Como um vírus se espalha ‘sozinho’ de um computador para outro?

26

maio 2017

Por:Silvana Leal
Notícias

Como um vírus se espalha “sozinho” de um computador para outro?

Essa de que pega do nada sem nenhum tipo de execução discordo. Foi do tempo do mito “se paga vírus no ar”. Nessa só acredito vendo mesmo. Ainda estou pesquisando pra saber melhor, pois posso até estar errado.

Tálisson, seu ceticismo tem razão de ser. É muito raro que um antivírus possa contaminar outro computador sem que alguém que executar um programa (ou, pelo menos, abrir um arquivo). Mas isso existe, sim.

A regra é que um vírus só pode ser executado no computador quando se executa um programa.

Isto dito, a primeira exceção à regra ocorre quando os aplicativos que usamos no computador criam recursos poderosos de programação internos, como as “macros” existentes no Microsoft Office. Graças a elas, podemos ser infectados por um vírus ao abrir um arquivo do Word e habilitar a macro (antigamente, macros eram sempre ativadas, o que na prática tornava um documento do Word tão útil quanto programas para espalhar um código malicioso).

A segunda exceção ocorre quando programas que usamos têm brechas de segurança através das quais um vírus pode contaminar o computador com um arquivo que normalmente deveria ser inofensivo, como uma foto ou uma página web. Tivemos esta semana um exemplo disso com a falha que permite vírus em legendas de vídeo.

Por fim, há uma terceira exceção: quando o computador dispõe de algum mecanismo de controle remoto e a senha desse serviço é fraca. Nesse caso, um vírus pode se espalhar sozinho de uma máquina para outra adivinhando senha de controle remoto.

Além do terceiro caso, também é possível que um vírus se espalhe sozinho através de uma brecha do segundo tipo, desde que exista um agravante: em vez de a brecha estar em um aplicativo, ela deve estar em um programa do tipo “serviço” (em alguns sistemas esses programas são chamados de “daemon”) ou em algum componente-chave do próprio sistema operacional.

Serviços são programas que não têm janela, logo, nós não vemos que eles estão em execução. Mesmo assim, eles realizam tarefas o tempo todo. Algumas dessas tarefas envolvem conexão com a rede. Na prática, é como se um programa no seu computador estivesse constantemente “abrindo arquivos” de maneira totalmente invisível para você.

Esses programas não fazem isso por malícia — é uma característica necessária ao modo de operação deles. Quando você se conecta numa rede Wi-Fi, por exemplo, o sistema operacional precisa receber a configuração de rede, e isso exige um processamento. Todo processamento pode ser falho e abrir uma brecha para ataques. De fato, antes mesmo de você se conectar à rede, o seu sistema teve que processar as informações sobre as redes disponíveis.

No caso do vírus WannaCry, o serviço falho era o responsável pelo processamento de solicitações de conexão do protocolo SMB (Server Message Block), do compartilhamento de arquivos do Windows. A Microsoft sabe que manter esse serviço ativo acrescenta riscos, e por isso ele vem bloqueado na configuração de fábrica do Windows. De fato, o firewall do Windows, na configuração padrão, impede todos os programas (inclusive serviços) de receberem dados pela rede; um programa so pode receber dados depois que você usou o programa para requisitar os dados de outro.

Ao longo da história, diversos vírus conseguiram a façanha de se espalhar “sozinhos” de um computador para outro explorando falha em algum programa que roda como serviço. Veja essa lista bastante breve com alguns exemplos:

Blaster, 2003: Explorava uma brecha no serviço RPC – Chamada de Procedimento Remoto, um serviço crítico do Windows. A exploração da falha fazia o serviço travar, o que gerava um famoso aviso de desligamento no Windows XP. Infelizmente, nem todos os vírus desse tipo resultam em consequ~ncias tão claras.

