Spywares, trojans, vírus e programas de proteção

Este tópico é destinado a auxiliar as pessoas que estão tendo seu primeiro contato com malwares (spywares, trojans e vírus diversos), bem como aqueles que querem saber um pouco mais sobre variantes das ameaças e programas indicados na sua prevenção e remoção:


Malwares:


É como se denominam genéricamente os programas que realizam tarefas nocivas sem que o usuário tenha conhecimento disso. Nele estão compreendidas as seguintes categorias:

Spyware: monitora o uso do computador, podendo roubar informações como a sua lista de endereços de e-mail, por exemplo, enviando-a para spammers e hackers.

Adware: normalmente mostra banners aleatoriamente e monitorar o seu uso da Internet, podendo roubar informações relativas à navegação (sites visitados). Em alguns casos gera a abertura indiscriminada de janelas popup, muda página principal do navegador, força a abertura de páginas específicas etc.

Vírus: programa que têm como finalidade destrutiva, infectando arquivos, partições, setores de boot, podendo inclusive afetar a navegação de sites. Em geral vírus é definição genérica, entendendo-se que se desdobram em variantes, como trojans, worms etc. Antes das modernas classificações designavam qualquer programa nocivo ao pc como vírus. Com o tempo, a classificação foi se aprimorando, ficando bem definidos outros tipos de ameaças.

Worm: programa que têm como finalidade atacar diretamente o uso do computador e o sistema operacional. Os worms em geral se propagam rapidamente, infectando grande número de computadores através da internet, causando fortes danos e prejuízos a empresas e pessoas comuns. Entre os worms estão alguns dos mais perigosos instrumentos de danificação e destruição do sistema. Danificam o sistema, atrapalham a conexão com a internet, forçam reinicializações etc, dependendo da finalidade para a qual foi projetado o worm.

Trojan: aplicativo que ao ser instalado no seu computador, abre um canal de comunicação externo para que hackers possam acessar o seu computador sem o seu conhecimento. Exemplo muito atual dessas ameaças são os trojans bancários, conhecidos por furtar senhas bancárias dos usuários infectados que realizam transações bancárias pela internet. Em geral são reconhecidos como variantes dos trojans os keyloggers (ladrão de senhas), dialers (fazem chamadas internacionais não solicitadas) e backdoors (abrem portas no pc, preparando-o para invasão).


Programas de proteção


Abaixo encontram-se programas indicados na proteção e segurança do computador:


Antispywares e Anti-trojans


Ad Aware: um dos melhores antispywares do momento. Tem atualizações atualizações bastante frequentes. É freeware na sua versão SE. Download: http://www.lavasoftusa.com/support/download/

Spybot: programa tradicional entre os antispywares, com bom sistema de remoção e detecção. Programa freeware. Download: http://www.safer-networking.org/pt/mirrors/index.html

Windows Defender: antigo Microsoft Antispyware. Possui boa proteção residente, e um bom scan. Atualmente encontra-se ainda na versão beta (em desenvolvimento). Download: http://www.microsoft.com/athome/security/spyware/software/default.mspx

Spy Sweeper: bom índice de detecção, forte proteção residente e controle de aplicativos que inicializam com o pc. Programa shareware (pago). Download da versão de testes: http://www.webroot.com/consumer/?rc=481&ac=spysweeper

Spyware Doctor: Bom programa de remoção de spywares. Também é shareware (pago). Download: http://www.pctools.com/spyware-doctor/?ref=google_sd

SpywareBlaster: programa que serve no monitoramente de efeitos nocivos do active-x, e ajuda a prevenir a infecção por spywares. Não possui ferramentas para scan e remoção, e atua principalmente na prevenção de infecções, através de proteção residente, podendo inclusive restringir o acesso a sites nocivos. É freeware (gratuito). Download: http://www.javacoolsoftware.com/spywareblaster.html

AVG AntiSpyware: é um spyware e anti-trojan. Tem uma base muito sólida que permite detectar grande número de trojans e também spywares, facilitando a vida de quem quer segurança para o pc. É shareware (pago). O programa chamava-se Ewido antes de ser adquirido pela Grisoft. Download: http://www.ewido.net/en/download/

