Um exploit, em segurança da informação, é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sstema computacional – como o próprio sistema operativo ou serviços de interação de protocolos (ex: servidores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers  a fim de ganhar acesso não autorizado a sistemas. Por isso muitos crackers não publicam seus exploits, conhecidos como 0days, e o seu uso massificado deve-se aos script Kidlles.

Até meados dos anos 1990, acreditava-se que os exploits exploravam exclusivamente problemas em aplicações e serviços para plataformas Unix. A partir do final da década, especialistas demonstraram a capacidade de explorar vulnerabilidades em plataformas de uso massivo, por exemplo, sistemas operacionais Win32 (Windows 9x, NT, 2000 e XP). Como exemplo temos o CodeRed, o MyDoom, o Sasser em 2004 e o Zotob em 2005.

Como atua

Para um exploit atacar, o sistema precisa ter uma vulnerabilidade, ou seja, um meio de comunicação com a rede que possa ser usado para entrar, uma porta ou uma consola.

Um exploit muito usado é no sistema RPC do Windows:

• o usuário localiza a porta e envia à porta RPC uma sequência de bytes, que são interpretados como dados pelo servidor
• quando são recebidos, estes dados deixam propositadamente o sistema em pane
• o sistema passa o controle a estes próprios dados que então são uma sequência de ordem para dominar a CPU.

Desta forma esta sequência de informações toma conta do PC e abre-o para o hacker que aguarda na outra ponta.

No sistema Linux, quando existem vulnerabilidades, sempre são publicadas, como já houve no sistema Apache,  Samba ou MySQL, que também apresentam vulnerabilidades e possibilita o controle do PC por um hacker remoto. Com isso um hacker pode ter acesso a todos seus arquivos pessoais, Usando o proprio CMD do windows.

O que é um overflow

Para entender o que é um overflow, a tradução da palavra ajuda muito. Overflow significa inundação e, quando aplicada como termo da informática, significa um transbordamento que causa uma inundação.

Como os computadores trabalham apenas com bits, as menores unidades de informação, um overflow numa máquina deste tipo nada mais é do que um transbordamento de bits. Mas como acontece um transbordamento de bits?

Os computadores possuem chips especiais chamados de memória. Estes chips especiais recebem o nome de memória porque guardam informações… informações em forma de bits. Quando um programa está sendo executado, a sequência de instruções que deve ser seguida, a instrução que está sendo executada no momento, endereços, valores de constantes, valores de variáveis, etc, ficam armazenados na memória. Para que não haja bagunça, a memória é “loteada”, ou seja, são definidas áreas da memória para guardar cada coisa em seu lugar. Estas áreas, assim como em qualquer loteamento, possuem limites e são conhecidas como buffers.

Cada “terreno” da memória (ou buffer), por sua vez, é dividido em células ou posições de memória. Cada uma destas posições é identificada por um número, o chamado endereço de memória. Em cada células pode ser guardado apenas um bit. Quando é preciso guardar bits na memória, o que geralmente é feito em grupos de 8 (byte), 16 (word), 32 (double word) ou 64 (quadword), também é preciso indicar o endereço no qual os bits devem ser colocados. Quando, por exemplo, o valor de uma variável de 32 bits é enviada para um endereço no finzinho do buffer onde, digamos, há apenas 20 células disponíveis, os bits da variável dão uma de MST e 12 deles invadem o terreno de algum vizinho, ou seja, causam um overflow.

Resumindo: um overflow acontece sempre que alguns bits transbordam e invadem uma área que não lhes pertence
A sequência de execução de um programa

Existem programas muito simples que seguem apenas uma linha de execução. Isto significa que as instruções colocadas no buffer de instruções da memória são seguidas da primeira até a última sem qualquer possibilidade de desvio. Por exemplo, se cada instrução tiver 5 bits (é apenas um exemplo!) e as instruções estiverem armazenadas nos endereços 100 até 200, elas serão executadas sequencialmente, uma atrás da outra: 100, 105, 110… 200.

