Worm você sabe o que é? worm não é mesmo que WORM.

Worm você sabe o que é? worm não é mesmo que WORM. Um worm de computador é um tipo de malware cuja função principal é se auto-replicar e infectar outros computadores, enquanto permanece ativo nos sistemas infectados.

Um worm de computador se duplica para se espalhar para computadores não infectados. Geralmente faz isso explorando partes de um sistema operacional que são automáticas e invisíveis para o usuário.

É comum que os worms sejam notados apenas quando sua replicação descontrolada consome recursos do sistema, tornando mais lentas ou interrompendo outras tarefas.

Não confunda um worm de computador com a tecnologia de storage WORM (escreva uma vez, leia várias) .

Não confunda, em mídia de armazenamento de computador, WORM ( escrever uma vez, ler várias) é uma tecnologia de armazenamento de dados que permite que as informações sejam gravadas em um disco uma única vez e evita que a unidade apague os dados. Os discos não são regraváveis ​​intencionalmente, porque eles se destinam especialmente a armazenar dados que o usuário não deseja apagar acidentalmente. Por causa desse recurso, os dispositivos WORM são usados ​​há muito tempo para fins de arquivamento de organizações como agências governamentais ou grandes empresas. 

Como funcionam os worms de computador?

Os worms de computador geralmente dependem das ações e das vulnerabilidades dos protocolos de rede para se propagar.

Depois que um worm de computador é carregado e começa a ser executado em um sistema recém-infectado, ele normalmente segue sua diretiva principal: permanecer ativo em um sistema infectado pelo maior tempo possível e se espalhar para tantos outros sistemas vulneráveis ​​quanto possível.

Por exemplo, o worm ransomware WannaCry explorou uma vulnerabilidade na primeira versão do protocolo de compartilhamento de recursos Server Message Block (SMBv1) no Windows.

Uma vez ativo em um computador recém-infectado, o malware WannaCry inicia uma busca na rede por novas vítimas em potencial: sistemas que respondem às solicitações SMBv1 feitas pelo worm. O worm continua a se propagar em uma rede por meio desses clientes.

Os worms também podem ser disfarçados para parecer um recurso não ameaçador, como um arquivo de trabalho ou link, no qual um usuário clica ou baixa – apenas para posteriormente ser revelado como um worm.

Qual é a diferença entre um worm e um vírus?

Conforme definido no relatório “Security of the Internet“, lançado em 1996 pela Divisão CERT do Software Engineering Institute da Carnegie Mellon University, worms de computador são “programas que se auto-replicam e se espalham sem intervenção humana depois de iniciados“.

Em contraste, o relatório observa que “os vírus também são programas de auto-replicação, mas geralmente requerem alguma ação por parte do usuário para se espalharem inadvertidamente para outros programas ou sistemas.”

Que tipos de worms de computador existem?

Existem vários tipos de worms de computador maliciosos:

Worms de email

Os worms de e-mail funcionam criando e enviando mensagens de saída para todos os endereços da lista de contatos de um usuário. As mensagens incluem um arquivo executável malicioso que infecta o novo sistema quando o destinatário o abre.
Os worms de e-mail bem-sucedidos geralmente empregam técnicas de engenharia social e phishing para encorajar os usuários a abrir o arquivo anexado.

Worms de compartilhamento de arquivos

Os worms de compartilhamento de arquivos são programas disfarçados de arquivos de mídia.
O Stuxnet , um dos worms de computador mais notórios até hoje, consiste em dois componentes: um worm para propagar malware através de dispositivos USB infectados com o arquivo host, bem como malware que visa o controle de supervisão e sistemas de aquisição de dados (SCADA supervisory control and data acquisition ) .
Os worms de compartilhamento de arquivos são amplamente usados ​​para atingir ambientes industriais, incluindo concessionárias de energia, serviços de abastecimento de água e estações de esgoto.

Cryptoworms

Cryptoworms funcionam criptografando dados no sistema da vítima. Esse tipo de worm pode ser usado em ataques de ransomware, nos quais os perpetradores acompanham a vítima e exigem o pagamento em troca de uma chave para descriptografar seus arquivos.

