Você sabia que existem diversos tipos de vírus de computador? Pois é! Eles vão de vírus de macro e vírus de setor de inicialização a droppers e empacotadores. Então, conheça a seguir os tipos de vírus comuns, o que eles fazem e a função que desempenham para os invasores.
A mente humana adora categorizar as coisas, e o malware não é exceção. Portanto, existe uma forma de explicar o malware com base em como ele se espalha. Ou seja, worms auto-propagantes, vírus pegando carona em outro código ou cavalos de Tróia disfarçados. Contudo, também é possível identificá-lo pelo que ele faz nas máquinas infectadas. É o caso de rootkits, adware, ransomware, cryptojacking e malvertising, por exemplo.
Você pode encontrar muito desse tipo de taxonomia técnica, e certamente há utilidade nisso. Entretanto, em particular, pode ser útil diferenciar diferentes tipos de vetores de infecção por malware, em vez de agrupar tudo como um “vírus”, apesar do uso popular do termo. No entanto, também podemos colocar muita ênfase nesses tipos de divisões.
Como lidar?
“Muito da terminologia usada para descrever malware nos anos 90 e início dos anos 00 ainda é tecnicamente precisa. Contudo, talvez seja menos relevante do que já foi”, diz Jacob Ansari, advogado de segurança e analista de tendências cibernéticas emergentes da Schellman, uma empresa global independente de segurança e avaliador de conformidade de privacidade.
“Embora o malware das décadas anteriores tenha sido instalado no sistema de destino e executado por si mesmo sem intervenção humana, a maioria das campanhas de ataque modernas são operadas por grupos de pessoas, o que comumente chamamos de agentes de ameaças. Os invasores ainda tentam evitar a detecção e persistir apesar das defesas. E, então, fazer uso de uma variedade de linguagens de programação ou script para produzir seu código hostil.”
Por isso, Ansari e outros profissionais de segurança dividem as categorias de malware com as quais lidam. Em geral, existem duas perspectivas diferentes sobre a taxonomia de malware: você pode pensar em como os vírus fazem seu trabalho sujo (ou seja, o que eles fazem com você) ou sobre onde eles se encaixam em um ecossistema (ou seja, o que eles fazem para um atacante).
9 tipos comuns de vírus de computador
- Vírus de macro
- Vírus polimórficos
- Vírus residentes
- Vírus do setor de inicialização
- Vírus multipartidos
- Conta-gotas
- Sinalizador/carga útil
- Empacotadores
- Comando e controle
Tipos de vírus definidos pelo que eles fazem com você
Se você deseja uma ótima perspectiva sobre os diferentes tipos de vírus, pode fazer pior do que conversar com alguém que escreve isso para viver. Esse é o trabalho de Dahvid Schloss: ele é o líder de gerenciamento de segurança ofensiva na empresa de serviços profissionais de segurança cibernética Echelon Risk + Cyber. Lá, ele trabalha em malware destinado a emular agentes de ameaças reais para executar plataformas de comando e controle na emulação adversária de sua empresa e compromissos de equipe vermelha. Sendo assim, ele dividiu os diferentes tipos de vírus com os quais trabalha por sua função.
Vírus de macro
“Esta categoria é provavelmente a técnica de malware mais comum no mundo”, diz Schloss.
“Aproximadamente 92% dos ataques externos começam com phishing, e as macros são o cerne do problema. Uma macro é uma execução automatizada de pressionamentos de tecla ou ações do mouse que um programa pode fazer sem a interação do usuário. Normalmente, estamos falando do Microsoft Word/ Macros do Excel, que podem automatizar tarefas repetitivas na planilha ou documento.”
Portanto, macros são um tipo de malware extremamente comum. “O método de entrega é crível, especialmente quando parece relacionado ao trabalho”, diz Schloss. “Além disso, a linguagem de codificação (Visual Basic, no caso da Microsoft) é bastante simplista. Assim, os vírus de macro reduzem a quantidade de habilidade tecnológica necessária para escrevê-los.”
Lauren Pearce, líder de resposta a incidentes da empresa de segurança em nuvem Redacted, concordou. “Continuamos a ver danos significativos de malware não sofisticado”, diz ela. “A macro simples de documento do Office reina suprema como um vetor de infecção inicial.”
Vírus polimórficos
“Enquanto o vírus de macro é o mais fácil de codificar, esse tipo [o vírus polimórfico] seria o mais complexo devido ao vírus ser exatamente o que seu nome diz: polimórfico”, diz Schloss. “Ou seja, cada vez que o código é executado, ele é executado de maneira um pouco diferente. Além disso, normalmente, toda vez que se move para uma nova máquina, seu código será um pouco diferente.”
Você deve tratar todos os seus filhos (ou seus inimigos) igualmente, contudo, Schloss admite que “essa categoria de vírus é a minha favorita, pois é intrincada e extremamente difícil de investigar e detectar”.
Vírus residentes
Esta é uma categoria particularmente perniciosa: ou seja, trata-se de um vírus desencarnado que não existe como parte de um arquivo. “O próprio vírus está realmente sendo executado na RAM do host”, diz Schloss.
“O código do vírus não é armazenado no executável que o chamou; em vez disso, geralmente é armazenado em um site ou contêiner de armazenamento acessível pela Web. O executável que chama o código residente geralmente é escrito como não malicioso com a intenção de evitar a detecção por um antivírus de inscrição.”
O termo vírus residente implica a existência de um vírus não residente, é claro. Schloss define isso como “um vírus contido no executável que o está chamando”. Esses vírus geralmente se espalham por abuso de serviços corporativos.
