Sem categoria

Cavalos de Tróia (Trojan Horses)

Nota (01/09/2004):Remover um Cavalo de Tróia é tarefa difícil. Muitas vezes o anti-virus até consegue identificá-lo, mas é incapaz de removê-lo. Não me peça ajuda para remover o Cavalo de Tróia que está no seu micro, porque o procedimento de identificação e remoção pode ser tediosamente demorado e complexo até quando se está na frente da máquina e fica muito mais difícil quando você está orientando uma pessoa por e-mail ou telefone. Eu removo Cavalos de Tróia com frequencia das máquinas de meus amigos e de meus clientes, mas eu tenho que ter acesso à máquina para fazer isso. É preciso fazer buscas no HD, procurando por padrões de comportamento. É preciso prestar atenção às reações do parasita às suas tentativas de removê-lo, etc.

Existem ferramentas especializadas na identificação e remoção de Cavalos de Tróia que você pode tentar, como o Adaware, o Spybot – Search and Destroy e o Trojan Defense Suite. Eu não uso nenhum deles, porque nos testes que fiz achei os dois primeiros exageradamente paranóicos e o terceiro “fresco” demais, mas você pode tentar…

Nota (08/06/2003): Estamos em 2003. Muita coisa se modernizou na Informática e os autores de vírus estão cada vez mais espertos, mas os programas anti-virus continuam tão burros como sempre foram. Todos os anti-virus populares ainda são incapazes de perceber a atividade de um vírus que eles ainda não conhecem.

Nota (10/07/2003): Se você já recebeu em seu e-mail uma das seguintes mensagens:

  • do Banco do Brasil ou do Itaú, afirmando que você precisava baixar um programa de cadastro para atualizar seus dados cadastrais no banco;
  • da Rede Globo, dizendo que você foi escolhido para o Big Brother Brasil, mas que precisa instalar um formulário no seu micro para preencher e enviar para emissora;
  • Cartão Virtual de alguém que você desconhece, que precisa ser baixado e rodado no seu computador;
  • Do Serasa, dizendo que você está em débito e que precisa baixar um “relatório” da sua dívida;

Você recebeu um convite para instalar um Cavalo de Tróia em sua máquina. Se você baixou e rodou um desses programas confiando que seu anti-virus o avisaria se fosse malicioso, lamento, mas você se enganou.


Vou discutir aqui um risco que é real, como o risco que você corre de ser assaltado voltando para casa à noite. Mas não significa que você VAI ser assaltado SEMPRE que voltar para casa à noite. Não é nenhuma calamidade, nem há uma epidemia de programadores maliciosos à espreita. Use seu bom senso para discernir.

Meses antes do lançamento do Windows 95. Correu um boato de que a Microsoft havia programado a nova versão do Windows para enviar informações sobre o computador onde estava instalada, via Internet. A gritaria foi geral e a Microsoft acabou confirmando ser verdade. Até onde sei, a empresa removeu essa “característica” do Windows 95.

Algum tempo depois , a Blizzard entertainment, produtora de sucessos como Diablo e Warcraft, foi processada por coletar furtivamente informações em computadores de usuários conectados ao seu serviço on-line “battle.net”.

Vírus X Cavalo-de-Tróia – Qual você mais teme?

A maioria das pessoas envolvidas de uma forma ou outra com informática já se deparou com o conceito de vírus de computador, mas é difícil encontrar alguém que saiba o que é um cavalo-de-tróia e o que ele representa para a segurança de seu sistema.

O conceito de Virus

Vírus de computador (daqui em diante chamarei apenas de vírus) tem esse nome porque à semelhança de seu xará orgânico ele tem a capacidade de se multiplicar em um organismo hospedeiro e infectar outros organismos semelhantes. Ao contrário do seu xará que ataca humanos e animais, ele tem um objetivo que foi definido pela mente obscura de quem o criou.