A maioria dos programas não segue o modelo que acabei de citar. Por exemplo, quando uma determinada tarefa deve ser repetida algumas vezes, costuma-se criar uma subrotina que é chamada toda vez que esta tarefa precisar ser executada. Isto significa que, em determinados pontos da linha principal de execução, ocorre um desvio para uma linha secundária. Para que o programa não “perca o fio da meada”, guarda-se o endereço da instrução que chamou a subrotina, a execução é desviada para o endereço desta subrotina e, quando o serviço estiver terminado, ela tem como retornar para o endereço da chamada. Para guardar estes endereços (imagine a linha principal chamando uma subrotina, que chama outra subrotina, que chama outra…) existe uma área especial da memória chamada pilha (stack).
Buffer overflow

Existem dois tipos de buffer overflow, o stack overflow e o heap overflow. O mais fácil de entender é o transbordamento de bits para a área reservada da pilha (stack overflow). Como já vimos, a pilha guarda, entre outras coisas, os endereços de retorno. Se, de repente, a linha de execução entrar por um atalho e, no meio do processamento, houver um stack overflow que injeta bits que atropelam o endereço de retorno, o programa fica sem pai nem mãe – volta para um ponto diferente do ponto de chamada ou então fica perdido de vez. Neste caso, geralmente a máquina trava ou dá algum tipo de mensagem de erro que os mortais comuns não sabem o que quer dizer.

O segundo tipo de buffer overflow é o heap overflow. A área da memória que é ocupada dinamicamente pelo programa é chamada de heap. Quando o programa começa a rodar, ele vai buscar informações no sistema operacional para saber onde há “terrenos” livres, ou seja, áreas de memória disponíveis. É nestas áreas que o programa vai colocar vários dados com as quais irá trabalhar. Este tipo de ocupação é chamado de dinâmico porque é o aplicativo que faz a solicitação e porque, cada vez que o programa é executado, esta área pode ser diferente. Bem, em todo caso, o heap overflow ocorre quando bits invadem a área reservada para o heap.
Explorando os overflows

Além do transtorno que os overflows podem causar, a coisa pode ficar bem mais séria se eles forem usados para injetar código estranho num programa. Estes são os chamados exploits. Novamente, o exemplo mais simples é o exploit de um stack overflow. Os crackers, com frequência, costumam aproveitar este tipo de vulnerabilidade. Como?

Digamos que um aplicativo peça ao usuário que digite um valor. O cracker, sabendo que a checagem do tamanho deste valor não é feita (ou que é mal feita), insere um valor que é bem maior, ou seja, que possui muito mais bits. Como o valor não “cabe” na área que foi designada para esta variável, os bits excedentes invadem a pilha e destroem o endereço de retorno. Até aí, nada de excepcional – o programa vai ficar perdido ou travar. Mas, e se, ao invés de digitar um valor qualquer, os bits excedentes deste valor sejam exatamente os bits que compõem um endereço onde esteja localizado um chamado código malicioso?

Código malicioso é uma sequência de instruções que realizam a tarefa que o cracker quer. O aplicativo, quando encontra o endereço de retorno falso, segue cegamente a ordem, vai para o endereço indicado e executa todas as instruções que encontra pela frente. Se o safado que colocou o código malicioso é dos “bons”, ele coloca no fim do código malicioso uma instrução para que o fluxo de execução retorne para o endereço de retorno correto. Moral da história: a máquina ou o aplicativo não travam e, na maioria das vezes, até se descobrir que houve um desvio forçado (com roubo de informações e outras gracinhas), pode ser tarde demais.

FONTE: http://www.numaboa.com

Passado quase um mês do lançamento do KDE 4.3.0, a versão 4.3.1 acaba de ser liberada.

A nova versão é um release de bugfixes, traduções e manutenção. Ou como informado no próprio site do KDE, é um update mensal do KDE 4.3 (o que pode vir a ser algo interessante). Apesar de não trazer novos recursos e ferramentas, a atualização é recomendada. Leia o anúncio oficial ou o ChangeLog completo.

Se você for usuário de Ubuntu 9.04 e suas variações (Edubuntu, Xubuntu, Kubuntu), saiba que os pacotes para a nova versão já estão disponíveis. Para instalá-los adicione a seguinte linha a seus repositórios (/etc/apt/sources.list):

deb http://ppa.launchpad.net/kubuntu-ppa/backports/ubuntu jaunty main

É só baixar os pacotes .DEB abaixo:

Gimp
libgimp2.0
gimp-data

Todos eles são de altoria confiável …

Vai que você precisa do Internet Explorer 6 (cruz crédo) no seu Ubuntu para acessar aquele maldito site de telefonia que só entende o browser da Microsoft. O que você faz?

