O que são Worms?

Quando falamos de vírus, o tema dos vermes não fica muito atrás. Eles são outra grande ameaça. Ao contrário dos vírus, que por definição exigem algum tipo de ação para ocorrer para desencadear o seu prejuízo, worms são totalmente auto-replicante. Worms efetivamente usam o poder das redes e da velocidade para se espalhar de forma muito perigosa e eficaz seus pedaços de malwares.

Um exemplo é o verme SQL Slammer do início dos anos 2000. Na época, o verme Slammer era responsável por desacelerações generalizadas e severas negações de serviços (DoS) na Internet. O worm aproveitou o fato de que os sistemas que tinham SQL Server ou produtos de desktop do SQL Server que eram vulneráveis ??a um estouro de buffer (buffer overflow). Embora a Microsoft tenha lançado um patch seis meses antes da estréia do worm, muitas organizações negligenciaram a instalação do patch. Com essa vulnerabilidade ainda presente em tantos sistemas, as condições para o ataque estavam propícias. Na manhã de 25 de janeiro de 2003, o verme foi ativado – e em 10 minutos, 75.000 máquinas foram infectadas, juntamente com muitos mais nas horas seguintes.

Um olhar mais atento no Slammer

No pico de sua atividade, o Slammer estava duplicando o número de sistemas infectados a cada 8,5 segundos. Esta taxa de replicação até então nunca vista era 250 vezes mais rápida que a do detentor de registro anterior, Code Red.

Slammer foi capaz de se espalhar tão rapidamente graças a uma série de fatores relacionados ao qual foi construído e o ambiente em que foi implantado. Muitos sistemas foram deixados sem o patch, apesar da disponibilidade de uma correção, resultando em um ambiente fértil para a exploração. Muitos roteadores na Internet dobraram e caiu sob o tráfego intenso por causa do worm. Como resultado da falha dos roteadores, o tráfego foi redirecionado e as tabelas de roteamento foram atualizadas em outros roteadores, o que resultou em falhas adicionais. Além disso, o worm inteiro (376 bytes) poderia estar contido dentro de um único pacote UDP (User Datagram Protocol), permitindo que ele fosse replicado rapidamente e enviado para outras vítimas.

O funcionamento de worms de computador

Worms são uma forma avançada de malware, em comparação ao vírus, e têm objetivos diferentes em muitos casos. Uma das principais características dos worms é sua capacidade inerente de se replicar e se espalhar pelas redes de forma extremamente rápida, como mostra o exemplo do Slammer. A maioria dos worms compartilha certos recursos que ajudam a definir como eles funcionam e o que eles podem fazer:

  • Não exigem um aplicativo host para executar suas atividades;
  • Não requer necessariamente qualquer interação do usuário, direta ou não, para funcionar;
  • Replicar extremamente rápido em redes e hosts;
  • Consumir largura de banda e recursos.

Consumir largura de banda e recursos pode ou não indicar um worm. Qualquer desaceleração desse tipo precisa ser investigada mais para determinar se é causada por worms.

Worms também pode executar algumas outras funções:

  • Transmita informações de um sistema alvo de volta para outro local especificado pelo designer;
  • Carregue um payload, como um vírus, e deixe cair esta carga em vários sistemas rapidamente.

Com essas habilidades em mente, é importante distinguir worms de vírus, considerando um par de pontos-chave:

  • Um worm pode ser considerado um tipo especial de malware que pode replicar e consumir memória, mas ao mesmo tempo não se anexa normalmente a outros aplicativos ou software;
  • Um worm se espalha através de redes infectadas automaticamente e exige apenas que um host seja vulnerável. Um vírus não tem essa habilidade.

Worms podem ser criados usando os mesmos tipos de técnicas que vimos anteriormente com vírus. Você pode criar um worm, seja codificando você mesmo ou usando um dos muitos utilitários disponíveis.

Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *