2012

Exerccios Comentados Malwares, Ataques e Antivrus

LhugoJr Verso 1.0 20/11/2012

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

TECNOLOGIA DA INFORMAO - QUESTES COMENTADAS CESPE/UNB http://www.dominandoti.com.br/livros TI SEGURANA DA INFORMAO PARA CONCURSOS NVEL AVANADO - http://socratesfilho.com/cursosteorico/seguranca-da-informacao-para-concursos/ Provas de TI www.provasdeti.com.br Tambm foram usadas outras fontes, como livros, comentrios do site Questes de Concursos, etc. Os comentrios so sempre feitos colocando as fontes encontradas, algumas questes so mais difceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros. Espero que ajude. Abraos.

Introdua o

Vale ressaltar que alguns comentrios sobre as questes foram retiradas das seguintes fontes:

Essa a verso 1.0, sendo a maioria das questes da banca CESPE, com o tempo espero acrescentar muito mais questes. Caso encontre algum erro nesta verso pode mandar um e-mail para lhugojr@hotmail.com, colocando o nmero da questo e o erro encontrado. Voc tambm pode ajudar a melhorar os comentrios, alguns comentrios podem estar com o nvel fraco, isso ocorre quando no so encontradas fontes que tratam sobre o tema da questo. Caso voc encontre alguma fonte ou queira melhorar o comentrio mande um e-mail.

Notas da Versa o

LhugoJr

Pgina 1

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

1 Malwares
(CESPE TCU 2007 Analista de Controle Externo Auditoria em TI)
1) So caractersticas tpicas dos malwares: cavalos de tria aparentam realizar atividades teis; adwares obtm e transmitem informaes privadas do usurio; backdoors estabelecem conexes para fora da rede onde se encontram; worms modificam o cdigo de uma aplicao para propagar-se em uma rede; e botnets realizam ataques articulados por meio de um controle remoto. Vamos as definies do CERT.BR (http://cartilha.cert.br/malware/):
Cavalo de troia, trojan ou trojan-horse, um programa que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas, e sem o conhecimento do usurio. Adware (Subtipo de SPYWARE): projetado especificamente para apresentar propagandas. Pode ser usado para fins legtimos, quando incorporado a programas e servios, como forma de patrocnio ou retorno financeiro para quem desenvolve programas livres ou presta servios gratuitos. Tambm pode ser usado para fins maliciosos, quando as propagandas apresentadas so direcionadas, de acordo com a navegao do usurio e sem que este saiba que tal monitoramento est sendo feito. Spyware um programa projetado para monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. Backdoor um programa que permite o retorno de um invasor a um computador comprometido, por meio da incluso de servios criados ou modificados para este fim. Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em computadores Bot um programa que dispe de mecanismos de comunicao com o invasor que permitem que ele seja controlado remotamente. Possui processo de infeco e propagao similar ao do worm, ou seja, capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores

Portanto podemos perceber facilmente que as definies de adware e worm esto erradas, Questo errada.

(CESPE Polcia Federal 2004 Nacional Perito rea 3)

2) Os programas conhecidos como spyware so um tipo de trojan que tem por objetivo coletar informaes acerca das atividades de um sistema ou dos seus usurios e representam uma ameaa confidencialidade das informaes acessadas no sistema infectado. Esses programas no so considerados como vrus de computador, desde que no se repliquem a partir de um sistema onde tenham sido instalados. Usando um pedao do comentrio da banca CESPE
Spyware so programas inteiros que executam independentemente de outros arquivos do sistema infectado. Os vrus so fragmentos de cdigo inseridos em outros arquivos do sistema infectado. Estes arquivos so denominados arquivo hospedeiro. Assim, os spyware no so considerados vrus por no requererem um arquivo hospedeiro. Este o verdadeiro motivo pelo qual os spyware no so considerados vrus, ao invs de estes no serem considerados vrus apenas quando no possurem um mecanismo de replicao.

Portanto o que torna a questo errada a segunda parte: Esses programas no so considerados como vrus de computador, desde que no se repliquem a partir de um sistema onde tenham sido instalados.. O verdadeiro motivo de no ser considerado vrus o fato de no necessitarem de um arquivo hospedeiro.