Instale via CrossOver Pro 7.1.0 (versão trial, de testes).

Neste link você terá um passo-a-passo com screens de tela. Facílimo.

Ruim mesmo é ter que instalar o IE6…

Na nova versão, o arquivo é no formato .DEB, ou seja, com um duplo-clique o babado é instalado e você começa a instalar tudo o que o sistema precisa para ficar “perfeito”.

Dê uma olhada na lista de coisas que ele instala para você, sem precisar de muito esforço:

Na opinião de algumas pessoas, eles preferem usar o terminal, pois assim tem mais controle do que es está instalando, mas, vamos dizer que você tem um sistema zerado, acabado de ser instalado e quer ganhar tempo. Então use o Script Perfeito. É necessário estar conectado a internet e ter banda larga, pois o bichinho come uma banda danada.

Eu recomendei esse sctipt, principalmente porque quando oferecemos o ubuntu para um novo usuário (rwindows), ele vai instalar todos os codecs, programas essenciais e outros mais percebendo como além de bom, é fácil a esse “novo mundo“.

Eu que costumo fazer muita gente experimentar o Ubuntu, gosto de mostrar como ele é fácil, já que a mudança, no início causa desconforto…  Afinal, são anos e anos usando aquela porcaria anterior.

Hacker é alguém que tem o espírito de ação. O espírito de ação força alguem a ir em frente, passando pelos desafios, descobrindo novas coisas, sempre aceitando somente uma breve explicação de como as coisas funcionam.

Vou dar um exemplo, que aconteceu comigo a alguns anos atrás… Eu estava lendo algums manuais de arquiteturas Intel, quando eu achei algo realmente interessante: “The Intel System Management Mode (SMM)” (Modo Intel de Gerenciamento de Sistema) é tipicamente usado para executar algumas rotinas específicas para o gerenciamento de força. Depois de entrar no SMM, várias partes de um sistema podem ser desligadas ou desativadas para minimizar o comsumo de energia. SMM opera independentemente de outros sistemas de software, e pode ser usado para outros propósitos também.

Então eu comecei a pensar comigo mesmo, que outro tipo de propósitos são esses… procurando pela internet, somente via as mesmas respostas, esse recurso é para gerenciamento de energia… “Eu comecei a tentar melhor o que ele oferecia, qual a diferença dos modos normais de operação para este, como colocar algum código ali, como executar ele e, uma idéia realmente veio a minha cabeça: Usado para oferecer algum tipo de checagem integridade de sistema”. Um ano depois, alguém em uma conferência lançou alguns mal usos para o mesmo modo de operação, dando mais informações sobre ele. Aquelas informações juntas com as minha buscas anteriores e um pouco mais de estudo, me davam um sistema completo pra proteger a integridade do kernel e ele tem se transformado e apresentado em diferentes palestras que eu dei ao redor do mundo.

• Hack in the Box Conference – Dubai
• VNSecurity Conference – Vietnam
• XCon Conference – China
• Hack in the Box Conference – Malaysia

Então, eu sou um cara brilhate??? Não eu não sou. Eu tenho poderes mágicos? Não, não tenho. Eu tenho somente uma grande motivação. A moticação de agir, ler, estudar e ir mais ao fundo.

Gaste muito tempo procurando alguma coisa que talvez te dê uma coisa nova, talvez não. Não é sempre tão excitante como os seriados, então, você está realmente motivado??

Feito por : Rodrigo Rubira Branco (BSDaemon)

Geralmente, quando um pesquisador de segurança descobre um novo problema de segurança, ele avisará o vendedor afetado (ou projeto, isso se ele for um software de código fonte aberto), fornecendo o máximo de informações possíveis (como funciona o exploit em algumas situações). Em seguida, o pesquisador e a empresa coordenam em conjunto, uma data de lançamento, de tal forma que a empresa tenha tempo suficiente para criar o patch/correcão e avisar os clientes, antes da vulnerabilidade ser publicada… (alguns pesquisadores gostam de total transparência e liberam tudo para o publico, sem esperar pelo patch, mas vamos esquecer isso por enquanto).

Qual é o problema aqui? O problema é quando o cara que descobriu a vulnerabilidade não é um profissional de segurança orientado. Se o pesquisador é anti-ético, o que pode ocorrer? Agora, ele tem uma vulnerabilidade que pode ser explorada e não tem correções… e pior: Ninguém está ciente de tal ameaça!