Vírus Opaserv, 2002: Explorava uma brecha no SMB que dispensava a senha de acesso. Isso não dava ao vírus o direito de realizar uma execução direta de si mesmo, mas, nos Windows 95/98/ME, o SMB compartilhava o drive C: inteiro, o que permitia ao vírus alterar arquivos de configuração do Windows que orientavam o sistema a executar o vírus na próxima vez que fosse reiniciado.

Sadmind e Code Red, 2001: Exploravam brechas no IIS, o servidor web da Microsoft

Vírus Morris, 1988: explorava senhas fracas e também falhas nos serviços sendmail e finger.

>>> Antivírus é mesmo necessário?
Diante do ataque do WannaCry, vi diversas empresas de antivírus pagando de messias da situação, mas o que percebi foi que manter as coisas devidamente atualizadas funcionou muito melhor para aqueles que não queriam ser infectados. Revendo alguns casos anteriores, também notei que os antivírus são muito úteis para os usuários mais “Ingênuos” no mundo online, mas que perdem o papel central diante dos ataques mais sofisticados. Aí me veio a pergunta: será que realmente é necessário usar um antivírus? (Falando do Windows e do Android, especialmente.)

Atenciosamente;
Edson Neto

Esta coluna já afirmou anteriormente que antivírus no Android é dispensável, mas isso é porque o sistema do Android não foi pensado para permitir o funcionamento de antivírus (e nem de vírus, essa é a questão). Além disso, instalar apenas aplicativos do Google Play já garante uma boa filtragem, e o sistema tem embutido um sistema do Google para detectar aplicativos maliciosos, então todo mundo já está usando um “antivírus”. Para finalizar, o navegador do Android está conectado ao recurso SafeBrowsing, que bloqueia sites fraudulentos.

Agora vamos ao Windows. Os antivírus têm um importante papel reativo. Não importa quantos cuidados você tome, você pode acabar contaminado por um vírus. E se você não tiver um software antivírus no computador, você nunca vai saber disso.

O antivírus como método preventivo não é eficaz. Costumamos pensar no antivírus como uma vacina, que age preventivamente, mas é o contrário: o antivírus é sempre reativo. Ele só nos protege de um vírus porque alguma outra pessoa já foi antes infectada pelo mesmo vírus, ou pelo menos por um vírus parecido.

Os vírus de resgate como o WannaCry são notórios por zerar o valor de qualquer atividade reativa, pois eles possuem cargas destrutivas (a criptografia dos seus arquivos). Um vírus de resgate não tenta se esconder de você, então o antivírus nem precisa achar nada.

Quando o computador é infectado por outros vírus, a história é diferente. Se você for infectado por um ladrão de senhas bancárias hoje e não acessar sua conta bancária nos próximos dois dias, o antivírus terá todo esse tempo para detectar e remover o vírus, compensando a falha inicial na prevenção.

Há ainda mais um ponto que deve ser lembrado: quase todo mundo usa um antivírus, e isso significa que criminosos não podem desconsiderar o antivírus na hora de planejar ataques. Nós não vemos mais ataques que poderiam ser prevenidos por antivírus justamente porque todo mundo já tem um antivírus.

Se todo mundo abandonar o antivírus, técnicas de vírus antigos, como a contaminação de programas e documentos, poderiam novamente ter sucesso. Hoje, nenhum vírus consegue “sobreviver” mais do que algumas horas, ou no máximo um dia, pois todos os antivírus já estarão atualizados depois disso. É por isso que os criminosos precisam espalhar os vírus de forma muito mais agressiva e chegar ao máximo possível de vítimas em pouco tempo.

Via: globo

Ainda não recebemos comentários. Seja o primeiro a deixar sua opinião.

R. Rio Grande do Sul, 1040 - Lourdes, Belo Horizonte - MG, 30170-111

(31) 3335-3000 | (31) 98466-1555 | (31) 98466-1567

(31) 98466-1555 | (31) 98466-1567

aluguel@compumake.com.br