Apesar de potencialmente perigosos, os vírus podem ser detectados com certa facilidade justamente devido à sua característica mais marcante: ele precisa se espalhar para fazer o que foi programado para fazer. O vírus toma o controle do computador onde se instalou e para fazer isso sem ser percebido pelo usuário ele usa padrões de comportamento e trechos de código que são do conhecimento dos programas anti-vírus. O programa anti-vírus procura por esse padrões e achando-os pode ter uma razoável certeza de que existe um vírus no sistema.

Após saber que há um vírus, o anti-vírus analisa seu código e o compara a um banco de dados com informações sobre vírus conhecidos. Quando o padrão de um vírus confere com o código encontrado no computador o anti-vírus sabe com que vírus está lidando e (geralmente) como removê-lo.

O que isto tudo tem a ver com estória sobre a Microsoft? Paciência, eu vou esclarecer.

Assim como o seu xará, o vírus de computador pode ser evitado quando o usuário toma certas precauções, como usar sempre software original (não pirateado), evitar grupos de risco (outros usuários que não tomam precauções) e sempre testar (vacinar) toda a mídia que vem de fora de seu ambiente (disquetes, CDs, Zip Disks, etc).

Nada disso funciona contra um Cavalo de Tróia.

É hora de exercitar sua paranóia

Os gregos conseguiram invadir a cidadela troiana presenteando seus incautos inimigos com um enorme cavalo de madeira (cheinho de soldados gregos). O Cavalo de Tróia da Informática é um programa que foi programado para fazer coisas que você desconhece e geralmente não deseja, sem a sua permissão ou o seu conhecimento.

Veja o exemplo da Microsoft. Se essa característica permanecesse fora do conhecimento do grande público, seria o maior exemplo de cavalo troiano do mundo. Quem era contrário à idéia da Microsoft alegava entre outras coisas que seria muito fácil para o Windows95 descobrir que estava instalado em um computador usado para desenvolvimento de aplicações, por exemplo, e enviar sorrateiramente os códigos-fonte para a Microsoft, que poderia então “apossar-se” das idéias de outros desenvolvedores rapidamente.

Está respirando aliviado pela Microsoft ter voltado atrás? Continue lendo…

Cavalos troianos como o da Microsoft são quase indetectáveis. Se você já se acostumou com o fato de que de vez em quando o seu winchester começa a trabalhar feito louco e você não faz a menor idéia do que ele esta fazendo e acaba ignorando como sendo mais uma “esquisitice” do sistema, você (como eu) é a vítima perfeita para um cavalo de Tróia.

Vejamos mais exemplos:

Caso 1

Um certo programa destinado à extração digital de áudio (uma técnica para copiar digitalmente um CD de música para o HD) foi distribuído como shareware na Internet. Um grupo de piratas criou um “crack” para o programa que removia certas limitações que a versão shareware tinha. Não levou muito tempo para usuários começarem a mandar e-mail para o autor do programa reclamando que sempre que faziam uma extração, surgiam “clicks” esporádicos na música extraída que a estragavam. O autor revelou então que seu programa foi protegido contra tentativas de pirataria dessa forma. Quando o programa detectava que seu código tinha sido alterado, continuava funcionando, mas incluía os “clicks” sorrateiros em todo trabalho realizado. O autor completou sua explanação com: “eu tive a minha vingança!”.

Curiosidade (31/07/2003): Texto exibido pelo programa Wolfenstein 3D (cuja popularidade abriu caminhos para os megasucessos DOOM e QUAKE), ao encerrar:

Obrigado por Jogar
Wolfenstein 3-D
By ID Software

Esperamos que esta seja sua cópia registrada de Wolfenstein 3-D.

Se não é, então temos um problema. Nós precisamos que você chame a Apogee e se registre. Senão, bem, é engraçado como discos rígidos podem ser –sabe como é– apagados e coisas assim.

Eu seria registrado, se fosse você.

