quarta-feira, 18 de novembro de 2009

Antivírus (final).

Devido à quantidade exorbitante de pragas eletrônicas (e às diversas metodologias utilizadas para catalogá-las e contabilizá-las), não existe um consenso quanto a seu número exato; algumas empresas de segurança falam em centenas de milhares, enquanto outras, em mais de um milhão. Além disso, os nomes também não são padronizados, podendo variar conforme o antivírus (o Conficker, por exemplo, também é chamado de Downadup e de Kido), e ainda que dois programas distintos utilizem a mesma nomenclatura em relação a uma praga, suas variantes (Cofincker.B, Cofincker.C, etc.) podem não corresponder exatamente aos mesmos códigos.

Observação: O nome de um malware designa sua “família”, e a letra subseqüente, sua "variante" – por exemplo, o Conficker.C corresponde à terceira variante da família Conficker; depois do “Z” vem o "AA", seguido pelo "AB", "AC"... "ZZ", e então "AAA", e assim por diante.

Ainda assim, a observância de determinados padrões pode nos dar uma idéia do comportamento das pragas, como ensina o especialista em segurança Altieres Rohr – criador e mantenedor do site e fórum Linha Defensiva. Analisando o nome “W32.Beagle@mm”, por exemplo, inferimos tratar-se de um vírus que ataca sistemas Windows (W32/Win32) e que se espalha principalmente por e-mail (o sufixo“@mm”, de “mass-mailer”, indica uma praga que envia e-mails de forma massiva para se disseminar).
Falando em nomes, mestre Rohr informa ainda que restrições impostas pela convenção de 1991 (NVNC) em relação ao que pode ser usado para designar uma “família” exige criatividade dos pesquisadores na hora de nomear as pragas. Além disso, a indústria de antivírus procura evitar o uso do nome escolhido pelo criador da praga, de maneira a não legitimá-lo. No mais das vezes, são utilizadas as mesmas palavras, mas com letras invertidas, cortadas ou rearranjadas de alguma forma – como no caso do HackDefender (poderoso trojan que “protege” outras pragas contra detecção e remoção), cujo nome original era “Hacker Defender”. Confira mais alguns exemplos:

- Conficker, segundo o especialista da Microsoft Joshua Phillips, resulta da reorganização de algumas letras de “Traffic Converter” (o site trafficconverter.biz era usado pela praga para baixar atualizações).

- Netsky é uma inversão de “skynet” – termo retirado do filme “Exterminador do Futuro” e que estava no código do vírus (a praga se dizia um “Skynet Antivírus”, pois eliminava “concorrentes” da época como o MyDoom e o Beagle).

- Chernobyl deriva da sua data de ativação, 26 de abril – a mesma do acidente da usina nuclear homônima. Esse vírus também ficou conhecido como CIH, devido às iniciais do seu criador (Chen Ing Hau), e Spacefiller, por causa da técnica de infecção.

- Nimda provém da inversão das sílabas da palavra “admin” (de “administrador”).

- Blaster remete ao arquivo malicioso que instalava o “msblast.exe” (algumas o empresas o chamavam também de MSBlast).

- Sasser alude ao componente do Windows que o vírus explorava para se espalhar, o “lsass.exe” (tirando o “l” do arquivo e colocando o “er” – sufixo comum na língua inglesa).

Bom dia a todos e até mais ler.