O que são malwares e o que saber para se prevenir?

Se assim como a maioria das pessoas, você acha que os vírus de computador são todos iguais e que eles são uma das consequências negativas de um mundo conectado, esse artigo é para você!

Mais do que esclarecer o que é um vírus de computador, vamos além, explicando tudo o que é importante você saber sobre os malwares, dos quais os populares vírus representam apenas um dos vários tipos existentes.

Ao final, ficará fácil compreender o porquê é importante compreender tudo o que esse assunto envolve, no processo de prevenção contra essas importantes ameaças modernas.

O que é um malware?

De modo resumido e genérico, um malware é um programa para computador ou de outros dispositivos (ex: smartphone) e que se caracteriza por apresentar um comportamento malicioso, geralmente nocivo, visando proporcionar algum tipo de vantagem ao seu criador.

Geralmente, um malware apresenta as seguintes características:

• Disfarce – faz uso de disfarces ou métodos para enganar os usuários e se instalar nos seus dispositivos;

• Ocultação – uma vez instalado – mas também no processo de instalação – um malware costuma se ocultar no sistema infectado, pelo menos até que seu propósito seja alcançado;

• Malícia – a função ou propósito do malware, é maligno, ou seja, é contrário aos programas seguros e legítimos que usamos;

• Prejudicial – os malwares costumam ser nocivos, causando algum tipo de prejuízo ao sistema infectado e ao usuário que o utiliza;

• Vantagem – proporciona alguma vantagem, algum ganho ou serve de instrumento para atingir algum objetivo, ao seu criador.

Como praticamente todos os termos usados em informática, o termo tem origem em inglês e é resultado da junção das palavras malicious (malicioso) e software (programa).

Em outras palavras, é um software (programa) malicioso, que invariavelmente serve de instrumento ao seu criador para atingir uma variedade de objetivos, que pode ser o roubo e vazamento de dados, o ataque e controle de sistemas (ex: ataque DDoS), uma simples ação de vandalismo virtual, entre muitas possibilidades, conforme veremos mais adiante.

A história dos “vírus de computador”

O registro do primeiro vírus de computador que se tem notícia, foi do Creeper, criado em 1971 por Bob Thomas e basicamente consistiu de um experimento para demonstrar a possibilidade de replicação de códigos maliciosos.

Embora não tivesse o objetivo de causar nenhum mal, o Creeper se mostrou chato e incômodo, já que ele se manifestou através da “infecção” de um sistema após o outro e exibia a mensagem: "Eu sou o Creeper: Pegue-me se você for capaz!". Após isso, ele “pulava” para outra máquina na rede, apagando-se do computador anterior.

A primeira manifestação do Creeper foi ainda na ARPANET e naquela época a nomenclatura vírus ainda não havia sido usada, sendo que apenas algum tempo depois começaram a surgir softwares que tinham um comportamento igual ao Creeper, na medida que se espalhavam entre os computadores de uma rede, não se apagavam, mas provocavam algum tipo de dano, como por exemplo, inutilizam sistemas ou outros programas.

Por esse comportamento, esses malwares foram os primeiros a serem chamados de vírus.

É preciso lembrar, que naquela época computadores e redes de computadores, restringiam-se às grandes empresas e algumas universidades e assim, inicialmente a disseminação de malwares se deu por meios físicos, especificamente as mídias removíveis, como os disquetes.

Os vírus aumentaram em termos de variações, bem como em potencial nocivo, em paralelo ao avanço da pirataria de software, sendo que durante a segunda metade da década de 1980 e boa parte da década seguinte, foi o principal vetor de disseminação dos vírus de computador.

Já havia o caráter malicioso, mas os possíveis “ganhos” não eram tão aparentes e evidentes. Na maior parte dos casos, era “apenas” uma forma de vandalismo digital, mas que impulsionou o desenvolvimento do conceito da segurança digital e da indústria dos antivírus.

Foi apenas com o surgimento e crescimento da Internet e a capacidade de se conectar vários computadores em diversas regiões geográficas, que os crackers (hackers do mal) diversificaram os métodos de propagação, bem como a variedade de propósitos, a fim de se beneficiar do seu trabalho.