Worms da Internet

Alguns worms de computador visam especificamente sites populares com baixa segurança. Se eles puderem infectar o site, eles podem infectar um computador que está acessando o site.
A partir daí, os worms da Internet se espalham para outros dispositivos aos quais o computador infectado se conecta por meio da Internet e de conexões de rede privada.

Worms de mensagens instantâneas

Como os worms de e-mail, os worms de mensagens instantâneas são mascarados por anexos ou links, que continuam a se espalhar para a lista de contatos do usuário infectado. A única diferença é que em vez de chegar em um e-mail, chega como uma mensagem instantânea em um serviço de chat.
Se o worm não teve tempo de se replicar no computador, sua disseminação pode ser resolvida simplesmente alterando a senha na conta de serviço de bate-papo do usuário.

Como os worms de computador se espalham?

Embora alguns worms de computador exijam a ação do usuário para se propagar inicialmente, como clicar em um link, outros podem se espalhar facilmente sem a interação do usuário. Tudo o que é necessário é que o worm de computador se torne ativo no sistema infectado.
Antes do uso generalizado de redes, os worms de computador se espalhavam por meio de mídias de armazenamento infectadas, como disquetes, que, quando montados em um sistema, infectavam outros dispositivos de armazenamento conectados ao sistema da vítima.
Hoje, as unidades USB são um vetor comum para worms de computador, assim como as atividades da Internet, como e-mail, bate-papo e navegação na web.

Casos históricos de worms de computador

Os worms existem desde o início da Internet. Vários casos notáveis ​​se espalharam até agora e causaram uma grande interrupção na rede e nos negócios.

O worm Morris

Embora o worm Morris , lançado em 1988, seja amplamente considerado o primeiro worm de computador, é mais bem caracterizado como o primeiro worm a se propagar amplamente na Internet então nascente.
O worm Morris foi o trabalho de Robert Tappan Morris Jr., um estudante de graduação da Cornell que supostamente estava tentando enumerar todos os sistemas conectados à rede precursora da Internet, ARPANET .
Visando vulnerabilidades em vários programas Unix diferentes , o worm Morris foi capaz de infectar um sistema mais de uma vez, tornando difícil erradicar completamente antes de produzir uma condição de negação de serviço no host infectado.
Até 10% dos 60.000 sistemas então considerados conectados à ARPANET foram afetados pelo worm.

O worm ILOVEYOU

Um dos worms de computador mais prejudiciais de todos os tempos foi o worm ILOVEYOU , que foi lançado em 2000 e propagou malware por meio de anexos de e-mail que pareciam ser arquivos de texto, scripts executados em sessões de chat de mensagens instantâneas e executáveis ​​renomeados com nomes de arquivos de sistema comuns.
O ILOVEYOU se espalha principalmente quando as vítimas direcionadas abrem um anexo de e-mail e o malware é reenviado a todos os contatos da vítima no Microsoft Outlook.
O malware supostamente afetou até 45 milhões de usuários depois de ter sido lançado em 4 de maio de 2000, espalhando-se tão rapidamente que algumas empresas, incluindo a Ford Motor Company, foram forçadas a encerrar temporariamente seus serviços de e-mail.

Stuxnet

Como mencionado acima, o Stuxnet é um worm de compartilhamento de arquivos identificado pela primeira vez em 2010. Os pesquisadores de segurança determinaram que o worm foi criado por agências de inteligência dos EUA e de Israel para interferir na produção de armas nucleares iranianas.
O Stuxnet foi introduzido por meio de drives USB e aproveitou as falhas no sistema operacional Windows para se espalhar, causando o mau funcionamento das centrífugas nucleares.

WannaCry

O ransomware WannaCry usa um worm para infectar computadores com Windows e criptografar arquivos nos discos rígidos dos PCs. Ele começou a se espalhar em maio de 2017 e afetou centenas de milhares de computadores em até 150 países em todo o mundo. Os alvos incluíram grandes corporações como FedEx, bancos e hospitais. Depois que os arquivos do PC foram bloqueados, os hackers contataram o proprietário exigindo o pagamento em troca de uma chave para descriptografar seus arquivos. No entanto, mesmo após o pagamento, apenas algumas vítimas receberam as chaves.
Pesquisadores de segurança conectaram o hack ao Grupo Lazarus, um grupo de estado-nação afiliado à Coréia do Norte. Embora o WannaCry tenha causado perdas financeiras significativas para as vítimas visadas, sua disseminação foi rapidamente interrompida quando o pesquisador de segurança Marcus Hutchins descobriu um interruptor de bloqueio que o impediu de se propagar ainda mais.