(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia da Informao Redes e Telecomunicaes)

LhugoJr

Pgina 2

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) 3) Os vrus geralmente se disseminam sem a ao do usurio e distribuem cpias completas de si mesmos, possivelmente modificadas, atravs das redes. Vamos usar Stallings, pag. 445:
Um vrus um software que pode 'infectar' outros programas modificando-os; a modificao inclui uma cpia do programa de vrus, que pode ento prosseguir para infectar outros programas. Um verme (worm) um programa que pode se replicar e enviar cpias de um computador para outro atravs da rede. Na chegada, o worm pode ser ativado para replicar-se e propagar-se novamente. Alm da propagao, o verme normalmente realiza alguma funo indesejada.

Tambm usando a cartilha de segurana do CERT.BR

Vrus um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infeco, o vrus depende da execuo do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado preciso que um programa j infectado seja executado. O principal meio de propagao de vrus costumava ser os disquetes. Com o tempo, porm, estas mdias caram em desuso e comearam a surgir novas maneiras, como o envio de e-mail. Atualmente, as mdias removveis tornaram-se novamente o principal meio de propagao, no mais por disquetes, mas, principalmente, pelo uso de pen-drives. H diferentes tipos de vrus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma srie de atividades sem o conhecimento do usurio. H outros que permanecem inativos durante certos perodos, entrando em atividade apenas em datas especficas. Alguns dos tipos de vrus mais comuns so: Vrus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo contedo tenta induzir o usurio a clicar sobre este arquivo, fazendo com que seja executado. Quando entra em ao, infecta arquivos e programas e envia cpias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador. Vrus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma pgina Web ou por e-mail, como um arquivo anexo ou como parte do prprio e-mail escrito em formato HTML. Pode ser automaticamente executado, dependendo da configurao do navegador Web e do programa leitor de e-mails do usurio. Vrus de macro: tipo especfico de vrus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compe o Microsoft Office (Excel, Word e PowerPoint, entre outros). Vrus de telefone celular: vrus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service). A infeco ocorre quando um usurio permite o recebimento de um arquivo infectado e o executa. Aps infectar o celular, o vrus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligaes telefnicas e drenar a carga da bateria, alm de tentar se propagar para outros celulares.

Portanto a questo est errada, j que vrus precisa de uma ao de usurio para se tornar ativo. E quem se propaga automaticamente pela rede o worm. 4) Um worm um mtodo oculto para contornar os mecanismos de autenticao em sistemas computacionais. Vamos a definio do CERT.BR:
Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos, devido grande quantidade de cpias de si mesmo que

LhugoJr

Pgina 3

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

costumam propagar e, como consequncia, podem afetar o desempenho de redes e a utilizao de computadores. O processo de propagao e infeco dos worms ocorre da seguinte maneira: Identificao dos computadores alvos: aps infectar um computador, o worm tenta se propagar e continuar o processo de infeco. Para isto, necessita identificar os computadores alvos para os quais tentar se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: efetuar varredura na rede e identificar computadores ativos; aguardar que outros computadores contatem o computador infectado; utilizar listas, predefinidas ou obtidas na Internet, contendo a identificao dos alvos; utilizar informaes contidas no computador infectado, como arquivos de configurao e listas de endereos de email. b) Envio das cpias: aps identificar os alvos, o worm efetua cpias de si mesmo e tenta envi-las para estes computadores, por uma ou mais das seguintes formas: como parte da explorao de vulnerabilidades existentes em programas instalados no computador alvo; anexadas a e-mails; via canais de IRC (Internet Relay Chat); via programas de troca de mensagens instantneas; includas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer). c) Ativao das cpias: aps realizado o envio da cpia, o worm necessita ser executado para que a infeco ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: imediatamente aps ter sido transmitido, pela explorao de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cpia; diretamente pelo usurio, pela execuo de uma das cpias enviadas ao seu computador; pela realizao de uma ao especfica do usurio, a qual o worm est condicionado como, por exemplo, a insero de uma mdia removvel. d) Reincio do processo: aps o alvo ser infectado, o processo de propagao e infeco recomea, sendo que, a partir de agora, o computador que antes era o alvo passa a ser tambm o computador originador dos ataques. Rootkit um conjunto de programas e tcnicas que permite esconder e assegurar a presena de um invasor ou de outro cdigo malicioso em um computador comprometido. O conjunto de programas e tcnicas fornecido pelos rootkits pode ser usado para: remover evidncias em arquivos de logs (mais detalhes na Seo 7.6 do Captulo Mecanismos de segurana); instalar outros cdigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; esconder atividades e informaes, como arquivos, diretrios, processos, chaves de registro, conexes de rede, etc; mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; capturar informaes da rede onde o computador comprometido est localizado, pela interceptao de trfego. a)

