Diferenciar ameaças: vírus, worms, trojans, ransomware, spyware, adware, rootkits, botnets, keyloggers, etc.
Modos de propagação, ações maliciosas e impactos em sistemas e dados – Nível CEBRASPE.
Vírus: necessita de um hospedeiro (arquivo executável, script, macro) e se espalha por ação do usuário (abrir anexo, executar programa). Infecta outros arquivos.
Worm: não precisa de hospedeiro; se replica automaticamente pela rede (e-mail, vulnerabilidades, compartilhamento), consumindo banda e recursos.
Ex.: Vírus de macro em documentos Office; Worm Conficker (2008) explorou vulnerabilidade do Windows.
TROJAN E RANSOMWARE
Trojan (cavalo de Troia): disfarça-se de software legítimo, mas executa ações maliciosas (roubo de dados, backdoor). Não se replica.
Ransomware: criptografa arquivos e exige resgate (ransom) para descriptografar. Ex.: WannaCry, Locky.
Ransomware pode ser do tipo "locker" (bloqueia acesso ao sistema) ou "crypto" (criptografa arquivos).
SPYWARE E ADWARE
Spyware: monitora atividades do usuário (hábitos de navegação, teclas digitadas, captura de tela) e envia a terceiros sem consentimento.
Adware: exibe publicidade indesejada (pop-ups, banners). Muitos adwares são legítimos mas incômodos; alguns coletam dados.
Keylogger é um tipo de spyware especializado em capturar digitações (senhas, mensagens).
ROOTKIT E BOTNET
Rootkit: conjunto de ferramentas que esconde a presença de malware no sistema (hooks no kernel, modificações em APIs). Dificulta detecção.
Botnet: rede de computadores zumbis infectados (bots) controlados remotamente (C&C) para ataques DDoS, spam, mineração.
Botnets podem usar canais de IRC, HTTP, P2P para receber comandos.
BACKDOOR E KEYLOGGER
Backdoor: porta dos fundos que permite acesso remoto não autorizado ao sistema. Pode ser instalado por trojan ou deixada por atacante. Keylogger: registra cada tecla pressionada. Pode ser software ou hardware (dispositivo físico conectado ao teclado).
CRIPTOJACKING
Mineração de criptomoedas sem consentimento, consumindo CPU/GPU do usuário. Pode ser executada via script em páginas web ou malware.
ROGUEWARE / FAKE AV
Software falso que se passa por antivírus, alegando infecções inexistentes e coagindo o usuário a pagar por versão "completa".
BOOTKIT / FIRMWARE MALWARE
Infecta setor de boot (MBR ou UEFI) ou firmware próprio, persistindo mesmo após reinstalação do sistema operacional.
Classificação e propagação – malware em detalhes
Diferenças fundamentais, vetores e efeitos
1. Vírus × Worm – a diferença clássica
Vírus: requer ação humana para se espalhar (executar um arquivo infectado, abrir anexo). Infecta arquivos executáveis, scripts, macros. Pode ter payload destrutivo ou apenas replicação.
Worm: auto-replicante, não precisa de hospedeiro nem ação humana. Explora vulnerabilidades de rede, e-mail (envia cópias automaticamente), unidades removíveis. Consome banda e pode travar redes.
Exemplo de worm famoso: Morris (1988), ILOVEYOU (2000), Blaster (2003).
2. Trojan – a diferença crucial
Trojan não é vírus, pois não se replica. O usuário é enganado para executá-lo (falso instalador, atualização, "ferramenta de crack"). Uma vez ativo, pode abrir backdoor, instalar outros malwares, roubar dados. Exemplos clássicos: Emotet (originalmente trojan bancário), Zeus.
3. Ransomware – duas variantes principais
Locker ransomware: bloqueia acesso ao sistema (tela de bloqueio), mas não criptografa arquivos. Exige resgate para desbloqueio (menos comum hoje).
Crypto ransomware: criptografa arquivos do usuário (documentos, fotos, bancos de dados). Exige pagamento em criptomoeda pela chave de descriptografia.
Prevenção: backup offline, atualizações, filtro de e-mails, restrição de execução de macros.
4. Spyware e Adware – diferenças e sobreposições
Spyware foca em espionagem: coleta dados de navegação, credenciais, histórico, hábitos. Geralmente instalado sem consentimento ou acoplado a freeware.
Adware exibe anúncios. Muitos adwares legítimos são aceitos em troca de software gratuito; os mal-intencionados redirecionam buscas, instalam extensões indesejadas.
Keylogger: subtipo de spyware que registra todas as teclas pressionadas – grave risco para senhas.