Quais os tipos de malwares?

Os vírus foram as primeiras manifestações de malwares, mas com o tempo e com o avanço comercial da Web, com a transformação digital e a ampliação das tecnologias disponíveis, tanto de acesso por parte das pessoas, bem como de dispositivos, surgiram variações de pragas digitais com características específicas e com propósitos e comportamentos diferentes.

Conforme adiantamos, os vírus são apenas um tipo ou classe de malware. Há hoje vários tipos, sendo que os critérios de classificação, levam em conta aspectos do seu comportamento e propósito.

Por essa razão, a seguir comentaremos esses aspectos em cada tipo ou classe de malware.

1. Vírus

A principal característica dos malwares classificáveis como vírus, é o fato de que costumam ser uma porção de código que se insere em um aplicativo e é ativado quando o aplicativo é executado. Ou seja, tal como os vírus biológicos, que aparecem nas células infectadas, a variante digital aparecem junto a um software legítimo.

Mas há outras características normalmente presentes:

• Replicação – tipicamente os vírus de computador têm capacidade de se replicar, gravando cópias de si mesmos em outros programas, os quais ao serem executados, ativam o vírus, que repete o processo em outro sistema;

• Malicioso – realizam ações maliciosas variadas, como a exclusão de arquivos, inutilização do programa em que aparecem anexados, a própria replicação, além de outras ações;

• Execução – a maioria dos vírus de computador são desenvolvidos para serem ativados pela execução do programa no qual estão inseridos e ocasionalmente por um evento específico, como um determinado número de execuções do programa, ou por uma data previamente estabelecida, por exemplo. Esse comportamento está relacionado com o propósito e também contribui para o mecanismo de ocultação;

• Ocultação – a fim de evitar a detecção por softwares antivírus, utilizam os mais variados métodos de ocultação, como criptografia, ou alteração do próprio código e polimorfismo, cada vez que se replicam;

• Potencial nocivo – o potencial nocivo é variável, indo “apenas” da inutilização do software ao qual estão anexados, até o apagamento de arquivos importantes e a indisponibilidade do sistema operacional.

2. Trojan

Os trojans – também conhecidos como cavalos de Tróia – são assim chamados, porque tal como o cavalo grego dado aos troianos, disfarça-se de para se inserir nos sistemas infectados.

Portanto, os trojans se fazem passar por outro tipo de programa que quando instalados em um sistema, revelam a sua real natureza maliciosa.

Da mesma forma que na história grega, seu principal papel é servir de porta de entrada para uma ação mais nociva e diferente dos vírus, não tem capacidade de replicação.

Geralmente são usados pelos criminosos digitais para apagar, modificar ou coletar dados no dispositivo infectado, ou quem sabe usá-lo como parte de uma botnet (rede de robôs), ou ainda usá-lo para ingressar na rede de computadores da qual um PC faz parte.

3. Spyware

Os malwares cuja função é monitorar / espionar furtivamente as ações que são realizadas no dispositivo em que são instalados e fornecer tais dados ao seu autor, recebe o nome de spywares. A classificação é resultado da fusão das palavras spy (espião em inglês) e software.

O monitoramento pode incluir histórico de navegação na Internet, programas utilizados pelo usuário, mensagens de e-mail enviadas, datas, horários em que as ações foram executadas, etc.

Não costumam ter capacidade de autorreplicação. Frequentemente são capazes de monitorar as atividades do usuário em tempo real e as informações coletadas são enviadas para seu criador, para uso e finalidades diversas, como avaliar o potencial da vítima.

4. Keylogger

Os keyloggers têm comportamento semelhante aos spywares, na medida que também coletam dados e os envia ao seu autor, mas os dados obtidos são exclusivamente relativos a quais teclas do teclado são utilizadas, ou seja, tudo que é digitado é sabido pelo autor do malware.

O nome desse tipo, é resultado das palavras keyboard (teclado) e logger (registrador).

Por esse comportamento, segundo algumas classificações, os keyloggers nada mais são do que spywares especializados em criar registros do teclado.

