Verme de computador
Um worm de computador é um programa de computador de malware autônomo que se replica para se espalhar para outros computadores. Ele geralmente usa uma rede de computadores para se espalhar, contando com falhas de segurança no computador de destino para acessá-lo. Ele usará esta máquina como host para escanear e infectar outros computadores. Quando esses novos computadores invadidos por worms forem controlados, o worm continuará a verificar e infectar outros computadores usando esses computadores como hosts, e esse comportamento continuará. Os worms de computador usam métodos recursivos para se copiar sem programas host e se distribuir com base na exploração das vantagens do crescimento exponencial, controlando e infectando cada vez mais computadores em um curto espaço de tempo. Os worms quase sempre causam pelo menos algum dano à rede, mesmo que apenas consumindo largura de banda, enquanto os vírus quase sempre corrompem ou modificam arquivos em um computador de destino.
Muitos worms são projetados apenas para se espalhar e não tentam alterar os sistemas pelos quais passam. No entanto, como mostraram o worm Morris e o Mydoom, mesmo esses "sem carga útil" worms podem causar grandes interrupções ao aumentar o tráfego de rede e outros efeitos não intencionais.
História
O termo real "worm" foi usado pela primeira vez no romance de John Brunner de 1975, The Shockwave Rider. No romance, Nichlas Haflinger projeta e aciona um worm de coleta de dados em um ato de vingança contra os homens poderosos que administram uma rede nacional de informações eletrônicas que induz a conformidade em massa. “Você tem o maior worm de todos os tempos solto na rede, e ele automaticamente sabota qualquer tentativa de monitorá-lo. Nunca houve um verme com uma cabeça tão dura ou uma cauda tão longa!"
O segundo worm de computador foi criado para ser um software antivírus. Chamado Reaper, foi criado por Ray Tomlinson para se replicar na ARPANET e deletar o programa experimental Creeper (o primeiro worm de computador, 1971).
Em 2 de novembro de 1988, Robert Tappan Morris, um estudante de pós-graduação em ciência da computação da Cornell University, lançou o que ficou conhecido como o worm Morris, interrompendo muitos computadores na Internet, que na época estimava ser um décimo de todos os conectados. Durante o processo de apelação de Morris, o Tribunal de Apelações dos EUA estimou o custo de remoção do worm de cada instalação entre $ 200 e $ 53.000; este trabalho estimulou a formação do Centro de Coordenação CERT e da lista de discussão Phage. O próprio Morris se tornou a primeira pessoa julgada e condenada sob a Lei de Fraude e Abuso de Computador de 1986.
Recursos
Independência
Os vírus de computador geralmente requerem um programa host. O vírus escreve seu próprio código no programa host. Quando o programa é executado, o programa de vírus escrito é executado primeiro, causando infecção e danos. Um worm não precisa de um programa hospedeiro, pois é um programa independente ou um pedaço de código. Portanto, não é restrito pelo programa host, mas pode ser executado de forma independente e realizar ataques ativamente.
Explorar ataques
Como um worm não é limitado pelo programa host, os worms podem tirar proveito de várias vulnerabilidades do sistema operacional para realizar ataques ativos. Por exemplo, o "Nimda" vírus explora vulnerabilidades para atacar.
Complexidade
Alguns worms são combinados com scripts de páginas da web e ficam ocultos em páginas HTML usando VBScript, ActiveX e outras tecnologias. Quando um usuário acessa uma página da Web que contém um vírus, o vírus reside automaticamente na memória e aguarda para ser acionado. Existem também alguns worms que são combinados com programas backdoor ou cavalos de Tróia, como o "Code Red".
Contágio
Os worms são mais infecciosos que os vírus tradicionais. Eles infectam não apenas os computadores locais, mas também todos os servidores e clientes na rede baseados no computador local. Os worms podem se espalhar facilmente por meio de pastas compartilhadas, e-mails, páginas da Web maliciosas e servidores com um grande número de vulnerabilidades na rede.
Dano
Qualquer código projetado para fazer mais do que espalhar o worm é geralmente chamado de "carga útil". Cargas maliciosas típicas podem excluir arquivos em um sistema host (por exemplo, o worm ExploreZip), criptografar arquivos em um ataque de ransomware ou exfiltrar dados como documentos confidenciais ou senhas.
Alguns worms podem instalar um backdoor. Isso permite que o computador seja controlado remotamente pelo autor do worm como um "zumbi". As redes de tais máquinas são muitas vezes referidas como botnets e são muito comumente usadas para uma variedade de propósitos maliciosos, incluindo envio de spam ou realização de ataques DoS.