___________________________________________Os caras da ID

Caso 2

Uma versão pirata do 3D Studio MAX (um caríssimo programa para criação em três dimensões) tinha a curiosa característica de ao detectar que a máquina onde foi instalado tem o acesso dial-up do windows 95 instalado, tentar efetuar uma conexão sorrateira à Internet. A conexão falhava e a rede dial-up avisava o usuário, denunciando as intenções do programa. Uma manobra tola porque bastaria ele aguardar que o usuário efetuasse uma conexão espontânea à Internet para permanecer indetectado. O que o 3DS MAX queria conectando-se à Internet? Eu deixo para a sua imaginação.

Caso 3

Recentemente, fazendo uma pesquisa pelo Altavista, eu me deparei com a peculiar descrição:

132. NT FAQ ……..
[Illegal Copy of Namo WebEditor]
URL: myhome.netsgo.com/deangel/faq4.html
Last modified 20-Jul-98 – page size 81K – in Korean (KSC)

Eu carreguei a página e havia o seguinte no código fonte:

<head>
<title>NT FAQ ÀÎÅͳÝÆí</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Template" content="D:\Microsoft Office\Office\html.dot">
<meta http-equiv="Content-Type" content="text/html; charset=EUC-KR">
<meta name="author" content="¿À¼º¹Î">
<meta name="description" content="[Illegal Copy of Namo WebEditor] ">
<meta name="GENERATOR" content="Namo WebEditor v2.00">
</head>

Para os não-familiarizados com código HTML, o meta-campo “description” é normalmente usado para dizer aos sistemas de busca como o AltaVista do que a página trata. O Namo Webeditor aproveitou essa característica para “denunciar” a utilização ilegal de cópias do software. Tudo o que o desenvolvedor precisa fazer é dar uma busca no Altavista para encontrar vários (obviamente não é possivel pegar todos) usuários ilegais do seu programa.

Não é tarefa fácil, eu fiz uma busca específica para “Illegal Copy of Namo WebEditor” e o Altavista me informou que haviam 33890 ocorrências. Mas não é necessário ir atrás de todas. O desenvolvedor vai procurar os sites que pareçam mais “rentáveis” para processar (sites muito visitados e/ou patrocinados). Imagine o problema para a empresa cujo site está sendo produzido por vários funcionários, sem um controle centralizado do que eles estão fazendo.

Nos dois primeiros casos, vale ressaltar que os programas foram alterados para burlar a proteção anti-cópia. Fazer uma cópia integral do CD ou disquete do software com o objetivo de proteger seu investimento não o torna um alvo desse tipo de “vingança” do desenvolvedor. Além do mais, a maioria dos desenvolvedores avisa que alterações em seu produto são expressamente proibidas. No terceiro caso, é bem provável que o Namo WebEditor seja um programa shareware e esteja sendo usado além do prazo máximo do desenvolvedor para “pagar ou deixar de usar”.

Ainda não cheguei aonde eu queria. Quando você altera um software ou o adquire alterado você está procurando por problemas. Minha legítima descrição de um Cavalo de Tróia vem aí.

Os casos mais conhecidos de Cavalo de Tróia envolvem o Back Orifice e o Netbus. Que embora perigosos e muito bem bolados, são fáceis de detectar. Apenas a ponta do Iceberg no cenário de Trojan Horses

Upa, upa, cavalinho…

Sempre foi possível, sem recorrer à pirataria, conseguir software grátis para uso em seu computador. Dezenas de milhares de programadores em todo o mundo escrevem pequenos e grandes programas de todos os tipos e finalidades e os distribuem on-line. Alguns desses programadores pedem que se você gostar do programa pague por ele, mas alguns simplesmente os dão de graça, quer seja por que querem tornar-se conhecidos ou por que escreveram um programa interessante para uso particular e não veêm motivo para não compartilha-lo com o mundo. Muitos desses programadores já tem uma fonte de renda, por isso não preocupam-se em cobrar.

Você mesmo deve ter nesse momento um programa desse tipo em seu computador.

Imagine então os diversos cenários possíveis:

Você está usando um programa shareware e passou do prazo estipulado pelo programa para “pagar ou deixar de usar”. O programa sabe contar os dias e muitos deles param de funcionar depois do prazo. Mas e os que não param? Lembra dos “cliques” e da “vingança”?