muito importante ressaltar que o nome rootkit no indica que os programas e as tcnicas que o compe so usadas para obter acesso privilegiado a um computador, mas sim para mant-lo. Rootkits inicialmente eram usados por atacantes que, aps invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos mtodos utilizados na invaso, e para esconder suas atividades do responsvel e/ou dos usurios do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente tm sido tambm utilizados e incorporados por outros cdigos maliciosos para ficarem ocultos e no serem detectados pelo usurio e nem por mecanismos de proteo. H casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de msica, sob a alegao de necessidade de proteo aos direitos autorais de suas obras. A instalao nestes casos costumava ocorrer de forma automtica, no momento em que um dos CDs distribudos contendo o cdigo malicioso era inserido e executado. importante ressaltar que estes casos constituem uma sria ameaa segurana do computador, pois os rootkits instalados, alm de comprometerem a privacidade do usurio, tambm podem ser reconfigurados e utilizados para esconder a presena e os arquivos inseridos por atacantes ou por outros cdigos maliciosos.

Portanto a questo est errada, trocando a definio de rootkit por worm.

(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia da Informao Segurana da Informao)

LhugoJr

Pgina 4

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) 5) O cavalo de troia (trojan horse) no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou de falhas na configurao de software instalados em computadores. Segundo o glossrio da cartilha do CERT.BR (http://cartilha.cert.br/glossario/)
Worm - Tipo de cdigo malicioso. Programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou falhas na configurao de programas instalados em computadores.

Portanto questo errada, trocou worm por trojan horse. S para mais estudos vamos a definio de trojan horse, pelo mesmo glossrio:
Cavalo de troia - Tipo de cdigo malicioso. Programa normalmente recebido como um "presente" (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc.) que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas e sem o conhecimento do usurio.

6) Um worm pode realizar diversas funes maliciosas, como a instalao de keyloggers ou screenloggers, o furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito, a incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador, e a alterao ou destruio de arquivos. Segundo a cartilha de segurana do CERT.BR, temos:
Cavalo de troia, trojan ou trojan-horse, um programa que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas, e sem o conhecimento do usurio. Exemplos de trojans so programas que voc recebe ou obtm de sites na Internet e que parecem ser apenas cartes virtuais animados, lbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um nico arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans tambm podem ser instalados por atacantes que, aps invadirem um computador, alteram programas j existentes para que, alm de continuarem a desempenhar as funes originais, tambm executem aes maliciosas. H diferentes tipos de trojans, classificados2 de acordo com as aes maliciosas que costumam executar ao infectar um computador. Alguns destes tipos so: Trojan Downloader: instala outros cdigos maliciosos, obtidos de sites na Internet. Trojan Dropper: instala outros cdigos maliciosos, embutidos no prprio cdigo do trojan. Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. Trojan DoS: instala ferramentas de negao de servio e as utiliza para desferir ataques. Trojan Destrutivo: altera/apaga arquivos e diretrios, formata o disco rgido e pode deixar o computador fora de operao. Trojan Clicker: redireciona a navegao do usurio para sites especficos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas. Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegao annima e para envio de spam. Trojan Spy: instala programas spyware e os utiliza para coletar informaes sensveis, como senhas e nmeros de carto de crdito, e envi-las ao atacante. Trojan Banker ou Bancos: coleta dados bancrios do usurio, atravs da instalao de programas spyware que so ativados quando sites de Internet Banking so acessados. similar ao Trojan Spy porm com objetivos mais especficos Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em

LhugoJr

Pgina 5

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

computadores. Worms so notadamente responsveis por consumir muitos recursos, devido grande quantidade de cpias de si mesmo que costumam propagar e, como consequncia, podem afetar o desempenho de redes e a utilizao de computadores. O processo de propagao e infeco dos worms ocorre da seguinte maneira: e) Identificao dos computadores alvos: aps infectar um computador, o worm tenta se propagar e continuar o processo de infeco. Para isto, necessita identificar os computadores alvos para os quais tentar se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: efetuar varredura na rede e identificar computadores ativos; aguardar que outros computadores contatem o computador infectado; utilizar listas, predefinidas ou obtidas na Internet, contendo a identificao dos alvos; utilizar informaes contidas no computador infectado, como arquivos de configurao e listas de endereos de email. Envio das cpias: aps identificar os alvos, o worm efetua cpias de si mesmo e tenta envi-las para estes computadores, por uma ou mais das seguintes formas: como parte da explorao de vulnerabilidades existentes em programas instalados no computador alvo; anexadas a e-mails; via canais de IRC (Internet Relay Chat); via programas de troca de mensagens instantneas; includas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer). Ativao das cpias: aps realizado o envio da cpia, o worm necessita ser executado para que a infeco ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: imediatamente aps ter sido transmitido, pela explorao de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cpia; diretamente pelo usurio, pela execuo de uma das cpias enviadas ao seu computador; pela realizao de uma ao especfica do usurio, a qual o worm est condicionado como, por exemplo, a insero de uma mdia removvel. Reincio do processo: aps o alvo ser infectado, o processo de propagao e infeco recomea, sendo que, a partir de agora, o computador que antes era o alvo passa a ser tambm o computador originador dos ataques.