Se os desenvolvedores não sabem sobre os princípios de segurança da programação segura, e os pesquisadores de segurança não revisam periodicamente o código gerado, ninguém jamais saberá sobre essas falhas ‘ocultas’… e essas falhas, continuarão a ser exploradas por atacantes maliciosos(crackers) e só serão encontradas, por experientes analistas forense (em algumas situacões)…

Além disso, existem várias técnicas novas que têm sido usadas e liberadas, sobre como criar códigos avançados de injeções, para serem utilizados com 0days para não tocar discos e para um desvio completo da analise forense…

Essa é a importância dos hackers. Quem vai entender as técnicas de ataque, para melhorar a segurança dos sistemas, para desenvolver ferramentas capazes de analisar e descobrir avançados rootkits e para dar aos profissionais de segurança, informações suficientes para serem utilizadas em reais ataques avançados.

O próprio site do HackerTeen já foi pichado por crackers, assim como o securityfocus.com, mcafee.com (na verdade o site de serviços de segurança do sites deles), hackinthebox.org e zone-h.org. Todos apresentaram  ulnerabilidades e devem ter evoluído sua segurança após a pichação, mas ainda assim não podem garantir que estão 100% seguros e nunca mais serão pichados.
Sites famosos estão mais sujeitos a ataques, pois conferem notoriedade e fama ao pichador. Aliás, nem todo cracker está interessado em dinheiro e fraudes. A maioria está interessada em ganhar notoriedade entre seus pares, outros crackers.

Identificando vulnerabilidades…

Uma classe de vulnerabilidades que permitem execução de código malicioso são os ataques de Injeção de Código, ou como são conhecidos na Internet, os famosos “injections”. Eles permitem que um atacante insira um determinado código ou mesmo reescreva todo o conteúdo de um website. Para que isso ocorra, o site deve estar vulnerável a este tipo de ataque.

Principais técnicas…

Dentre as técnicas de injection disponíveis, as mais famosas são as técnicas de SQL Injection. Estas técnicas aproveitam falhas na aplicação ou práticas ruins de desenvolvimento para explorar o servidor remoto.

Na prática…

Para termos uma idéia de como isso ocorre, vamos fazer uma busca simples no Google. Vamos procurar pelo meu nome, e então, observe sua barra de endereço:

http://www.google.com.br/search?hl=pt-BR&q=yago+&btnG=Pesquisar&meta=

Note que este endereço é composto de uma seqüência de variáveis, cada uma com um valor diferente. A variável q (q=yago) é a variável utilizada pela aplicação do Google que faz a busca em um banco de dados, e então apresenta o resultado ao usuário.

Vamos fazer outra busca. Vamos procurar pelo nome Yago + hackerteen:

http://www.google.com.br/search?hl=pt-BR&q=yago+%2B+hackerteen&btnG=Pesq…

A variável q agora possui os valores yago+%2B+hackerteen, indicando agora ao software para buscar pelas palavras “Yago” e “Hackerteen” no banco de dados.

Faça você este teste…

Copie o endereço acima, e cole no seu navegador, substitua a palavra ‘Yago’ por ‘segurança’, e então aperte ‘Enter’. Note que tanto o resultado da busca quanto as palavras na caixa de pesquisa foram alteradas, ou seja, colocamos um valor na URL e ela afetou o comportamento e a visualização da página da aplicação Google, o mesmo príncipio utilizado no SQL injection.

Claro que isso não é uma invasão, e não foi usada nenhuma técnica especial além da observação.

Sabendo que este comportamento é possível em websites e aplicações web, os crackers passam a observar e testar o site do alvo em busca de alguma informação que possa levar a uma falha, como por exemplo, uma consulta que retorna erro ou uma página inexistente, ou seja, ele busca um indicio que é possível realizar SQL Injection na página.

Como pensa o cracker…

Um cracker pode fazer uma consulta incluindo operadores especiais no Google com a seguinte string:
allinurl: produto.asp?id=

A busca acima poderia indicar a existência de listagens de produtos em um site de comércio eletrônico. Em pouco tempo, o cracker consegue uma lista de sites que correspondem a essa busca. De posse desta lista, o cracker começa a procurar por vulnerabilidades.