Você está usando um programa que tem acesso às suas senhas. Um programa de FTP, Telnet, etc. Até mesmo um programa gerenciador de senhas, como o distribuído pela Ziff Davis. Esse programa tem logins e senhas seus que você forneceu espontaneamente. E se a intenção do programador ao distribuir o programa foi justamente obter senhas de acesso? Programas de uso local em estações que ficam eletronicamente isoladas do resto do mundo não oferecem perigo. Mas e os programas que você usa justamente para acesso ao mundo como FTP e Telnet? O que os impede de mandar cópias de suas senhas para outros destinos enquanto você os está usando?

Nota: Quando escrevi este texto, eu não conhecia nenhum programa que efetivamente abusasse de sua confiança dessa forma, mas em março de 1999 foi descoberto que o programa Promail, distribuído em diversos sites de shareware na Internet, sorrateiramente envia suas senhas de acesso às suas contas para uma conta de e-mail (naggamanteh@usa.net). Promail é um programa gratuito escrito em Delphi, com o objetivo de ajudar um usuário com múltiplas contas de e-mail a gerenciar todas elas. O programa realmente faz tudo o que se propõe a fazer, por isso não levanta suspeitas, mas envia todas as suas senhas para alguém, sem seu conhecimento.
Nota (07/04/2002): Um firewall pode ser mais eficiente para livrá-lo de cavalos de tróia do que um anti-virus. Estou usando um firewall chamado atguard (talvez você não consiga encontrá-lo porque ele deixou de ser produzido em 99 e comprado pela Symantec que conseguiu torná-lo inseguro) e, todas as vezes que ele detecta uma aplicação externa tentando se comunicar com o meu computador, ou uma aplicação no meu computador tentando se comunicar com o mundo exterior, me avisa, dizendo o nome da aplicação, com que endereço ele está tentando se comunicar e através de que serviço. De posse das informações eu decido se autorizo ou não a comunicação. Um cavalo de tróia pode ser detectado desta maneira e eu mesmo já “cortei a boquinha” de algumas aplicações em meu sistema.

Porém, para quem está acostumado com a facilidade de uso de um anti-virus, (você geralmente não precisa configurar nada) um firewall é um pé no saco. Você tem que estar disposto(a) a responder todas as suas perguntas e terá que tomar várias decisões baseadas em “chute” (eu tomei muitas), principalmente se você também estiver conectado a uma rede local. O firewall que não pergunta nada a você geralmente não merece confiança.

O trabalho adicional, entretanto, vale a pena.

Um programa conhecido pode ser adulterado propositalmente e espalhado pela Internet. Imagine o Quake 2, por exemplo. Um jogo aguardado por muitos meses. Alguém poderia pegar uma cópia do demo quando fosse lançada, alterá-la para fazer algo malicioso e passá-la à frente. Você nunca iria saber o que o atingiu. Isso já aconteceu com programas como o ARJ, o ARC e inúmeros outros programas populares distribuídos pela Internet.

Nota (07/04/2002): Hoje em dia é muito, mas muito fácil mesmo “anexar” a um programa um outro programa malicioso. De posse de ferramentas simples alguém pode pegar um aplicativo, driver, jogo, emulador, etc, anexar um programa que ele mesmo criou ou de terceiros e atingir muita gente com ele. Quando você clicar no programa, os dois serão executados (o que você queria e o embutido). O conhecimento necessário para fazer essa fusão não é trivial, mas como hoje existem ferramentas hacker que fazem isso por você, qualquer idiota pode criar um cavalo de tróia. Eu testei isso e o resultado é surpreendente.

Um anti-virus atualizado talvez possa detectar o uso da técnica, se ele conhecer a ferramenta que fez o trabalho. A ferramenta que estou testando hoje para embasar minhas conclusões não é detectada pelo meu anti-virus (e olha que ela foi criada em 05/2000. Muito velha!).