f)

g)

h)

Portanto a questo trocou a definio de Trojan-horse por worm, questo errada. 7) (MCT/Tecnologista Jr/2008) Um vrus de macrocomandos de uma aplicao, como, por exemplo, um editor de textos, independente da plataforma computacional e dos sistemas operacionais. Usando Stallings (pag. 450) como bibliografia, temos:
Os vrus de macro so particularmente ameaadores por diversos motivos: 1. Um vrus de macro independente de plataforma. Praticamente todos os vrus de macro infectam documentos do Microsoft Word. Qualquer plataforma de hardware e sistema operacional que aceite o Word pode ser infectados. 2. Os vrus de macro infectam documentos, e no partes executveis do cdigo. A maior parte das informaes introduzidas em um sistema de computador est na forma de um documento, em vez de um programa. 3. Os vrus de macro so facilmente espalhados. Um mtodo muito comum por e-mail.

Portanto a questo est correta. 8) (MCT/Analista de C&T/2008) Na fase latente ou dormente, um vrus de computador encontra-se quieto, mas pronto para ser ativado por algum evento. Segundo Stallings (pag. 448):
Durante seu tempo de vida, um vrus tpico passa pelas quatro fases a seguir: Fase latente: O vrus est inativo. O vrus ser ativado por algum evento, como uma data, a presena de outro programa ou

LhugoJr

Pgina 6

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

arquivo, ou a capacidade do disco de exceder algum limite. Nem todos os vrus tm esse estgio. Fase de propagao: O vrus coloca uma cpia idntica de si mesmo em outros programas ou em certas reas do sistema no disco. Cada programa infectado agora ter um clone do vrus que, por si s, entrar em uma fase de propagao. Fase de disparo: O vrus ativado para realizar a funo para a qual ele foi planejado. Assim como na fase latente, a fase de disparo pode ser causada por diversos eventos do sistema, incluindo a contagem do nmero de vezes que essa cpia do vrus fez cpias de si mesma. Fase de execuo: A funo realizada. A funo pode ser inofensiva, como uma mensagem na tela, ou danosa, como a destruio de programas e arquivos de dados.

Portanto o item est correto. 9) (BASA/Tcnico Cientfico/Tecnologia da Informao/Segurana da Informao/2009) O cavalo de troia (trojan horse) no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou de falhas na configurao de software instalados em computadores.
Cavalo de troia, trojan ou trojan-horse, um programa que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas, e sem o conhecimento do usurio. Exemplos de trojans so programas que voc recebe ou obtm de sites na Internet e que parecem ser apenas cartes virtuais animados, lbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um nico arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans tambm podem ser instalados por atacantes que, aps invadirem um computador, alteram programas j existentes para que, alm de continuarem a desempenhar as funes originais, tambm executem aes maliciosas. H diferentes tipos de trojans, classificados de acordo com as aes maliciosas que costumam executar ao infectar um computador. Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos, devido grande quantidade de cpias de si mesmo que costumam propagar e, como consequncia, podem afetar o desempenho de redes e a utilizao de computadores.

