Worm de computador - Computer worm

Despejo hexadecimal do worm Blaster , mostrando uma mensagem deixada para o CEO da Microsoft , Bill Gates, pelo programador do worm

Propagação do worm Conficker

Parte de uma série sobre
Segurança da informação
Categorias de segurança relacionadas
Segurança informática Segurança automotiva Cibercrime Tráfico de cibersexo Fraude de computador Cybergeddon Terrorismo cibernético Cyberwarfare Guerra eletronica Guerra de informação Segurança da Internet Segurança para celulares Segurança de rede Proteção contra cópia Gestão de direitos digitais
Ameaças
Adware Ameaça persistente avançada Execução de código arbitrário Backdoors Backdoors de hardware Injeção de código Crimeware Cross-site scripting Malware de criptojacking Botnets Violação de dados Download drive-by objetos auxiliares do navegador Crime virtual Vírus Raspagem de dados Negação de serviço Espionagem Fraude de email Spoofing de e-mail Exploits Keyloggers Bombas lógicas Bombas-relógio Bombas fork Bombas zip Discadores fraudulentos Malware Carga útil Phishing Motor polimórfico Escalada de privilégios Ransomware Rootkits Bootkits Scareware Shellcode Spamming Engenharia social (segurança) Captura de tela Spyware Bugs de software cavalos de Tróia Trojans de hardware Trojans de acesso remoto Vulnerabilidade Conchas da web Limpador Worms injeção SQL Software de segurança desonesto Zumbi
Defesas
Segurança do aplicativo Codificação segura Seguro por padrão Seguro desde a concepção Caso de uso indevido Controle de acesso ao computador Autenticação Autenticação multifator Autorização Software de segurança de computador Software antivírus Sistema operacional focado na segurança Segurança centrada em dados Ofuscação de código Mascaramento de dados Encriptação Firewall Sistema de detecção de intrusão Sistema de detecção de intrusão baseado em host (HIDS) Detecção de anomalia Informações de segurança e gerenciamento de eventos (SIEM) Gateway seguro móvel Autoproteção de aplicativo em tempo de execução
v t e

Um worm de computador é um programa de malware autônomo que se replica para se espalhar para outros computadores. Ele geralmente usa uma rede de computadores para se espalhar, contando com falhas de segurança no computador de destino para acessá-lo. Ele usará esta máquina como um host para escanear e infectar outros computadores. Quando esses novos computadores invadidos por worm forem controlados, o worm continuará a verificar e infectar outros computadores usando esses computadores como hosts, e esse comportamento continuará. Os worms de computador usam métodos recursivos para se copiarem sem programas hospedeiros e se distribuírem com base na lei do crescimento exponencial, controlando e infectando cada vez mais computadores em um curto espaço de tempo. Os worms quase sempre causam algum dano à rede, mesmo que apenas por consumir largura de banda , enquanto os vírus quase sempre corrompem ou modificam os arquivos em um computador de destino.

Muitos worms são projetados apenas para se espalhar e não tentam alterar os sistemas pelos quais passam. No entanto, como o worm Morris e o Mydoom mostraram, mesmo esses worms "livres de carga útil" podem causar grandes interrupções, aumentando o tráfego de rede e outros efeitos indesejados.

História

Disquete do código-fonte do worm Morris no Computer History Museum

O termo "verme" foi usado pela primeira vez no romance de John Brunner de 1975, The Shockwave Rider . No romance, Nichlas Haflinger projeta e desencadeia um worm de coleta de dados em um ato de vingança contra os homens poderosos que dirigem uma rede nacional de informações eletrônicas que induz a conformidade em massa. "Você tem o maior verme de todos os tempos solto na rede e ele sabota automaticamente qualquer tentativa de monitorá-lo. Nunca houve um verme com uma cabeça tão dura ou uma cauda tão longa!"