Alguns worms especiais atacam sistemas industriais de maneira direcionada. O Stuxnet foi transmitido principalmente através de LANs e pen drives infectados, já que seus alvos nunca foram conectados a redes não confiáveis, como a internet. Este vírus pode destruir o software de controle de produção principal usado por empresas químicas, de geração e transmissão de energia em vários países ao redor do mundo - no caso do Stuxnet, Irã, Indonésia e Índia foram os mais atingidos - foi usado para ' 34;emitir ordens" para outros equipamentos da fábrica e para ocultar a detecção desses comandos. O Stuxnet usou várias vulnerabilidades e quatro diferentes explorações de dia zero (por exemplo: [1]) em sistemas Windows e sistemas Siemens SIMATICWinCC para atacar os controladores lógicos programáveis embutidos de máquinas industriais. Embora esses sistemas operem independentemente da rede, se o operador inserir uma unidade infectada por vírus na interface USB do sistema, o vírus poderá obter o controle do sistema sem nenhum outro requisito ou solicitação operacional.
Contramedidas
Os worms se espalham explorando vulnerabilidades em sistemas operacionais. Fornecedores com problemas de segurança fornecem atualizações de segurança regulares (consulte "Patch Tuesday") e, se forem instaladas em uma máquina, a maioria dos worms não consegue se espalhar para ela. Se uma vulnerabilidade for divulgada antes do patch de segurança lançado pelo fornecedor, um ataque de dia zero é possível.
Os usuários precisam ter cuidado ao abrir e-mails inesperados e não devem executar arquivos ou programas anexados ou visitar sites vinculados a esses e-mails. No entanto, como acontece com o worm ILOVEYOU e com o aumento do crescimento e da eficiência dos ataques de phishing, ainda é possível induzir o usuário final a executar um código malicioso.
Os softwares antivírus e anti-spyware são úteis, mas devem ser mantidos atualizados com novos arquivos de padrões pelo menos a cada poucos dias. O uso de um firewall também é recomendado.
Os usuários podem minimizar a ameaça representada pelos worms mantendo o controle remoto de seus computadores. sistema operacional e demais softwares atualizados, evitando abrir e-mails não reconhecidos ou inesperados e executando softwares de firewall e antivírus.
As técnicas de mitigação incluem:
- ACLs em roteadores e interruptores
- Filtros de embalagem
- Daemons de serviço de rede habilitados TCP Wrapper/ACL
- Software EPP/EDR
- Nullroute
Às vezes, as infecções podem ser detectadas por seu comportamento - geralmente verificando a Internet aleatoriamente, procurando por hosts vulneráveis para infectar. Além disso, técnicas de aprendizado de máquina podem ser usadas para detectar novos worms, analisando o comportamento do computador suspeito.
Worms com boas intenções
Um worm útil ou anti-worm é um worm projetado para fazer algo que seu autor considera útil, embora não necessariamente com a permissão do computador que o executa's proprietário. Começando com a primeira pesquisa sobre worms no Xerox PARC, houve tentativas de criar worms úteis. Esses worms permitiram que John Shoch e Jon Hupp testassem os princípios da Ethernet em sua rede de computadores Xerox Alto. Da mesma forma, a família de worms Nachi tentou baixar e instalar patches do site da Microsoft para corrigir vulnerabilidades no sistema host, explorando essas mesmas vulnerabilidades. Na prática, embora isso possa ter tornado esses sistemas mais seguros, gerou um tráfego de rede considerável, reinicializou a máquina durante a aplicação de patches e fez seu trabalho sem o consentimento do proprietário ou usuário do computador. Independentemente de sua carga útil ou de seus escritores. intenções, os especialistas em segurança consideram todos os worms como malware.
Um estudo propôs o primeiro worm de computador que opera na segunda camada do modelo OSI (Camada de enlace de dados), utilizando informações de topologia como tabelas de memória endereçável por conteúdo (CAM) e informações Spanning Tree armazenadas em switches para propagar e sondar para nós vulneráveis até que a rede corporativa seja coberta.
Anti-worms têm sido usados para combater os efeitos dos worms Code Red, Blaster e Santy. Welchia é um exemplo de worm útil. Utilizando as mesmas deficiências exploradas pelo worm Blaster, o Welchia infectou computadores e começou a baixar automaticamente as atualizações de segurança da Microsoft para Windows sem que os usuários tivessem problemas. consentimento. O Welchia reinicia automaticamente os computadores que infecta depois de instalar as atualizações. Uma dessas atualizações foi o patch que corrigiu o exploit.
Outros exemplos de worms úteis são "Den_Zuko", "Cheeze", "CodeGreen" e "Millenium".
Art worms apoiam artistas na performance de obras de arte efêmeras em grande escala. Ele transforma os computadores infectados em nós que contribuem para a arte.