Mais uma vez a questo trocou a definio de trojan horse e worm. Questo errada. A questo ficaria correta se fosse assim redigida: O worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou de falhas na configurao de software instalados em computadores. 10) (EMBASA/Assistente de Saneamento/Assistente de Informtica I/2010) Cavalo de troia um software legtimo que o usurio utiliza normalmente, mas, ao mesmo tempo, executa outras funes ilegais, como enviar mensagens e arquivos para o hacker ou abrir portas de entrada para futuras invases. Agora como Gleyson falou, vamos usar Stallings:
Cavalos-de-tria Um cavalo-de-tria um programa ou procedimento de comando til, ou aparentemente til, contendo cdigo oculto que, quando invocado, realiza alguma funo indesejada ou prejudicial. Os cavalos-de-tria podem ser usados para executar funes indiretamente, que um usurio no autorizado no poderia executar

LhugoJr

Pgina 7

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

diretamente. Por exemplo, para obter acesso aos arquivos de outro usurio em um sistema compartilhado, um usurio pode criar um cavalo-de-tria que, quando executado, mude as permisses de arquivo do usurio, permitindo que os arquivos sejam lidos por qualquer usurio. O autor pode, ento, induzir os usurios a executar o programa colocando-o em um diretrio comum e nomeando-o de modo que parea ser um utilitrio. Um exemplo um programa que produz aparentemente uma listagem dos arquivos do usurio em um formato desejvel. Depois que outro usurio tiver executado o programa, o autor pode ento acessar as informaes nos arquivos do usurio. Um exemplo de cavalo-de-tria que seria difcil de detectar um compilador modificado para inserir cdigo adicional em certos programas enquanto so compilados como um programa de login do sistema. O cdigo cria uma backdoor no programa de login, que permite ao autor efetuar o logon no sistema usando uma Senha especial. Esse cavalo-detria pode nunca ser descoberto lendo-se o cdigo-fonte do programa de login. Outra motivao comum para o cavalo-de-tria a destruio de dados. O programa parece estar realizando uma funo til (por exemplo, um programa de calculadora), mas tambm pode estar excluindo silenciosamente os arquivos do usurio.

Portanto a questo est correta. 11) (TJ-ES/Analista Judicirio/Anlise de Suporte/2011) Um spyware consiste em uma falha de segurana intencional, gravada no computador ou no sistema operacional, a fim de permitir a um cracker obter acesso ilegal e controle da mquina. Usando a cartilha de segurana do CERT.BR, temos:
Backdoor um programa que permite o retorno de um invasor a um computador comprometido, por meio da incluso de servios criados ou modificados para este fim. Pode ser includo pela ao de outros cdigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Aps includo, o backdoor usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos mtodos utilizados na realizao da invaso ou infeco e, na maioria dos casos, sem que seja notado. A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou na substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administrao remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usurio, tambm podem ser classificados como backdoors. H casos de backdoors includos propositalmente por fabricantes de programas, sob alegao de necessidades administrativas. Esses casos constituem uma sria ameaa segurana de um computador que contenha um destes programas instalados pois, alm de comprometerem a privacidade do usurio, tambm podem ser usados por invasores para acessarem remotamente o computador. Spyware um programa projetado para monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. Pode ser usado tanto de forma legtima quanto maliciosa, dependendo de como instalado, das aes realizadas, do tipo de informao monitorada e do uso que feito por quem recebe as informaes coletadas. Pode ser considerado de uso: Legtimo: quando instalado em um computador pessoal, pelo prprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o esto utilizando de modo abusivo ou no autorizado. Malicioso: quando executa aes que podem comprometer a privacidade do usurio e a segurana do computador, como monitorar e capturar informaes referentes navegao do usurio ou inseridas em outros programas (por exemplo, conta de usurio e senha).

Alguns tipos especficos de programas spyware so: Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado do computador. Sua ativao, em muitos casos, condicionada a uma ao prvia do usurio, como o acesso a um site especfico de comrcio eletrnico ou de Internet Banking. Screenlogger: similar ao keylogger, capaz de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou a regio que circunda a posio onde o mouse clicado. bastante utilizado por atacantes para capturar as teclas digitadas pelos usurios em teclados virtuais, disponveis principalmente em sites de Internet Banking. Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legtimos, quando incorporado a programas e servios, como forma de patrocnio ou retorno financeiro para quem desenvolve programas

LhugoJr

Pgina 8

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

livres ou presta servios gratuitos. Tambm pode ser usado para fins maliciosos, quando as propagandas apresentadas so direcionadas, de acordo com a navegao do usurio e sem que este saiba que tal monitoramento est sendo feito.

A questo trocou backdoor por spyware, ento est errada.