5. Screener

Os screeners também costumam constar como outra variação especializada de spyware.

No entanto, diferentemente dos keyloggers, o seu objetivo é realizar a coleta e o envio das imagens das telas do computador (Print Screen) no qual é instalado a intervalos regulares de tempo ou por eventos específicos, como por exemplo, a abertura de um navegador web ou execução de um aplicativo de banco.

Dessa forma o seu autor tem conhecimento visual de tudo que é feito pela vítima em potencial.

6. Wiperware

O tipo wiperware, é também conhecido como limpador ou cleaner e deriva do verbo inglês "to wipe", que significa "limpar" ou "apagar".

Alguns também classificam como o “vândalo digital”, já que tem por objetivo destruir conteúdo, geralmente apagando dados em HDs ou tornando-os inutilizáveis.

Há duas variações em termos de comportamento, sendo que na primeira, copiam-se os dados por parte do autor, os quais são posteriormente removidos do dispositivo. Na segunda variante, apenas são apagados os dados.

Essa classe de malwares tem alguns dos programas mais nocivos e mais famosos pelos estragos que foram provocados e pela quantidade de vítimas, já que a partir da infecção do sistema alvo, o malware localiza e apaga arquivos sensíveis e/ou corrompe o sistema de arquivos e após isso, grava no disco rígido dados aleatórios nas regiões dos dados removidos, a fim de impedir a sua recuperação.

É mais comum sua ocorrência em situações de conflitos e hacktivismo.

7. Worn

Os worns pertencem a uma classe também conhecida como vermes.

Sua principal característica e que é responsável pela classificação, é a capacidade de se espalhar de um sistema para outro, sem depender de nenhuma ação específica do usuário do sistema infectado.

Frequentemente exploram vulnerabilidades e bugs de computador presentes em sistemas operacionais ou softwares instalados nesses sistemas, para se disseminarem.

Por não depender de ações dos usuários e pelo fato de não haver sistemas livres de falhas, constituem uma das classes mais bem-sucedidas de malware e potencialmente nocivas.

8. Banker

Diferentemente de outras classes, essa pode ter comportamentos de várias delas.

O aspecto que define esse tipo de malware, é o seu propósito, já que é especializado no roubo de dados bancários.

Para tanto, pode combinar comportamentos de trojans, spywares, screeners e keyloggers, além de outras características específicas, como a capacidade de se replicar, como fazem os vírus.

É uma das classes que mais potencial nocivo oferece, já que pode provocar perdas financeiras severas.

9. Adware

O nome dado a esse tipo, em parte explica seu propósito, que é exibição de anúncios (advertisement).

O principal malefício associado, é que geralmente os anúncios são de conteúdo indesejável, como por exemplo, pornografia. O autor ganha pelo modelo de publicidade online que remunera por visualização / exibição. Algumas vezes, o conteúdo se clicado, também pode estar associado a outros tipos de malware, já que esse tipo de monetização não tem padrões convencionais e tampouco limites éticos.

Não bastasse tudo isso, muitas vezes geram um grande volume de janelas pop-up, as quais são exibidas sucessivamente e se o dispositivo não tem memória e/ou processamento suficientes, bem como boa largura de banda para suportar tal comportamento, pode até deixar de responder.

10. Ransomware

Os ransomwares são a classe que mais tem representado ameaça ao mundo digital, nos últimos anos.

Como os demais malwares, seu nome é resultado de sua principal característica, que é o pedido de resgate (ransom, em inglês) para restituição do acesso ao conteúdo afetado.

Isso porque na sua manifestação mais comum, esse tipo de malware realiza a criptografia de todos os arquivos sensíveis do sistema infectado, bloqueando o seu acesso por parte do usuário a não ser que uma quantia seja paga como resgate, geralmente em criptomoeda.

Na variante conhecida como “ransomware crypto”, “apenas” os arquivos do usuário são criptografados, sendo que os arquivos-alvo costumam ter as seguintes extensões:

• Arquivos do Microsoft Office – .xlsx, .docx e .pptx além de versões mais antigas;

• Imagens – .jpeg, .png, .jpeg, .gif;

• Arquivos de programas diversos – .dwg, .cdr, .psd, .pdf;

• Arquivos de dados – .sql e .ai;

• Vídeos – .wav, .avi, .m4a, .mp4.