Vamos imaginar que o seguinte site foi encontrado: www.sitealvo.com.br/produtos.asp?id=666

Para testar o site, o atacante simplesmente acrescenta um ‘ ao final da URL, digitando assim o seguinte endereço: www.sitealvo.com.br/produtos.asp?id=666′

Um site programado com possíveis problemas de segurança, retornará um erro semelhante a este:
Microsoft OLE DB Provider for SQL Server error ’80040e14′
Line 1: Incorrect syntax near ”.
/produto.asp, line 12
Ao contrário, se a programação do site estiver mais cuidadosa, ele retornará algo como a seguinte frase:
“Caracteres Inválidos no campo id”

Conhecimento em programação…

É ai que entra o conhecimento em programação do cracker. A partir da localização deste erro e do conhecimento de que existem práticas descuidadas de programação, ele poderá inserir comandos e scripts que serão executados pelo site da vítima, levando à pichação e mesmo à fraude, como alteração de preço de produtos, negação de serviços, implementação de backdoors e outras atividades ilicítas.

Exemplo: www.sitealvo.com.br/produtos.asp?id=666 and ‘SELECT password FROM costumers’
Com este comando, o cracker traria as senhas dos clientes cadastrados no site, por exemplo

Reforce a segurança do seu website…

Para se proteger desses ataques, é necessário utilizar boas praticas de programação aliadas a uma política de segurança local dos servidores web, ou “hardening”. Para prevenir alguns problemas é recomendado que alguns parâmetros de PHP sejam configurados no php.ini:

• allow_url_fopen = Off
• safe_mode = On
• magic_quotes_gpc = On
• display_errors = Off

Você estará protegendo…

Este conjunto de instruções impedem que URLS externas sejam interpretadas pelo PHP, obrigam as aplicações a rodarem com UID/GID definidas, protegem caracteres especiais utilizadas em SQL Injection, como o ‘ (aspas) do exemplo acima e a última impede que mensagens de erros sejam mostradas no browser, dificultando a análise do atacante.

Para os servidores de banco de dados…

Utilize criptografia nas senhas, utilize privilégios distintos para o dono do banco e para os objetos do banco. O programador deve sempre fazer tratamentos das querys e sempre checar os dados antes de enviar para o sistema gerenciador de bancos de dados. Por exemplo, se você espera que o usuário digite um número, tenha certeza de que o dado realmente é um número válido, antes de realizar a consulta.

Para a servidor web…

• Tenha cuidado com as permissões do diretório do servidor web, permissões incorretas de gravação em um arquivo php, por exemplo;
• Fique atento às permissões especiais para diretórios;
• Esconda as assinaturas que exibem a versão do servidor e módulos utilizados: Para o Apache, habilite a opção “server signature off” no arquivo de configuração;
• Mantenha os serviços sempre atualizados, e não mantenha instalado aquilo que você não pretende utilizar, por exemplo, NFS em um servidor Web;
• Tenha cuidado com as permissões dos executáveis em servidores web. Um atacante pode usar ferramentas simples como clientes FTP e clientes web (o wget, por exemplo) para iniciar o download de código malicioso ou kits de invasão para o servidor em ataque;
• Tenha cuidado com os parametros de montagem de dispositivos;
• A partição /tmp é o alvo preferido de crackers porque possui permissão de escrita, leitura e execução para todos. O uso de técnicas simples, como configurar a partição com parâmetros noexec impede que o cracker execute alguma ferramenta a partir do /tmp;

Observe as permissões especiais…

Existem permissões especiais, como o SUID BIT, que permitem que qualquer aplicação seja executada com permissões de root, o que pode comprometer a segurança. Faça testes periódicos e elimine arquivos com permissão SUID.

Uma maneira simples de efetuar esta busca é executar o comando: # find / -perm -4000