(FCC BACEN - 2005 Analista - rea 1)

12) Um cdigo malicioso que se altera em tamanho e aparncia a cada vez que infecta um novo programa um vrus do tipo: a) polimrfico b) de boot c) de macro d) parasita e) camuflado. Vamos definio encontrada no livro de Stallings, pag 450.
Vrus parasitrio: A forma de vrus tradicional e anda mais comum. Um vrus parasitrio se conecta a arquivos executveis e se replica quando o programa infectado executado, localizando outros arquivos executveis para infectar. Vrus furtivo: Uma forma de vrus projetado explicitamente para se esconder da deteco pelo software (anti vrus). Vrus polimrfico: Um vrus que se transforma a cada infeco, impossibilitando a deteco pela assinatura do vrus. Vrus metamrfico: Assim como um vrus polimrfico, um vrus metamrfico muda a cada infeco. A diferena que um vrus metamrfico se reescreve completamente a cada iterao, aumentando a dificuldade de deteco. Os vrus metamrficos podem mudar seu comportamento e tambm sua aparncia. Um vrus polimrfico cria cpias durante a repetio funcionalmente equivalentes mas que possuem padres de bits distintamente diferentes. Assim como um vrus furtivo a finalidade enganar programas que procuram vrus. Nesse caso, a assinatura do vrus variar a cada cpia. Para conseguir essa variao, o vrus pode inserir aleatoriamente instrues suprfluas ou trocar a ordem de instrues independentes. Uma tcnica mais eficaz usar a criptografia. Uma parte do vrus, geralmente chamada mecanismo de mutao, cria uma chave de criptografia aleatria para criptografar o restante do vrus. A chave armazenada com o vrus, e o prprio mecanismo de mutao alterado. Quando um programa infectado chamado, o vrus usa a chave aleatria armazenada para decriptografar o vrus. Quando o vrus se replica, urna chave aleatria diferente selecionada.

Portanto o gabarito da questo letra A.

2 Ataques
(CESPE Polcia Federal 2004 Nacional Perito rea 3)
13) Um ataque de buffer overflow consiste em desviar o fluxo de execuo de um software para um programa arbitrrio que esteja copiado no disco rgido do sistema atacado. Esse um exemplo clssico de backdoor resultante de um defeito de programao, que s pode ser eliminado com a atualizao de verso do software defeituoso. Usando o comentrio do professor Scrates Filho: O buffer overflow no se confunde com backdoor. Backdoor criado intencionalmente para garantir o acesso posterior de um atacante. Um defeito de programao acidental no pode ser considerado backdoor. Portanto

questo errada

LhugoJr

Pgina 9

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) Definio de Buffer Overflow, segundo o wikipedia http://pt.wikipedia.org/wiki/Transbordamento_de_dados Agora vamos a definio de backdoor pela cartilha do cert:
Backdoor um programa que permite o retorno de um invasor a um computador comprometido, por meio da incluso de servios criados ou modificados para este fim. Pode ser includo pela ao de outros cdigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Aps includo, o backdoor usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos mtodos utilizados na realizao da invaso ou infeco e, na maioria dos casos, sem que seja notado. A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou na substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administrao remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usurio, tambm podem ser classificados como backdoors. H casos de backdoors includos propositalmente por fabricantes de programas, sob alegao de necessidades administrativas. Esses casos constituem uma sria ameaa segurana de um computador que contenha um destes programas instalados pois, alm de comprometerem a privacidade do usurio, tambm podem ser usados por invasores para acessarem remotamente o computador.

14) (EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao Rede/2010) O ataque de MAC flooding faz um switch transmitir frames para todas as suas portas, como se fosse um hub. Segundo o professor Gleyson Azevedo, no seu livro de questes, ele comenta sobre Mac Flooding:
O MAC flooding consiste em enviar uma imensa quantidade de quadros com endereos MAC de origem forjados e aleatrios com o objetivo de esgotar a tabela MAC do switch. Quando isso ocorre, comumente o switch passa a enviar dados para todas as suas portas, como se fosse um hub, e viabilizando ataques de sniffer passivo

Podemos tambm usar a referncia do wikipedia: http://pt.wikipedia.org/wiki/Mac_flooding http://en.wikipedia.org/wiki/Mac_flooding Com isso percebemos que a questo est correta. 15) (DATAPREV/Analista de Tecnologia da Informao/Redes/2006) A restrio na capacidade de aprendizado de endereos nas portas de um switch suficiente para evitar o ARP spoofing. Vamos usar o comentrio do livro recomendado pelo professor Gleyson Azevedo: Counter Hack Reloaded, Second Edition. Some switches are not subject to this MAC flooding attack because they stop storing new MAC addresses when the remaining capacity of their memory reaches a given limit. With those switches, once the memory is filled, no other MAC addresses can be admitted to the LAN until some existing MAC addresses in the CAM table time out, a period that depends on the switch but typically involves several minutes. Agora complementando com o comentrio do professor Glesyon:

LhugoJr

Pgina 10

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) A restrio da capacidade de aprendizagem nas portas de um switch uma contramedida para o ataque de MAC flooding e no tem qualquer eficcia contra o ARP spoofing. Portanto a questo est errada. 16) (STM/Analista Judicirio/Anlise de Sistemas/2011) A filtragem de trfego egresso e ingressante uma das medidas aplicveis na proteo a ataques de negao de servio, distribudos ou no, como o syn flooding e o icmp flooding. Usando os comentrios do professor Gleyson Azevedo em seu livro, temos: Como tcnicas empregadas em ataques de negao de servio, o syn flooding e o ICMP flooding usualmente dependem do IP spoofing (NAKAMURA, 2007, p. 103). Desta forma, a filtragem dos trfegos egresso e ingressante pode ser til no combate a esses ataques da seguinte forma:

no se admite sair da rede interna pacotes cujo IP de origem seja da rede externa (NAKAMURA, 2007, p. 109); no se admite a entrada de pacotes da rede externa cujo IP de origem seja da rede interna (NAKAMURA, 2007, p. 103).

Ainda temos:
Syn flooding um ataque que explora o mecanismo de estabelecimento de conexes TCP, conhecido como three-way handshake. Nele, um grande nmero de pedidos de conexo (pacotes SYN) enviado, causando um estouro da pilha de memria do alvo, que no capaz de responder a todas (NAKAMURA, 2007, p. 105). ICMP flooding um ataque de negao de servio em que o atacante envia uma srie de pacotes de requisio ICMP de eco (ping) maior do que a implementao do protocolo pode manipular (SHIREY, 2007, p. 145).

Portanto, a questo est correta. 17) (TCU/Analista de Controle Externo/Auditoria de TI/2007) A deteco, por um sniffer de rede, de uma longa srie de segmentos TCP SYN enviados de um host local para um host remoto, sem o correspondente envio de segmentos TCP ACK, sugere que a rede sob anlise pode estar sofrendo um ataque de negao de servio. Mais uma vez usando como base o professor Gleyson: Como que est enviando o TCP SYN o host local, no prudente dizer que a rede sob anlise est sob ataque, o mais correto seria dizer que a rede est realizando um ataque de negao de servio. 18) (IPEA/Analista de Sistemas/Suporte de Infraestrutura/2008) Em um ataque negao de servio por refletor reflector distributed denial of service (DDoS) entidades escravas do atacante constroem pacotes que requerem respostas e contm o endereo IP do alvo como endereo fonte no cabealho, de modo que ao serem enviados a computadores no infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereo alvo do ataque Segundo Stallings, pagina 457:
Em um ataque de DDoS direto, o atacante capaz de implantar software zumbi em diversos sites distribudos pela Internet. Normalmente, o ataque de DDoS envolve dois niveis de mquinas zumbi: zumbis-mestres e zumbis escravos. Os hosts das duas mquinas foram infectados com cdigo malicioso. O atacante coordena e dispara os zumbismestres, que por sua vez, coordenam e disparam os zumbis escravos. O uso de dois nveis de zumbis toma mais difcil o trabalho de rastrear o ataque at a sua origem e fornece uma rede de atacantes mais flexvel.

LhugoJr

Pgina 11

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

Um ataque de DDoS refletor acrescenta outra camada de mquinas. Nesse tipo de ataque, os zumbis escravos criam pacote solicitando uma resposta que contenha o endereo de IP do alvo como o endereo de IP de origem no cabealho do pacote de IP Esses pacotes so enviados a mquinas no infectadas, conhecidas como refletoras. As mquinas no infectadas respondem com pacotes dirigidos para a mquina-alvo. Um ataque de DDoS refletor pode facilmente envolver mais mquinas e mais trfego do que um ataque de DDoS direto e, portanto, ser mais prejudicial. Alm disso, mais difcil rastrear o ataque ou filtrar os pacotes de ataque, pois o ataque provm de mquinas no infectadas bastante dispersas.

Como visto, a questo est correta.

