É crescente a quantidade de ocorrências policiais e solicitações de perícia em casos nos quais as pessoas acreditam que tiveram seu computadores “hackeados”, perdendo a posse de dados bancários, contas de correio eletrônico, blogs e perfis de redes sociais. Consequentemente o furto destas informações vem gerando, respectivamente, transferências de valores, empréstimos, pagamento de boletos, falsos e-mails, calúnia, difamação, etc. Nessas situações geralmente estaremos tratando de malwares.
O termo malware é originado da combinação das palavras malicious software e representa uma categoria de programa destinada a infectar, danificar ou furtar informações dos sistemas dos usuários, sem conhecimento nem consentimento dos mesmos.
São considerados malwares os vírus, trojans (cavalos de tróia), rootkits, worms (vermes) e keyloggers que contaminam os sistemas de diversas maneiras, sendo que a maioria decorre da ação dos próprios usuários. A execução de anexos suspeitos, visitas a sites inseguros, falta ou desatualização do antivírus, arquivos contaminados em mídias externas, como os pendrives, são as principais portas de entrada das “infecções” por malwares, mas não as únicas. O sistema operacional desatualizado, sem correções de segurança que poderiam evitar certas vulnerabilidades, também proporcionam a infecção de sistemas operacionais. As atualizações de segurança normalmente são aplicadas de forma automática, mas uma falha de configuração, um arquivo da instalação corrompido ou uma instalação de software ilegal pode impedir que isso ocorra. Alguns malwares ainda podem servir de porta de entrada para outros mais complexos e potencialmente mais danosos para os usuários.
A característica principal dos vírus e worms é a rápida propagação, sendo que os vírus, em sua maioria, possuem ação danosa e os worms não, podendo ser utilizados como veículos para a instalação de rootkits e trojans. Os rootkits são programas avançados que se camuflam de muitos antivírus, interceptando e filtrando dados de forma que não sejam detectados. Os trojans por sua vez habilitam recursos que permitem ao agente disseminador obter controle daquele sistema, operando recursos remotamente e acessando e capturando informações do usuário sem que ao menos perceba. Já os keyloggers são programas criados para que, quando instalados, capture informações do usuário e remeta-as para quem os configurou, entretanto não permitem acesso remoto ao sistema instalado. Existem keyloggers comercializados sob a “justificativa” de permitir o monitoramento dos hábitos das crianças, empregados, etc.
Nos próximos posts vamos abordar as técnicas de detecção e análise de malwares.