A única recomendação que posso dar nesse caso é que se você puder escolher entre baixar o programa de um site conhecido ou pegá-lo de terceiros (amigos ou não), escolha a primeira alternativa.

Algum tempo atrás, quando eu ainda tinha tempo para leituras não-técnicas, eu li um livro de Stephen King (o mestre do horror) chamado “A hora do vampiro” (tradução oportunista do título original: Salem’s Lot). Na estória, os vampiros não podem entrar em sua casa sem que você os convide. Mas eles podem hipnotizar você para conseguir a permissão. O que isso tem a ver? Continue lendo…

Não é fácil escrever um vírus. Quem os cria detém um invejável conhecimento do funcionamento de um computador e usa linguagens de programação que são grego puro para os demais mortais.

Nota (10/04/2002): Isto era verdade quando escrevi este texto, mas os novos vírus baseados em Windows que se aproveitam de vulnerabilidades/burradas da Microsoft podem ser escritos facilmente em linguagens de alto nível. O Sircam, por exemplo, é um vírus bem eficiente que foi escrito em Delphi. Se você estiver usando um sistema não tão vulnerável como o DOS ou o Linux, minha afirmação continuará valendo.

Mas os cavalos de tróia podem ser escritos por *qualquer* mente maliciosa que conheça *qualquer* linguagem de programação. Cavalos de Tróia podem ser produzidos em Clipper, Delphi, Visual Basic, Cobol… Qualquer linguagem!

Nota (10/04/2002): E para *qualquer* sistema operacional.

É claro que dá trabalho escrever uma aplicação útil para esconder um código malicioso, então alguns tomam um atalho. Escrevem um código que não tem mais nada além de um formatador de HD, por exemplo, e colocam à disposição na Internet em um site muito visitado afirmando ser um super-hiper-ultra programa que faz alguma coisa mirabolantemente fantástica. Acredite, muita gente ainda não desconfia do que “é muito bom para ser verdade” e se deixa “hipnotizar” (entendeu agora?). Trazem esse programa para seus computadores e o executam. ZAPT. Até que se descubra a verdadeira intenção do programa e alguém o retire “do ar”, muito estrago foi feito.

Não estou conjeturando, isso já aconteceu!

Nota (31/07/2003): Com a popularização de ferramentas de compartilhamento anônimo de arquivos como o KAZAA, usuários desavisados estão realmente à mercê de maliciosos e bandidos. Se você já baixou um filme ou MP3 pelo Kazaa pensando que era um e na verdade era outro, pode imaginar: por que não estariam fazendo o mesmo com executáveis?

Com certeza estão!

Não pegue programas no Kazaa. Como você não tem como rastrear o usuário que forneceu o arquivo, ele se vale do anonimato para aprontar o que quiser. Você pode acabar pegando um programa que roube suas senhas bancárias, exponha seus arquivos sigilosos ou formate seu HD.

Lembre-se: Anti-Virus NÃO DETECTA cavalos-de-tróia, a não ser que eles sejam CONHECIDOS!

Tenha em mente que ter seu HD formatado não é a pior coisa que um Cavalo de Tróia pode fazer. Ele pode também localizar suas planilhas (como as do Excel) e trocar aleatoriamente um único número em um único campo. Se essa planilha for a folha de pagamento da sua empresa e dependendo dos procedimentos de conferência que você adota, você pode estar mais ou menos encrencado. E, com o mundo todo conectado à Internet, você pode acabar instalando um programa que monitora seu acesso ao site do seu banco e roube suas senhas!

Uma variação interessante dessa “ingenuidade” eu ouvi com freqüência. Tinha gente que jurava de pés juntos para mim que estva usando o “Windows 97″. Eu já discuti muito isso mas cansei e agora me limito a balançar a cabeça em concordância e sorrir. Qualquer pessoa que se informe sabe que o Windows 97 nunca existiu. A pessoa que “cai numa dessas”, engole qualquer Cavalo de Tróia.