• Sempre analise o conteúdo das pastas que podem ser escritas pelo usuário que executam os serviços web;
• Sempre cheque a integridade dos arquivos disponibilizados no seu servidor web. A instalação de uma aplicação automatizada para isso, como o AIDE, facilita bastante a criação das somas de checagem e sua conferência;
• Analise constantemente os registros de atividades (logs) do seu servidor;
• Analise constantemente as informações vitais do seu servidor: consumo de disco, banda e memória. Alterações significativas podem ser sinal de algo errado;
• Elimine serviços não usados;
• Mantenha uma política de atualização de software;
• Saiba quem acessa e o que faz em seu servidor. Uma política de acesso controlada com uso de sudo e registro de operações é fundamental;
• Documente: A inexistência de documentação pode levar a soluçoes de contorno que podem expor a segurança;
• Comunique: Modificações não comunicadas e não analisadas podem levar a problemas de segurança;
• Mantenha-se antenado: Busque informações sobre problemas de segurança enfrentados por outros administradores ou nos boletins de segurança.
• Observe as permissões especiais…
• Utilize práticas de desenvolvimento seguras;
• Faça tratamento de erros nas mensagens;
• Nunca acredite nos dados que foram digitados, sempre efetue validações. Tanto no lado cliente como no lado servidor;
• Crackers são criativos, sua defesa também é a criatividade. Passe um bom tempo imaginando o que faria se fosse um cracker.;
• Não acredite que algo é seguro. Ele pode estar seguro, mas mentes criativas estão tentando encontrar formas de torna-lo inseguro.

Teste as aplicações antes que alguém faça isso por você!

Apesar dessas medidas serem interessantes, elas não garantem segurança 100%. Nenhuma medida terá 100% de garantias. A insegurança estará sempre à frente da segurança, basta assistir ao filme “Prenda-me se for capaz”

Feito por : YAGO

Um exemplo disso são os vírus e os anti-vírus. Vírus são programas que funcionam como parasitas e infectam todo o sistema. Estes programas se instalam na parte central do computador e com o tempo infectam todo o Sistema Operacional. Eles são criados por programadores.

Você sabia que 94% dos computadores possuem algum tipo de erro que prejudicam sua performance? Os Crackers procuram, diariamente, por estas vulnerabilidades.

Assim como continuamos evoluindo tecnologicamente, observamos que vírus, spams e malwares também avançam, criando novas e cada vez mais poderosas formas de invadir nosso sistema. Trata-se de uma batalha contínua.

Muitas vezes os crackers estão em um ritmo mais rápido, o que pode resultar em milhares de computadores infectados.

As técnicas abaixo são usadas para esconder a existência de vírus no sistema. O ponto central é camuflar a infecção. Precisamos entender então sobre as técnicas usadas para esconder a execução do vírus do sistema operacional.

Qual sistema é mais confiável? Linux ou Windows?

O panorama de infecções causadas por vírus tem mudado. Não estamos falando apenas de windows, mas de Linux também.

Até pouco tempo atrás, os crackers escolhiam o Windows como alvo principal, já que conheciam suas vulnerabilidades. No entanto, como Linux continua crescendo em popularidade, os criadores de vírus tem trabalhado diretamente em função disso.

Vírus desenvolvidos para Linux:

• Alaeda – Virus.Linux.Alaeda
• Bad Bunny – Perl.Badbunny
• Binom – Linux/Binom
• Bliss
• Brundle
• Bukowski
• Diesel – Virus.Linux.Diesel.962

Trojans desenvolvidos para Linux:

• Kaiten – Linux.Backdoor.Kaiten trojan horse
• Rexob – Linux.Backdoor.Rexob trojan

As técnicas para ocultar vírus

Para ser escondido, os vírus baseados em Linux e Windows trabalham de uma forma especial. As técnicas padrões não mudam, apenas a maneira de execução em cada uma delas;

1. Os vírus com os códigos maliciosos escritos, são escondidos nas pastas de inicialização fazendo com que cada executável ou binário seja iniciado depois de um processo de boot com sucesso, junto do carregamento das pastas de inicialização. Isso faz com que o vírus seja mantido em estado de execução sempre que o sistema é ligado;

2. O executor do vírus normalmente cria alguns arquivos e diretórios padrões baseados no software do sistema para enganar os usuários e esconder os códigos do vírus. Os processos em execução podem ser escondidos através de funções “ganchos”, o termo usado para definir esses programas é RootKit. Ele até esconde os processos para que os mesmos não possam ser mapeados facilmente pelo sistema. É uma técnica de altíssimo nível de rodar programas escondendo os respectivos processos;

3. O executor do vírus faz com que ele fique residente no registro. Nesse momento o vírus se mantém unido com o sistema operacional através do registro e executa no momento em que uma chamada de execução é feita. Ele não só modifica entradas no registro como também manipula a funcionalidade do sistema operacional que afeta seu normal funcionamento, antes de afetar a interação do usuário com o mesmo;