O primeiro worm de computador foi desenvolvido para ser um software antivírus. Chamado de Reaper , ele foi criado por Ray Tomlinson para se replicar na ARPANET e excluir o programa experimental Creeper . Em 2 de novembro de 1988, Robert Tappan Morris , um estudante de graduação em ciência da computação da Cornell University , lançou o que ficou conhecido como worm Morris , interrompendo muitos computadores então na Internet, que na época estimava ser um décimo de todos os conectados. Durante o processo de apelação de Morris, o Tribunal de Apelações dos Estados Unidos estimou o custo de remoção do worm de cada instalação entre US $ 200 e US $ 53.000; este trabalho levou à formação do Centro de Coordenação CERT e da lista de discussão do Phage. O próprio Morris se tornou a primeira pessoa a ser julgada e condenada de acordo com a Lei de Fraude e Abuso de Computador de 1986 .

Recursos

Independência

Os vírus de computador geralmente requerem um programa host. O vírus grava seu próprio código no programa host. Quando o programa é executado, o programa de vírus escrito é executado primeiro, causando infecção e danos. Um worm não precisa de um programa hospedeiro, pois é um programa independente ou bloco de código. Portanto, não é restrito pelo programa host , mas pode ser executado de forma independente e realizar ataques ativamente.

Ataques de exploração

Como um worm não é limitado pelo programa host, os worms podem tirar proveito de várias vulnerabilidades do sistema operacional para realizar ataques ativos. Por exemplo, o vírus " Nimda " explora vulnerabilidades para atacar.

Complexidade

Alguns worms são combinados com scripts de página da web e ficam ocultos em páginas HTML usando VBScript , ActiveX e outras tecnologias. Quando um usuário acessa uma página da Web que contém um vírus, o vírus reside automaticamente na memória e espera para ser acionado. Existem também alguns worms que são combinados com programas backdoor ou cavalos de Tróia , como o " Code Red ".

Contágio

Os worms são mais infecciosos do que os vírus tradicionais. Eles não infectam apenas os computadores locais, mas também todos os servidores e clientes da rede baseados no computador local. Os worms podem se espalhar facilmente por meio de pastas compartilhadas , e-mails , páginas da web mal - intencionadas e servidores com um grande número de vulnerabilidades na rede.

Ferir

Qualquer código projetado para fazer mais do que espalhar o worm é normalmente conhecido como " carga útil ". Cargas mal-intencionadas típicas podem excluir arquivos em um sistema host (por exemplo, o worm ExploreZip ), criptografar arquivos em um ataque de ransomware ou exfiltrar dados , como documentos ou senhas confidenciais.

Alguns worms podem instalar um backdoor . Isso permite que o computador seja controlado remotamente pelo autor do worm como um " zumbi ". As redes dessas máquinas são frequentemente chamadas de botnets e são muito comumente usadas para uma variedade de propósitos mal-intencionados, incluindo o envio de spam ou a execução de ataques DoS .

Alguns worms especiais atacam sistemas industriais de maneira direcionada. O Stuxnet foi transmitido principalmente através de LANs e pen drives infectados, já que seus alvos nunca foram conectados a redes não confiáveis, como a Internet. Este vírus pode destruir o software de computador de controle de produção central usado por empresas químicas, de geração e transmissão de energia em vários países ao redor do mundo - no caso do Stuxnet, Irã, Indonésia e Índia foram os mais atingidos - ele foi usado para "emitir ordens" para outros equipamento na fábrica e para ocultar esses comandos de serem detectados. O Stuxnet usou várias vulnerabilidades e quatro exploits de dia zero diferentes (por exemplo: [1] ) em sistemas Windows e sistemas SIMATICWinCC da Siemens para atacar os controladores lógicos programáveis ​​embarcados de máquinas industriais. Embora esses sistemas operem independentemente da rede, se o operador inserir um disco infectado por vírus na interface USB do sistema, o vírus poderá obter o controle do sistema sem quaisquer outros requisitos operacionais ou solicitações.

Contramedidas

Os worms se espalham explorando vulnerabilidades em sistemas operacionais. Fornecedores com problemas de segurança fornecem atualizações de segurança regulares (consulte " Patch Tuesday ") e, se elas forem instaladas em uma máquina, a maioria dos worms não conseguirá se espalhar para ela. Se uma vulnerabilidade for divulgada antes do patch de segurança lançado pelo fornecedor, um ataque de dia zero é possível.