Conheço uma atualização para o “Windows 96″ (outra coisa que nunca existiu) que circulou pela Internet anos atrás. Fui conferir se não era o Service Pack 1 (uma atualização legítima do Windows 95) e não era. O programa tinha até um arquivo com extensão .CAB típica de produtos Microsoft, mas era falso e não foi reconhecido pelo utilitário cabview da Microsoft. Era um arquivo qualquer renomeado para dar maior credibilidade à “atualização”. Nunca fiquei sabendo o que o programa fazia. Poderia ser uma inofensiva mudança nas telas de abertura, mas eu é que não me arrisco.

Não faz muito tempo, circulou pela Internet um programa que supostamente fazia com que um Pentium não-MMX pudesse manipular instruções MMX. Isso é tecnicamente possível, embora talvez inviável. O laboratório da Ziff Davis fez engenharia reversa no programa e descobriu que este nem fazia o que se propunha a fazer e nem era um Cavalo de Tróia (mas poderia ser). Ele era simplesmente uma piada inócua de seu criador.

Notas (07/10/2003): Bem mais recentemente, lançaram na Internet um programa Emulador de Playstation 2 chamado EKAF. Em qualquer máquina que você o execute, ele vai acusar um erro levando o usuário a acreditar que há algo de errado com seu hardware, mas o programa nunca foi emulador de coisa nenhuma (até esta data, não existe nenhum emulador de Playstation2), sendo só uma piada do seu criador. O nome do programa, em inglês e de trás para frente, significa “FALSO”.

NÃO, não contrate um exorcista (ainda)!

Como eu estou tentando mostrar desde que comecei, é quase impossível detectar um Cavalo de Tróia. Programas anti-virus recentes dizem detectá-los. Mas não se iluda. Eles são capazes de detectar apenas os conhecidos.

Da mesma forma que nenhum programa avisa você de que FDISK e FORMAT são duas ameaças potenciais residindo em seu computador, qualquer programa que faça o que eles fazem será ignorado. Mas você pode tomar algumas precauções para minimizar o risco. Esses conselhos podem ser menos ou mais importantes dependendo do que você faz com o seu computador.

Se o seu uso é doméstico e começar tudo “do zero” representa apenas um aborrecimento passageiro, o remédio que eu receito pode ser pior do que a possível doença. Você pode até querer ignorar esse artigo inteiro. Mas se você depende de seus computadores em seu ramo de atividade, o seu nível de paranóia deve ser proporcional à sua dependência.

Não seja ingênuo – Se o programa oferece algo bom demais para ser verdade, não acredite. Se ele for realmente fantástico, você irá tomar conhecimento disso por outras fontes.

Não seja o primeiro – Mesmo que não seja tão fantástico, espere até que esteja disponível há algum tempo. Deixe que os apressados testem por você.

Use sempre software original – Como eu disse antes, não é o fato de “ser uma cópia” que é problemático. Se a cópia estiver adulterada é que você está correndo riscos. Porém, grandes desenvolvedores de programas populares não usam manobras desse tipo, imagino que porque sabem que a grande disseminação de cópias malcomportadas pode prejudicar a imagem do programa perante o público sejam elas ilegais ou não. De qualquer forma, usar software original deve estar em seus planos.

Feche todos os programas dispensáveis quando on-line – Se o programa não estiver na memória, não poderá mandar informações suas pela Internet (ou será bem mais difícil)

Quando usar programas que requerem senhas suas, desconfie – Use apenas programas Telnet e FTP de boa reputação. Sempre analise com cuidado qualquer traço de que algo está diferente em seu site e troque as senhas regularmente.

Nota (20/09/2004): Lembre-se: Não importa o que digam a você, um Cavalo de Tróia pode ser indetectável por programas anti-virus, mesmo atualizadíssimos. Eu posso provar isso, mas você não gostaria do resultado :)

6 comments to Cavalos de Tróia (Trojan Horses)

Deixe uma resposta

  

   - O e-mail neste site serve apenas para que o blog possa lembrar que você já comentou antes. Não é usado como prova de identidade.)

  

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Siga as Regras de Participação, ou seu comentário será ignorado.