A-Squared: anti-trojan também bastante conhecido, com boas atualizações e bom scan. Possui versão free e paga. Download: http://www.emsisoft.com/en/software/download/

Existem diversos outros programas antispywares e anti-trojans, bons e ruins. Não listei todos no tópico para não torná-lo cansativo. Cabe ao usuário ao se deparar com um programa desses que seja menos conhecido fazer a devida pesquisa, a fim de não causar danos ao seu sistema, pois existem inclusive antispywares falsos, que são na verdade programas nocivos, conforme podem ver em link que postei mais abaixo a respeito.


Ferramentas de diagnóstico


HijackThis: programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral. Através dele pode ser gerado um log, por meio do qual é possível verificar os processos ativos do Windows e de programas úteis, assim como os processos nocivos e maliciosos, possibilitando a remoção destes últimos. Por considerá-lo de grande utilidade, abaixo constei algumas informações importantes para se utilizar esse programa. Freeware. Download: http://www.hijackthis.de/
Tutorial Hijackthis: como esse programa é muito usado, e não é tão simples de se usar, estou colocando o link para um tutorial muito bom dele: http://linhadefensiva.uol.com.br/docs/hijackthis-completo/
Reconhecer executáveis nocivos: como essa tarefa nem sempre é fácil, estou disponibilizando o link do site "Linha Defensiva" onde é possível tirar a dúvida se o aplicativo é próprio do Windows, de programa utilizado no pc, ou se trata-se de um malware:
Processos: http://linhadefensiva.uol.com.br/processos/
Entradas de inicialização: http://linhadefensiva.uol.com.br/inicializacao/
Como fazer análise on line dos logs do HijackThis?
Inicialmente gere um log do sistema entrando no programa e clicando no botão "Do a system scan and save a logfile". Gerado o log em arquivo txt, copie seu conteúdo. Na parte de baixo da página do HijackThis existe um espaço em branco no meio da página, onde está escrito "You can paste a logfile in this textbox ", que serve para você colar seu log. Depois de colar, mais embaixo encontra o botão "Analyze" (analisar). Clique nele e verá a analise on line do seu log. Outra maneira é simplesmente salvar seu log em alguma pasta do seu computador e no mesmo site clicar em "or you can choose a logfile from your computer", que fica abaixo do espaço em branco reservado para a colagem. Ele vai abrir uma janela para você selecionar o log que está salvo na pasta que você escolheu, e após clicar em "Analyse" ele gerará a análise da mesma forma. Temporariamente o site disponibiliza o link da análise, logo abaixo de onde está escrito “The following analyses has been stored temporarily”.
As entradas do log no site geralmente são separadas da seguinte forma:
arkGreen"> “Very Safe” e arkGreen">“Safe”: são reconhecidas como entradas legítimas do Windows e programas. Não se deve mexer nelas.
“Nasty”: em geral um programa suspeito ou malicioso, possivelmente um malware. Se não for de algum programa conhecido, delete a entrada.
“Possibly Nasty”: é possível que seja um malware, mas o site não pode determinar isso com certeza. Se não reconhecer o programa com essa inscrição, o mais recomendável é apagar a entrada.
arkOrange"> “Unknown”: entrada desconhecida do site. Ele não sabe dizer do que se trata. Avalie com calma essa entrada, e se for o caso apague-a.
arkRed"> “Unnecessarily”: entrada desnecessária. Pode ser um programa já desinstalado que ainda conservou entradas ativas no sistema, por exemplo. Em geral pode ser apagada sem problemas.
arkGreen"> Para análise rápida (mais direta) do log, depois de mandar analisar, clique no link “short analisys”, no final da página. Abrirá uma janela apenas com as entradas que foram consideradas suspeitas pelo site, para uma análise mais tranqüila do usuário.
Como remover ameaças usando o HijackThis?
Após feita a análise detalhada e com calma do log, passamos à remoção, usando o próprio HijackThis. Abra o programa e clique em "Do a system scan only". O programa fará então a busca no sistema e apresentará as entradas relevantes, com uma caixa de texto na frente de cada linha, para que o usuário marque as que deseja remover. Escolha as que devem ser removidas, e clique em "fix checked". Em seguida, faça um novo scan e gere um novo log, analisando novamente no site, para ter certeza que a entrada nociva foi removida.