4. Arquivos de música são a maior fonte de vírus ocultos. O código é escondido no formato da música que quando é tocada, parece sem nenhum problema, mas por trás de um som bom, o vírus afeta o usuário do sistema;

5. O sistema Windows usa arquivos de batch com arquivos de inicialização. Os executores do vírus escondem o código nesses arquivos também. Quando um arquivo batch é executado o código corre por trás e afeta a integridade do usuário do sistema. Os vírus podem também ser acionados como um programa normal na inicialização;

6. A execução do código do vírus pode ser agendada levando em consideração o limite de tempo. No Windows é possível através do agendador de tarefas e no Linux através do CRON deamon. Então quando chega a hora certa, o vírus executa e a devastação ocorre;

7. Os vírus podem ser escondidos como páginas da web, estruturadas em HTM relacionadas com o específico serviço rodando com um link malicioso colocado em aplicações de terceiros. Por exemplo: Criação de página fake do orkut. Um programa que circula on-line que pode ajudar os crackers a construir essas páginas fake. Usuários que seguirem os apontamentos do e-mail podem ver uma mensagem de erro que contém o vídeo que eles querem ver, porém esse vídeo não toca sem a instalação de um software antes. Essas mensagens de erro incluem um link que o cracker forneceu para um programa malicioso, que entrega o vírus;

Proteja-se!

Existem alguns passos preventivos que podem ser tomados a fim de excluir os problemas causados por um vírus já residente. A solução de benchmarks padrões a ser seguida é fazer seu sistema mais robusto e livre de todos os riscos aleatórios.

1. Toda companhia precisa ter uma boa política de segurança, especialmente se os empregadores estão conectados na rede interna com servidores de missão critica ou informações corporativas importantes. A política de leitura de e-mail é apenas uma parte dessa estratégia de segurança, mas é bastante importante;

2. Organizações devem seguir a abordagem do On Access scanning que é uma ferramenta padrão de scanner de arquivos em um sistema quando é primeiramente acessado. É chamado como Tecnologia de cache de decisões que fornece alta-velocidade e performance escaneando somente os arquivos que foram modificados desde o último acesso. Muitos anti-vírus de hoje em dia tem essa funcionalidade por padrão. KASPERSKY AV está indo bem nos dias de hoje e tem feito isso com grande eficiência;

3. Anti-vírus devem ter capacidade de suportar novas versões de kernel tão bem quando o windows que deve pegar uma atualização diretamente da rede quando um sistema está junto a rede. Todos os anti-vírus como o bitDefender, McAfee, KASPERSKY são capazes disso;

4. Políticas de e-mail, devem ser atualizadas regularmente como a base de dados de novos vírus. O usuário deve fazer checagem interativa para escrutinar o conteúdo do e-mail e tentar checar o domínio que ele está se referindo. Um bom AV tem capacidades de filtrar lixo entre os e-mails também. CA Antivírus é um bom exemplo disso;

5. O sistema operacional deve ser distribuído com um bom anti-vírus, incluindo funções de antispywares, firewalls e habilidade de detectar processos escondidos chamados como root kits. Para checar rootkits no sistema linux, CHKROOTKIT é a ferramenta.

Os anti-vírus são mesmo confiáveis?

Há sempre uma guerra de anti-vírus no mercado. Encontramos, no entanto, avaliações de desempenho das opções a venda:

• Norton Antivírus 13.79%
• BitDefender Antivírus 3.94%
• CA Antivírus 1.97%
• AVG Anti-Vírus 17.73%
• Norman Antivírus and Antispyware 1.48%
• F-Secure Anti-Vírus 1.97%
• Trend Micro 5.42%
• ESET Nod32 23.65%
• McAfee VirusScan 7.39%
• Kaspersky Anti-Vírus 22.66%

Fonte: www.hakin9.org

Anti-Vírus para Linux:

• CLAMAV;
• Sophos.

Engenharia social

Não importa qual sistema operacional – Mac, Linux, NetWare, OpenVMS, Windows – você utiliza, o que eles tem em comum é que seus usuários estão suscetíveis a engenharia social e podem ser enganados com o download de um arquivo infectado, por exemplo.
Como pode observar, nenhum software irá te proteger 100%. Os crackers trabalham não apenas com informações técnicas, mas com a curiosidade, falta de informação e despreparo do usuário.

Feito por : YAGO