Como prevenir infecções por worm de computador

Uma boa higiene de segurança cibernética é essencial para proteger os sistemas de serem infectados por worms de computador. As medidas que ajudarão a prevenir a ameaça de infecções por worm de computador incluem:

  • Instale atualizações do sistema operacional e patches de software
  • O uso de firewalls ajudará a reduzir o acesso a sistemas por software malicioso
  • Use um software antivírus para impedir a execução de software malicioso
  • Nunca clique em anexos ou links de e-mail ou outros aplicativos de mensagens que possam expor os sistemas a softwares maliciosos
  • Use criptografia para proteger dados confidenciais armazenados em computadores, servidores e dispositivos móveis.

Embora alguns worms sejam projetados para fazer nada mais do que se propagar em novos sistemas de vítimas, a maioria dos worms está associada a vírus, rootkits ou outro software malicioso que pode causar danos e riscos adicionais.

Como detectar um worm de computador

Pode ser difícil detectar a presença de um worm. Os sinais que indicam que um verme pode estar presente incluem os seguintes sintomas:

  • Problemas de desempenho do computador ao longo do tempo, largura de banda de computação limitada sem explicação aparente
  • Sistema travando ou travando inesperadamente
  • Comportamento incomum do sistema, incluindo programas que são executados ou encerrados sem interação do usuário
  • Sons, imagens ou mensagens incomuns
  • O súbito aparecimento de arquivos ou ícones desconhecidos ou o desaparecimento inesperado de arquivos ou ícones
  • Mensagens de aviso do sistema operacional ou software antivírus
  • Mensagens de e-mail enviadas para contatos que o usuário não enviou de fato

Como remover um worm de computador

Remover um worm de computador pode ser difícil. Em casos extremos, o sistema pode precisar ser reformatado, exigindo que todo o software seja reinstalado.

Ao iniciar uma resposta a incidentes , é aconselhável usar um computador conhecido e seguro para baixar quaisquer atualizações ou programas necessários para um dispositivo de armazenamento externo e, em seguida, instalá-los na máquina afetada.

Se for possível identificar o worm de computador que está infectando o sistema, pode haver instruções ou ferramentas específicas disponíveis para removê-lo sem ter que limpar o sistema completamente.

O sistema também deve ser desconectado da Internet ou de qualquer rede, com ou sem fio, antes de tentar remover o worm de computador. Além disso, remova todos os dispositivos de armazenamento não permanentes, como um USB ou disco rígido externo, e faça uma varredura neles separadamente em busca de infecções.

Assim que o sistema for desconectado da rede, faça o seguinte:

  • Atualize todas as assinaturas de antivírus.
  • Faça uma varredura no computador com o software antivírus atualizado.
  • Use o software antivírus para remover qualquer malware, código malicioso e worms que encontrar e para limpar os arquivos infectados.
  • Confirme se o sistema operacional e todos os aplicativos estão atualizados e corrigidos
Fonte TechTarget por Crystal Bedell; Peter Loshin, Katie Terrell Hann

Veja também:

 

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

9 Trackbacks / Pingbacks

  1. Hackers de ransomware adoram um fim de semana prolongado
  2. Segurança da API impede o lançamento de novos aplicativos
  3. Aprovado Regulamento do Processo de Fiscalização e Administrativo Sancionador da ANPD
  4. Extorsão Quíntupla é a nova realidade do ransomware
  5. Forrester prevê fuga em massa da segurança cibernética
  6. Compreendendo os fundamentos da segurança de API
  7. Ignore a segurança da API por sua conta e risco
  8. Ataques API são subdetectados e subnotificados
  9. O que é Segurança de API

Deixe sua opinião!