A outra variante comum, conhecida como ransomware locker, ou ransomware não criptografado, ou ainda ransomware de bloqueio de tela, o malware geralmente bloqueia o acesso ao sistema operacional.

Nesses casos, será exibido um popup na tela, explicando que o sistema foi bloqueado e contendo instruções sobre como pagar o resgate para recuperar o acesso.

11. Miners

Com surgimento e o avanço de muitas criptomoedas, particularmente desejadas pelos momentos em que houve uma grande valorização, surgiu uma classe de programas que tem por objetivo sequestrar poder de processamento das máquinas em que estão instalados, para minerar criptomoedas.

A preocupação com a ocultação e uso de métodos para não ser identificável pelos antivírus, aliado ao elevado consumo de processamento e memória RAM, são os principais aspectos dessa classe;

12. Botnet

Não é exatamente uma classe de malwares, mas cujo propósito é obter controle de vários computadores ou servidores de diferentes redes e a partir daí, comandar todos remotamente de um só ponto e realizar uma mesma ação simultaneamente e em grande escala.

É o método mais usado para ataques DDoS.

Para cumprir esse objetivo, podem ser combinados trojans e worns, por exemplo, razão pela qual é mais difícil classificar como os tipos anteriores.

Como ocorre a infecção por malwares?

Os autores dos malwares usam vários métodos e técnicas para disseminá-los, para atingir uma série de dispositivos eletrônicos e redes de computadores. Para tanto, é comum o uso de engenharia social para tornar os golpes online mais difíceis de serem identificados.

As formas mais comuns de disseminação dessas pragas virtuais, são as que se seguem:

• Serviço de e-mail – vem sob a forma de anexo de e-mail ou um link no corpo da mensagem. Geralmente o texto do e-mail tem por objetivo gerar interesse ou a curiosidade de quem recebe. Pode ser uma atualização de segurança do seu banco, fotos comprometedoras, notícias, etc. Esse tipo de ação é conhecida como phishing;

• Downloads – quando você efetua o download de conteúdos sem que tenha verificado a fonte do download / site ou a origem de onde o conteúdo está sendo baixado;

• Pirataria – instalação de programas pirateados. O pirata de computadores, não é um altruísta que deseja lhe fornecer gratuitamente programas originalmente pagos. Geralmente o seu pagamento a ele pelo programa adquirido, vem por tornar seu computador ou dispositivo apto à instalação de algum programa malicioso que vai lhe dar algo em troca, como por exemplo, torná-lo um zumbi de uma botnet;

• Sites – é comum a invasão de sites e criação de sites falsos / fraudulentos, para entre outras ações incluir seus malwares neles. Ao acessar esses sites, os usuários têm um malware instalado nos dispositivos que realizaram o acesso;

• Wi-Fi público – redes Wi-Fi públicas e sem proteções podem ser alvo de disseminação de malwares, na medida que os mecanismos e políticas de segurança costumam ser frágeis ou nem haver nenhuma;

• Roteadores / Modens – há marcas e modelos de roteadores e modens cujo firmware têm falhas de segurança que permitem que sejam acessados remotamente e assim a rede que utiliza tais modens é vulnerável e o acesso não autorizado por parte de invasores, é razoavelmente simples. É preciso também adotar um conjunto de configurações mais seguras no roteador Wi-Fi;

• Redes empresariais – redes de empresas se não são administradas de modo a controlar o fluxo de dados e as ações dos usuários, podem ser foco de propagação de malwares, especialmente quando há intranet, discos virtuais e conteúdo colaborativo. Um único malware em um dispositivo de usuário, pode comprometer todos os pontos da rede. É essencial criar e manter uma política de segurança em TI.

Como se prevenir de malwares?

A principal medida para frear a disseminação de malwares, é a informação.