Os usuários precisam ser cautelosos ao abrir e-mails inesperados e não devem executar arquivos ou programas anexados, nem visitar sites que tenham links para esses e-mails. No entanto, como acontece com o worm ILOVEYOU , e com o aumento do crescimento e da eficiência dos ataques de phishing , ainda é possível enganar o usuário final para que ele execute código malicioso.

Os softwares antivírus e anti-spyware são úteis, mas devem ser mantidos atualizados com novos arquivos de padrão pelo menos a cada poucos dias. O uso de um firewall também é recomendado.

Os usuários podem minimizar a ameaça representada por worms, mantendo o sistema operacional de seus computadores e outros softwares atualizados, evitando abrir e-mails não reconhecidos ou inesperados e executando um firewall e software antivírus.

As técnicas de mitigação incluem:

• ACLs em roteadores e switches
• Filtros de pacotes
• Daemons de serviço de rede habilitados para TCP Wrapper / ACL
• Nullroute

As infecções às vezes podem ser detectadas por seu comportamento - normalmente fazendo uma varredura na Internet aleatoriamente, em busca de hosts vulneráveis ​​para infectar. Além disso, técnicas de aprendizado de máquina podem ser usadas para detectar novos worms, analisando o comportamento do computador suspeito.

Worms com boas intenções

Um worm ou anti-worm útil é um worm projetado para fazer algo que seu autor considera útil, embora não necessariamente com a permissão do proprietário do computador em execução. Começando com a primeira pesquisa sobre worms no Xerox PARC , houve tentativas de criar worms úteis. Esses worms permitiram que John Shoch e Jon Hupp testassem os princípios da Ethernet em sua rede de computadores Xerox Alto . Da mesma forma, a família de worms Nachi tentou baixar e instalar patches do site da Microsoft para corrigir vulnerabilidades no sistema host, explorando essas mesmas vulnerabilidades. Na prática, embora isso possa ter tornado esses sistemas mais seguros, gerou um tráfego de rede considerável, reinicializou a máquina durante o patch e fez seu trabalho sem o consentimento do proprietário ou usuário do computador. Independentemente de sua carga útil ou das intenções de seus criadores, os especialistas em segurança consideram todos os worms como malware .

Um estudo propôs o primeiro worm de computador que opera na segunda camada do modelo OSI (Data link Layer), utilizando informações de topologia, como tabelas de memória endereçável por conteúdo (CAM) e informações de Spanning Tree armazenadas em switches para propagar e sondar nós vulneráveis até que a rede corporativa seja coberta.

Anti-worms têm sido usados ​​para combater os efeitos dos worms Code Red , Blaster e Santy . Welchia é um exemplo de worm útil. Utilizando as mesmas deficiências exploradas pelo worm Blaster , o Welchia infectou computadores e começou a baixar automaticamente as atualizações de segurança da Microsoft para o Windows sem o consentimento dos usuários. O Welchia reinicializa automaticamente os computadores infectados após a instalação das atualizações. Uma dessas atualizações foi o patch que corrigiu o exploit.

Outros exemplos de worms úteis são "Den_Zuko", "Cheeze", "CodeGreen" e "Millenium".

Veja também

• BlueKeep
• Botnet
• Código Shikara (worm)
• Vigilância de computador e rede
• Vírus de computador
• Spam de e-mail
• Pai Natal (worm de computador)
• Máquina auto-replicante
• Golpe de suporte técnico - ligações não solicitadas de uma falsa pessoa do "suporte técnico", alegando que o computador tem um vírus ou outros problemas
• Linha do tempo de vírus e worms de computador
• Cavalo de Tróia (computação)
• Worm XSS
• Zombie (ciência da computação)

Referências

links externos

• Malware Guide  - Guia para compreender, remover e prevenir infecções por vermes em Vernalex.com.
• "The 'Worm' Programs - Early Experience with a Distributed Computation" , John Shoch e Jon Hupp, Communications of the ACM , Volume 25 Issue 3 (March 1982), pp. 172-180.
• "The Case for Using Layered Defences to Stop Worms" , Unclassified report da US National Security Agency (NSA), 18 de junho de 2004.
• Worm Evolution (link arquivado), artigo de Jago Maniscalchi sobre Digital Threat, 31 de maio de 2009.