Vírus do setor de inicialização
“Essa categoria eu gosto de chamar de “coquetel do estado-nação’”, explica Schloss. Afinal, esses tipos de vírus destinam-se a fornecer ao agente da ameaça persistência irrestrita e profunda. Eles infectarão todo o caminho até o registro mestre de inicialização (MBR) do computador.
Ou seja, mesmo que você reinicie sua máquina, o vírus persistirá e pode ser executado na memória do host durante a inicialização. Esses tipos de vírus são raros de se ver fora dos agentes de ameaças do estado-nação e quase sempre dependem de uma exploração de dia zero para atingir o nível do MBR ou são espalhados por meio de mídia física, como USB infectado ou discos rígidos.
Vírus multipartidos
Embora alguns desenvolvedores de malware possam se especializar, outros adotam uma abordagem “todas as opções acima”, atacando todos os lugares ao mesmo tempo. “Esses tipos de vírus são geralmente os mais difíceis de conter e lidar”, diz Schloss.
“Eles infectarão várias partes de um sistema, incluindo memória, arquivos, executáveis e até o setor de inicialização. Vemos cada vez mais vírus dessa variedade, e esses tipos de vírus se espalham da maneira que podem, geralmente implementando várias técnicas para maximizar a propagação.”
Tipos de malware definidos pelo que eles fazem para o invasor
Outra maneira de pensar sobre os diferentes tipos de vírus que você encontrará é como eles se encaixam no quadro geral de um ataque. Lembre-se do que Ansari e Schellman dizem acima: o malware moderno é implantado por equipes, e os próprios vírus também podem ser considerados como uma equipe.
“Muitas campanhas de malware consistem em uma série de componentes, às vezes cada um desenvolvido separadamente ou até mesmo originado de outros agentes de ameaças”, diz Ansari. Portanto, ele divide alguns dos diferentes jogadores:
Conta-gotas
“Este malware destina-se a lançar outro malware no sistema infectado”, disse Ansari. “As vítimas podem ser infectadas com um dropper a partir de um link hostil, anexo, download ou algo semelhante. E vale lembrar que, normalmente, ele não persiste após a eliminação do próximo estágio do malware.”
“O malware de macro se enquadra na categoria de um conta-gotas”, acrescenta Pearce, da Redacted. “Afinal, é um malware feito com o único propósito de baixar e executar malware adicional.”
Sinalizador/carga útil
Esses tipos de malware são o próximo estágio do ataque. “Muitas vezes instalado por um dropper, um beacon ou payload é o malware que sinaliza de volta ao agente da ameaça seus meios de acesso recém-instalados”, diz Ansari.
“A partir daqui, um invasor pode acessar os sistemas da vítima pelos meios estabelecidos pelo beacon e acessar o sistema, os dados que ele contém ou outros sistemas na rede”.
Empacotadores
Esses componentes empacotam outros componentes, usando técnicas criptográficas como meio de evitar a detecção. “Algumas campanhas de malware sofisticadas usam uma série de empacotadores, aninhados como uma boneca empilhável”, diz Ansari.
“Cada um contém outro item empacotado, até que a carga útil final possa ser executada”.
Comando e controle
Toda equipe precisa de um líder, e esse é o papel que o comando e o controle desempenham para esses componentes colaborativos de malware. “Esses sistemas, às vezes chamados de C&C, CNC ou C2, operam fora do ambiente da vítima. Contudo, ainda assim, permitem que o agente da ameaça se comunique com os outros componentes da campanha de malware instalada no sistema de destino”, diz Ansari.
“Quando a aplicação da lei tem como alvo um agente de ameaça, eles geralmente apreendem os sistemas de comando e controle como parte de seus esforços para interromper a ameaça”.
Classificação dos tipos de vírus de computador
No final, qualquer taxonomia que usemos não deve ser excessivamente rígida, mas sim facilitar a comunicação de informações importantes sobre ameaças cibernéticas. E isso significa adaptar sua linguagem ao seu público, diz Ori Arbel, CTO da CYREBRO, um provedor de serviços de segurança.
“Se eu estiver escrevendo para CISOs, eles pensarão sobre isso de uma perspectiva de risco”, diz ele. No entanto, o público em geral entenderia melhor os nomes comumente usados nas notícias. Portanto, essas categorizações de vírus são apresentadas do ponto de vista do que será mais facilmente entendido, mas fazê-lo dessa maneira não comunica necessariamente as melhores ações para os profissionais de segurança. “Então, se estou escrevendo para um grupo de profissionais de inteligência de ameaças, usaria termos relacionados à geolocalização e à motivação do invasor do que o que o vírus realmente faz.”
Terminaremos com uma última maneira de categorizar os vírus, uma que realmente só faz sentido do ponto de vista dos próprios caçadores de vírus: vírus que são adversários dignos e aqueles que não são.
“Como engenheiro reverso, tenho prazer no quebra-cabeça de reverter”, diz Pearce da Redacted. “As macros representam uma ameaça significativa para uma rede, contudo, não são particularmente divertidas de reverter. Gosto de reverter amostras que usam técnicas anti-análise para lutar ativamente contra a reversão. O malware pode usar técnicas antidepuração que detectam e respondem a um depurador por meio de métodos como soma de verificação ou ataques de temporização. O uso de técnicas anti-análise indica um autor de malware habilidoso e serve para aumentar o tempo entre a detecção de uma amostra e a extração de indicadores úteis para combatê-la.”
Só porque seus adversários são criminosos não significa que você não pode respeitá-los por se orgulhar de seu trabalho.
Alternativa viável
Um conselho para manter sua empresa segura e capaz de lidar com esses tipos de vírus é contar com um suporte técnico especializado.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.