Conhecer quais as classes de malwares, como se manifestam e seu comportamento de disseminação, ajuda evitar que se tenha um dispositivo comprometido, uma vez que diminui as chances de exposição, mesmo quando os usuários estão sob uma infraestrutura robusta em termos de segurança.

Diz-se que a força de um sistema ou infraestrutura de TI, é determinada pelo seu elo mais fraco e que muitas vezes, é o usuário.

Inclusive os autores de malwares contam justamente com a falta de informação por parte da maioria dos usuários, para terem sucesso no alastramento das pragas virtuais e alguns dos mecanismos de propagação, apoiam-se nessa premissa básica.

A seguir uma lista de aspectos que devem ser observados cuidadosamente a fim de evitar o comprometimento de seus dispositivos por malwares:

• Tenha o sistema operacional do seu dispositivo (notebook, smartphone, tablet, desktop, etc) sempre atualizado, como por exemplo, o Patch Tuesday. Alguns tipos de falha de segurança podem ser exploradas fazendo com que o invasor tenha controle do sistema e assim o mesmo estaria suscetível a vários tipos de ameaça;

• Mantenha instalados sistemas de segurança completos, com firewall, antivirus (na verdade antimalware), filtros de DNS e sempre os atualize ou deixe a atualização automática habilitada;

• Evite utilizar mídias removíveis (pendrives, CDs, DVDs, etc) cuja procedência não seja conhecida;

• Lembre-se que da mesma forma que você está suscetível a ter um dispositivo infectado, seus conhecidos também. Portanto, conteúdo de uma pessoa conhecida não implica que o mesmo esteja livre de malwares;

• Evite expor dados sensíveis e importantes a redes ou ambientes em que não tenha certeza quanto à segurança. Se tiver que se conectar a redes inseguras, procure utilizar usuários secundários, sem privilégios de administrador e que não deem acesso a todos os seus dados;

• Quando receber mensagens de e-mail cuja procedência não possa ser verificada ou se tiver dúvidas quanto sua origem, antes de prosseguir, procure checar com o remetente o envio da mensagem. Em dúvida, nunca clique em links ou abra anexos. Em alguns casos, a simples abertura da mensagem pode constituir perigo;

• Não confie 100% em seus programas antimalware. Nenhuma proteção é totalmente efetiva e assim como as doenças que afetam as pessoas, as vacinas vêm somente depois da descoberta da doença. Até que isso ocorra, algumas vítimas serão infectadas;

• Use sistemas operacionais mais seguros, bem como navegadores que privilegiam a privacidade e segurança;

• Adote senhas fortes e seguras e altere as mais importantes periodicamente. Considere o uso de um gerenciador de senhas, softwares de autenticação, bem como habilite a autenticação multi-fator em todos os serviços que houver a opção;

• Em computadores compartilhados, especialmente se for usado por crianças, habilite o controle parental;

• Resguarde a sua privacidade online, uma vez que não há como garantir a segurança, sem privacidade.

Se o pior ocorrer e você suspeitar que tem um sistema comprometido por um malware, evite trocar dados com terceiros e isole o dispositivo infectado da rede e da Internet, até que tenha feito uma varredura completa contra a presença de malwares. Se não souber exatamente o que fazer, peça ajuda a um especialista.

Computadores infectados, costumam apresentar notável degradação de desempenho e/ou comportamentos anormais, como programas que abrem ou fecham sozinhos, arquivos que somem ou arquivos com nomes estranhos.

Há soluções online que podem ser usadas em caráter complementar a solução que você tem instalada no computador e que não concorrem com ele na identificação de malwares.

Ao usar outros scanners em caráter complementar à solução de segurança que você tem instalada na sua máquina, é importante, pois nenhum antimalware é 100% efetivo.

Também há classes de malwares bastante especializados e que também exigem programas específicos para sua detecção e limpeza, que é o caso dos bankers.

Conclusão

Há diferentes tipos de malware e independente de qual seja a classe, as consequências podem ser sérias e representar perdas importantes. A principal medida para se resguardar, é manter todos os usuários informados e adoção de um conjunto bem definido de medidas visando diminuir as chances de infecção.