5. Rootkit – técnica de ocultação
Rootkit pode modificar o kernel do sistema operacional ou usar técnicas de hooking para esconder processos, arquivos, registros, conexões de rede. Detectá-lo é difícil; requer análise forense, scanners específicos (como GMER) ou varreduras offline. Rootkits em UEFI são particularmente perigosos.
6. Botnet e seu funcionamento
Botnet é uma rede de dispositivos infectados (bots) controlados por um atacante (botmaster). Usada para: ataques DDoS, envio de spam, mineração de criptomoedas, distribuição de malware, roubo de dados. Protocolos de comando: IRC, HTTP, P2P. Exemplo: Mirai (botnet de IoT).
Tabela comparativa de malwares (recorrente em provas)
Tipo
Propagação
Persistência
Principal efeito
Exemplo
Vírus
Ação do usuário (executar arquivo)
Infecta outros arquivos
Corrupção de arquivos, degradação
Cerebro, Melissa
Worm
Autônoma via rede
Auto-replicação
Consumo de banda, sobrecarga, propagação
Conficker, Stuxnet (worm + outras capacidades)
Trojan
Engenharia social
Não se replica; instala backdoor
Controle remoto, roubo de dados
Zeus, Emotet
Ransomware
Anexos, exploits, downloads drive-by
Criptografia ou bloqueio
Perda de acesso a dados; resgate
WannaCry, Locky
Spyware
Instalado oculto em freeware
Monitora continuamente
Coleta de informações pessoais
CoolWebSearch, FinFisher
Adware
Pacotes de software gratuito
Exibe anúncios
Incômodo, redirecionamento
HuntBar, Fireball
Rootkit
Após invasão
Oculta presença
Dificulta remoção; backdoor
Sony BMG rootkit, Alureon
Keylogger
Spyware ou hardware
Registro de teclas
Captura senhas, mensagens
Ardamax, HawkEye
Questões comentadas – Malware (Cebraspe)
1. (CESPE/CEBRASPE – adaptada) Ao contrário do vírus, o worm não necessita de um arquivo hospedeiro para se propagar, podendo se espalhar automaticamente pela rede.
Gabarito: CERTO. É a principal diferença entre os dois.
2. (CESPE – adaptada) Um cavalo de Troia (trojan) se replica automaticamente para outros computadores da rede, assim como um worm, mas com a diferença de que precisa de interação do usuário para iniciar.
Gabarito: ERRADO. O trojan não se replica; o usuário o executa voluntariamente. A replicação não é característica do trojan.
3. (CESPE/CEBRASPE – adaptada) Ransomware pode criptografar arquivos pessoais e do sistema, exigindo pagamento de resgate; a melhor forma de proteção contra esse tipo de ameaça é manter backups regulares offline.
Gabarito: CERTO. Backups isolados (desconectados do computador) permitem restaurar arquivos sem pagar resgate.
4. (CESPE – adaptada) Rootkit é um tipo de malware que tem como única função exibir propagandas indesejadas durante a navegação.
Gabarito: ERRADO. A descrição é de adware. Rootkit foca em ocultar atividades maliciosas e garantir persistência.
5. (CESPE/CEBRASPE – adaptada) Keyloggers podem ser implementados tanto por software quanto por dispositivos físicos (hardware) conectados entre o teclado e o computador.
Gabarito: CERTO. Keyloggers de hardware são menos comuns, mas existem, usados em ataques direcionados.
6. Um botnet é uma rede de computadores controlada remotamente por um atacante, geralmente usada para enviar spam ou realizar ataques DDoS.
Gabarito: CERTO. Definição clássica.
Vetores de infecção comuns e como se proteger
Principais vetores
E-mail: anexos infectados, links de phishing.
Downloads: softwares de fontes não oficiais, cracks, keygens.
Dispositivos removíveis: pendrives, HDs externos (exploram autorun ou arquivos infectados).
Exploits de navegador: drive-by download em sites comprometidos.
Engenharia social: indução a executar arquivos maliciosos.
Medidas de proteção
Antivírus/antimalware atualizado (assinaturas e heurística).
Firewall pessoal e de rede.
Atualizações de sistema e softwares (patches de segurança).
Política de execução restrita (não executar macros de fontes desconhecidas).
Programas iniciando sozinhos, mudanças na página inicial do navegador.
Arquivos criptografados com extensões estranhas (ransomware).
Alertas de segurança falsos (rogueware).
Aumento de tráfego de rede sem justificativa (botnet).
Ação imediata: desconectar o computador da rede, executar antivírus em modo de segurança, restaurar backup. Para ransomware, evitar pagar resgate: não garante recuperação e financia criminosos.