina de tal maneira que nada o remove. Mas os da atualidade são estes acima.

Douglas Johann, em 09/08/2009, 18:51:41, disse:

Exelente FAQ, parabéns mesmo.



Não seria "Ocultar as extensões dos tipos de arquivo conhecidos"?.

Exato. Corrigido.

[Viny]

Mr.Wolf, em 11/08/2009, 02:20:01, disse:

Uma sandbox e uma VM têm a mesma função -- evitar que o sistema real seja alterado indevidamente. Mas há diferenças entre os programas.

Uma sandbox é apenas um software que permite que você execute aplicações isoladamente em um ambiente separado. Ao qual, todas as configurações, operações, instalações feitas dentro da sandbox serão apagadas quando o programa for fechado, ou seja, não terão efeito em seu sistema. Por padrão, os programas em execução em uma sandbox não estão autorizados a fazer quaisquer alterações efetivas reais de arquivos ou chaves do registro em seu sistema, podendo apenas efetuar alterações visíveis no interior da sandbox.

Já a VM é simplesmente um software que irá simular um outro sistema operacional em seu computador. Podendo fazer alterações reais no próprio sistema operacional, tanto em arquivos quanto no registro, sem afetar seu PC real. Sendo uma virtualização muito mais real do que uma sandbox. Enfim, é um segundo computador, o computador "cobaia" como chamamos. O que também não deixa de ser um ambiente isolado como a sandbox, porém, mais seguro que este.

Não recomendo executar vírus em uma sandbox. Somente em uma VM. Já fiz vários testes com vírus em uma sandbox, e muitos deles acabaram vazando do isolamento do programa e infectando o sistema. Por isso, pessoalmente, não recomendo testes com vírus numa sandbox.


Esta questão de qual é o pior vírus é um detalhe bastante complexo, pois não depende do vírus em si, mas sim de sua variante. Na verdade, é a variante que pré-determina o nível da infecção. Mas considerando que seja a pior variante, na minha opinião, os piores da atualidade são:

File Infectors (contaminam todos os .exe do Windows), Rootkits, Trojan Bagle, Trojan Vundo e o Worm Conficker.

Até as variantes mais simples destes vírus acima são complicadas de remover. Alguns aí são antigos, como o vundo, por exemplo. Mas até hoje faz muitas vítimas, e a dificuldade de removê-lo apenas aumentou.

Certamente, existem outros vírus que são duros na queda também e danificam a máquina de tal maneira que nada o remove. Mas os da atualidade são estes acima.





Exato. Corrigido.

Show vlw pela ixplicação brother

E qual maquina virtual tu me aconselha?? pq eh mto melhor q sandboxie msm

Eu quero mecher com virus aqui tb e talz ou tentar neh

[]'sss

[José Sebastião]

Colocar arquivos de dados em outra partição no mesmo disco ou em outro disco na mesma máquina reduz o perigo de infecção ? Os vírus podem atacar outro HD na mesma máquina ?

[Paulo Higa]

José Sebastião, em 12/08/2009, 10:30:46, disse:

Colocar arquivos de dados em outra partição no mesmo disco ou em outro disco na mesma máquina reduz o perigo de infecção ? Os vírus podem atacar outro HD na mesma máquina ?

Colocar arquivos em outra partição só é interessante para proteger os arquivos pessoais (fotos, músicas, etc.). Se um vírus atacar o sistema e você precisar formatar o disco, só precisará formatar a partição do sistema - e assim não perderá os dados pessoais. Mas isso não reduz o perigo de infecção.

[Mr.Wolf]

Viny, em 11/08/2009, 15:40:04, disse:

Show vlw pela ixplicação brother

E qual maquina virtual tu me aconselha?? pq eh mto melhor q sandboxie msm

Eu quero mecher com virus aqui tb e talz ou tentar neh

[]'sss

Pessoalmente utilizo o VMware Workstation e recomendo. Mas já utilizei praticamente todas as máquinas virtuais existentes. As que aconselho atualmente, justamente pela segurança, estabibilidade, facilidade e recursos, são:

VMware (pago)
VirtualBox (gratuito)
Virtual PC (gratuito)

Estas três são as mais utilizadas também. O VMware é um pouco mais complicado de trabalhar pelo fato de ser uma virtualização bem mais aprimorada e real do que o VirtualBox e Virtual PC. Pois nestes dois últimos, quando montamos o sistema, os drivers já vêm todos instalados devidamente. Já no VMware você deve instalar tudo na mão, como é uma formatação real mesmo. Portanto, o torna melhor que os outros.

O Virtual PC pelo fato de ser da própria Microsoft não se adequada muito bem com a instalação de um Linux. Caso for instalar o Linux na VM, sugiro optar pelo VirtualBox ou VMware mesmo.