19) (TCU/Analista de Controle Externo/Tecnologia da Informao/2008) Para confirmar a suspeita de que a indisponibilidade apresentada por um host da rede de computadores de uma organizao est sendo causada por um ataque do tipo smurf, o administrador dever verificar se h um grande nmero de pacotes ICMP (Internet control message protocol) do tipo request originados de vrios computadores pertencentes a uma mesma rede e direcionados a este host. A questo erra ao dizer que os pacotes so do tipo request, e na verdade so do tipo reply. Usando como fonte o livro, Network Security Bible:

LhugoJr

Pgina 12

Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0)

SmurfThis attack involves using IP spoofing and the ICMP to saturate a target network with traffic, there by launching a DoS attack. It consists of three elements: the source site, the bounce site, and the target site. The attacker (the source site) sends a spoofed ping packet to the broadcast address of a large network (the bounce site). This modified packet contains the address of the target site. This causes the bounce site to broadcast the misinformation to all of the devices on its local network. All of these devices now respond with a reply to the target system, which is then saturated with those replies.

3 Anti-vrus
20) (ABIN/Oficial Tcnico de Inteligncia/Suporte a Rede de Dados/2010) Os scanners heursticos, programas de combate a cdigos maliciosos, dependem da assinatura especfica de um vrus, que deve ser combinada com regras heursticas para a deteco de provvel infeco por vrus. Segundo Stallings, temos:
Primeira gerao: scanner simples - Exige que uma assinatura identifique um vrus. O vrus pode conter curingas, mas possui essencialmente a mesma estrutura e padro de bits em todas as cpias. Esses scanners especficos de assinatura so limitados deteco de vrus conhecidos. Outro tipo de scanner de primeira gerao mantm um registro do tamanho dos programas e procura alteraes no tamanho. Segunda gerao: scanner heurstico - No depende de uma assinatura especfica. Em vez disso, o scanner usa regras heursticas para procurar uma provvel infeco de vrus. Uma classe desses scanners procura fragmentos de cdigo que frequentemente esto associados a vrus. Por exemplo, ele pode procurar o incio de um loop de criptografia usado em um vrus polimrfico e descobrir a chave de criptografia. Quando a chave descoberta, o scanner pode descriptografar o vrus para identific-lo, depois remover a infeco c retornar o programa operao normal. Outra tcnica de segunda gerao a verificao de integridade. Uma soma de verificao (checksum) pode ser anexada a cada programa. Se um vrus infectar o programa sem mudar a soma de verificao, ento uma verificao de integridade detectar a mudana. Para enfrentar um vrus sofisticado o suficiente para alterar a soma de verificao ao infectar um programa, uma funo de hash criptografada poder ser usada. A chave de criptografia armazenada separadamente do programa, para que o vrus no possa gerar um novo cdigo de hash e criptograf-lo. Usando uma funo de hash em vez de uma soma de verificao mais simples, o vrus impedido de ajustar o programa para produzir o mesmo cdigo de hash anterior. Terceira gerao: interceptaes de atividade - So programas residentes na memria, que identificam um vrus por suas aes, em vez de sua estrutura em um programa infectado. Esses programas tm a vantagem de que no necessrio desenvolver assinaturas e heursticas para uma ampla variedade de vrus. Em vez disso, necessrio apenas identificar um pequeno conjunto de aes que indicam que uma infeco est sendo tentada e, ento, intervir. Quarta gerao: proteo completa - So pacotes compostos por uma srie de tcnicas anti-vrus usadas em conjunto. Estas incluem componentes de varredura e de interceptao de atividades. Alm disso, esse tipo de pacote inclui recurso de controle de acesso, que limita a capacidade dos vrus de penetrar em um sistema e, por consequncia, limita a capacidade de um vrus de atualizar arquivos a fim de passar a infeco adiante.

Questo errada, porque scanner heurstico no depende de assinatura especfica.

(CESPE Cmara Legislativa do DF Consultor Legislativos Analista de Sistemas: rea 3)

21) A eficincia de sistemas antivrus est relacionada com a capacidade de atualizao automtica de suas bases de conhecimento. Para otimizar o processo de atualizao, servios de antivrus corporativos devem manter uma base de dados centralizada sobre vrus conhecidos, evitando o uso de bases de dados locais. Essa base centralizada deve ser consultada pelos clientes locais do sistema de antivrus corporativo durante cada varredura realizada em uma estao de trabalho individual. Segundo o professor Scrates Filho:
O erro da questo comea a partir do trecho ..., evitando o uso de bases de dados locais ... , pois uma organizao s deve centralizar os bancos de dados para atualizao das bases locais.

Portanto a questo est errada.

LhugoJr

Pgina 13