A-Squared HijackFree: não se trata de um antispyware, mas de uma ferramenta de diagnóstico interessante, que achei útil incluir nesta seção. Oferece a possibilidade de verificar portas abertas no pc, programas que iniciam com o computador, ver processos ativos e até ser utilizado quando o gerenciador de tarefas do Windows não estiver funcionando corretamente. Também bastante útil para identificar programas nocivos rodando junto com o pc. Download: http://www.emsisoft.com/en/software/download/


Dicas importantes:


É importante passar um scan de ao menos um programas desses ao menos uma vez por semana. A infecção por malwares em geral é muito comum para quem usa internet, e pode ocorrer de um momento para outro sem que o usuário perceba.

É útil também a utilização de programas com proteção residente, os chamados “guardas”, que monitoram a entrada de ameaças. Em geral apenas as versões pagas dos programas possuem guarda ativo. Ex: Ewido, Ad-Aware etc. O Spybot possui proteção residente contra alterações de registro, chamada Tea Timer. O guarda ativo muitas vezes impede a entrada de programas espiões.

Mesmo sem o uso de proteção residente, que a meu ver pode muito bem ser substituída por um scan periódico e profundo, usando ao menos dois programas antispyware e um anti-trojan. Inclusive em computadores de baixa configuração, o excesso de proteção residente pode influir negativamente no desempenho do sistema.

Ao contrário dos antivírus, que em geral geram conflitos quando instalados mais de um deles no pc, o mesmo não ocorre em geral com os antispywares. É até recomendável um scan periódicos com mais de um antispyware, pois eles possuem base de dados diversas, e um pode encontrar ameaça ainda não encontrada pelo outro.

Evite aceitar arquivos de desconhecidos via e-mail ou messengers. Eles podem conter vírus diversos e programas nocivos ao seu computador. Também evite clicar em links que são comumente enviados por e-mails, muitas vezes simulando bancos e empresas idôneas. Em geral eles conduzem a páginas contendo infecções, que podem dar bastante trabalho para serem removidas.

No tópico abaixo podem ser encontradas dicas e procedimentos a serem usados na remoção:
FAQ: problemas com vírus, spywares etc? Leia isto!

É importante salientar a existência de falsos programas antispywares. Em geral eles atuam negativamente no computador, seja instalando espiões ou dando falsos alertas que geram sensação de insegurança no usuário. Abaixo estão links úteis com informações a respeito e listagem de programas suspeitos:
http://linhadefensiva.uol.com.br/artigos/antispyware-falso/
http://www.spywarewarrior.com/rogue_anti-spyware.htm


Antivírus e Firewall


São dois programas essenciais a toda pessoa que pretende utilizar a internet nos dias atuais.

O antivírus inibe a ação de vírus, worms e trojans, e alguns deles possuem inclusive proteção contra spywares (a chamada proteção extendida). Programas indicados: http://forumgdh.net/viewtopic.php?t=76685

O firewall é uma barreira de acesso a internet. O bom firewall monitora os programas que acessam a internet do seu pc, detecta outros computadores tentando conexão com seu sistema (a chamada invasão). Programas indicados: http://forumgdh.net/viewtopic.php?t=76686

Um sistema para se considerar protegido precisa ter instalados no pc os seguintes softwares de segurança: antivírus, firewall e antispyware. Recomenda-se muito também um anti-trojan, para colaboração na detecção dessas ameaças.


Sobre este tópico


Procurei listar no tópico programas de reconhecida idoneidade, evitando programas experimentais ou de eficácia duvidosa.

Este é um tópico que visa principalmente orientar as pessoas a respeito de ameaças via internet, e compilar nele informações a respeito, evitando que elas fiquem espalhadas pelo fórum, dificultando sua procura pelas pessoas que necessitam dessas informações.