Mas qualquer um dos três que instalar fará uma ótima escolha.

OBS: Para baixar o VMware é necessário registrar no site da empresa.

José Sebastião, em 12/08/2009, 11:30:46, disse:

Colocar arquivos de dados em outra partição no mesmo disco ou em outro disco na mesma máquina reduz o perigo de infecção ? Os vírus podem atacar outro HD na mesma máquina ?

Os vírus podem sim atacar uma outra partição do HD. Mas como o colega Paulo Higa falou, somente se a partição conter um OS. Se não há um sistema instalado na outra partição, apenas documentos e arquivos importantes, não há como o vírus afetá-la. Exemplo:

Suponhamos que na outra partição você também possua um OS instalado e, na partição principal, você está infectado por um Virus de Boot ou um Rootkit.MBR - pragas que contaminam a MBR do HD - as chances das outras partições serem infectadas são muito grandes. Pois, tanto o gerenciador de boot quanto a tabela de particionamento do HD, são salvos no primeiro setor do HD (a famosa trilha MBR), que contém 512 bytes de informação da estrutura do disco. Então consequetemente uma infecção deste tipo poderá afetar todas as partições que houverem na máquina.

Isso serve tanto para um HD particionado quanto para um HD externo.

Tome muito cuidado também com as transferências de arquivos. Porque se transferir arquivos de um HD infectado para um HD limpo, o segundo será infectado também.

[Pguarnierr]

Creio que se os vírus se copiam para os pendrives também podem ir para uma outra partição do HD.
Eu baixei uma apostila do site easy shared, em formato rar, enviei para análize no site virustotal, e apareceu apenas em 2 dos antivirus listados, a descrição do trojan/magania.ayhb. Mas estes 2 antivirus eu nunca tinha ouvido falar! Estou com este arquivo compactado no pc e queria saber se há possibilidade de descompactar com segurança o mesmo. Passei malwarebytes antimalware e ele não acusou nada. Alguma informação sobre este trojan descrito?

[Mr.Wolf]

Pguarnierr, em 18/08/2009, 23:10:48, disse:

Creio que se os vírus se copiam para os pendrives também podem ir para uma outra partição do HD.
Eu baixei uma apostila do site easy shared, em formato rar, enviei para análize no site virustotal, e apareceu apenas em 2 dos antivirus listados, a descrição do trojan/magania.ayhb. Mas estes 2 antivirus eu nunca tinha ouvido falar! Estou com este arquivo compactado no pc e queria saber se há possibilidade de descompactar com segurança o mesmo. Passei malwarebytes antimalware e ele não acusou nada.

Esses antivirus pouco conhecidos que fazem parte da análise no VirusTotal possuem uma alta taxa de falso-positivo. Não somente esses como também os conhecidos como McAfee e o Avira AntiVir. Não acho que deva se preocupar com isso. Com certeza o arquivo é seguro. Seria motivo de preocupação se quatro antivirus (ou mais) detectassem o arquivo como vírus -- mesmo se fosse quatro antivirus desconhecidos.

De qualquer maneira, para sanar de vez essa dúvida, envie o arquivo para um dos sites abaixo e veja qual será o resultado:

http://virusscan.jotti.org/en
http://virscan.org/
http://www.viruschief.com/
http://www.gietl.com/test-clamav/
http://online.us.drweb.com/
http://www.kaspersky.com/scanforvirus

OBS: Se possível poste os nomes dos dois antivirus que detectaram o arquivo no VirusTotal.

Quote

Alguma informação sobre este trojan descrito?

É um trojan bem perigoso. Possui muitas variantes. Informações sobre este trojan aqui.

No seu caso, a variante detectada pelo VirusTotal (trojan/magania.ayhb) trata-se de um downloader.

Porém, a variante mais perigosa deste trojan é: PSW.Magania. Rouba senhas, contamina dispositivos removíveis, contamina PCs em rede e é extremamente difícil de remover do sistema.

[Bodhi]

Excelente tutorial!

Tenho apenas uma dúvida na pergunta: "Como prevenir infecções via mídias removíveis?"

Como desativar o autorun no vista que não tem o gpedit.msc?



PS Off-topic: Que beleza de forum!

[RafaelSonyLock]

Muito bom o FAQ

Parabéns

[Helito Bijora]

Bodhi, em 21/08/2009, 18:50:44, disse:

Excelente tutorial!

Tenho apenas uma dúvida na pergunta: "Como prevenir infecções via mídias removíveis?"

Como desativar o autorun no vista que não tem o gpedit.msc?



PS Off-topic: Que beleza de forum!

Alguns programas fazem isso. Um que já testei e gostei é o Panda USB Vaccine.