MANUAL BÁSICO DE PROTEÇÃO NA INTERNET
Versão: 1.01
Por: Renato Shirakashi de Sousa
------------------------------------------------------
SHIRAKASHI’S WEB PAGE -- http://www.shirahp.cjb.net
Autor: Renato Shirakashi de Sousa
------------------------------------------------------
1. Introdução
2. Trojan e vírus
3. Recomendações Básicas
4. Protegendo seu sistema
5. Identificando Netbus e Back Orifice
6. Conselhos Finais --------------------------------------------------------------------------------------------------------------------------
*** O Uso das Informações aqui contidas é de exclusiva responsabilidade do praticante ***
--------------------------------------------------------------------------------------------------------------------------
1. INTRODUÇÃO
Usuários de computador e Internet estão sujeitos a todo tipo de espionagem na rede. Por isso estou criando
este manual, para proteger VOCÊ usuário. Não espere estar imune para sempre de qualquer ataque pela rede
(quando digo rede, me refiro à Internet), mas sim mais protegido e seguro, evitando os ataques manjados de
sempre. Para tanto há também algumas recomendações que devem ser seguidas para manter seu computador
menos acessível. É um texto pequeno e rápido de ser lido, embora simples e complicado ao mesmo tempo,
mas que o ajudará bastante.
É bom deixar claro que o que quero é evitar que FDP de Lammers sem vergonha que não têm nada o que
fazer fiquem acessando e apagando dados de seu computador. As vezes pegam sua senha de provedor e
espalham para meio mundo e se acham os hackers profissionais... Os hackers de verdade, que ela seja dita,
não se importam com computadores pessoais e nem apagam nada de seus alvos. Por isso não os chamem de
Hacker, mas Lammers.
Pra começar vou dizer o que me estimulou a fazer esse texto.
Outro dia, não sei o que me deu na cabeça que resolvi entrar num chat. Lá, normal, um cara chega com uma
mensagem mais ou menos assim: "Depois de 3 anos procurando algum modo de não pagar impulsos
telefônicos quando se connecta à internet, já estava quase desistindo, quando fiquei sabendo que várias
empresas telefônicas estavam sendo privatizadas e tendo os seus sistemas atualizados... Então retomei o meu
trabalho e descobri vários "bugs" fixos nestes sistemas operacionais ! E o resultado do meu trabalho surgiu 2
meses depois da "grande descoberta", é o Dial-Up Free Call Crack, com este programa basta você colocar o
DDD da sua cidade + o telefone da sua provedora e os dados da sua conta (login e password) que as linhas da
provedora aceitarão sua ligação à cobrar !!!" Bem é isso... Agora eu digo, depois de verificar, que era uma
grande tramóia, é claro. A questão é saber se você saberia. Alguns sim, mas a maioria não. Então eu via todo
mundo no chat falando que estava pegando o programa e tal. Foi então que pensei em fazer esse texto. E
desse fato que descrevi já vem a primeira lição: Tome cuidado com qualquer programa conseguido na
Internet, principalmente quando não de grande empresas. Nunca confie o suficiente para digitar seu username
e senha... Nunca... Outra lição já vem embutida: não confie em promessas milagrosas. Sempre consulte
alguém mais experiente.
Obs.: Caso você não entenda algum termo ao ler o texto, pule e não se preocupe, por que ele não será tão
importante pra você. Caso você queira pular a teoria e ir direto à prática tudo bem também, problema seu.
-------------------------------------------------------------------------------- 2. TROJANS E VÍRUS
Atualmente, as invasões feitas por lammers são feitas através de trojans. Trojan é a simplificação de Trojan
Horse (Cavalo de Tróia). Embora muitas pessoas pensem que trojans sejam como vírus, existe uma diferença
essencial: enquanto os vírus infectam os arquivos, os trojans já são arquivos em si, na maioria das vezes
executáveis. Por isso, a propagação do trojan é mais difícil e mais fácil de ser controlada. Considere um trojan
como um programa que fica escondido em seu computador.
Um trojan pode fazer milhares de coisas em seu computador. Apagar dados, modificar dados, pegar senhas e,
entre outros, deixar seu computador disponível para outras pessoas terem acesso ao suas informações. É nesse
aspecto em que eles são explorados por lammers para invadir seu computador.
-------------------------------------------------------------------------------- 3. RECOMENDAÇÕES BÁSICAS
É altamente recomendável que você leia todos os ítens a seguir:
- QUANTO AO NOME DE USUÁRIOS E SENHAS
Ao cadastrar-se seja no seu provedor ou num serviço qualquer de e-mail grátis por exemplo, não utilize
senhas como seu nome, login, nome de pai, de mão, de irmão, data de nascimento, "secreto", coisas do tipo.
Quando/Se alguém for tentar descobri-la, utilizará exatamente esses dados como primeira referência. Por isso,
para sua segurança utilize senhas extensas e sem sentido, o que dificultará, e muito, o trabalho de quem tenta
descobri-la, tomando-lhe tempo e espaço em disco, o que geralmente o levará a desistir. Senhas como:
"fuigreto87h" são eficientes (não vá usar essa senha!). Extensas, misturam letras e números, outra boa
recomendação. (veja também quanto a Internet, abaixo)
- QUANTO ÀS MENSAGENS DE E-MAIL
Mensagens de e-mail recebidas por pessoas desconhecidas (até mesmo de conhecidas) são muito perigosas.
Por enquanto, risco nenhum você corre ao apenas ler a mensagem, sem executar qualquer arquivo
atachado(que vem junto) a mensagem. Esses são arquivos perigosos. Podem ser arquivos infectados com
vírus ou trojans. Pessoas no mundo inteiro estão sendo vítimas de programas assim. Portanto, só abra arquivo
atachado em e-mails se souber de quem ele vem e se essa fonte é confiável, bem confiável. Mas o bom é mesmo é
sempre consultar alguém mais experiente.
- QUANTO AOS ANTI-VÍRUS
É muito importante ter um bom e atualizado anti-vírus em seu computador. Ao contrário do que muitas
pessoas pensam, os anti-vírus não podem detectar todos os vírus existentes. Normalmente os anti-vírus apenas
detectam aqueles vírus que estão presentes na sua lista de vírus. Essa lista deve ser atualizada sempre, para
que novos vírus que surgem a cada dia possam ser também detectados. Portanto é muito importante ter
sempre a última atualização de seu anti-vírus instalado em seu computador. É ineficiente ter um um bom
programa como o “Vírus Scan” mas com atualização de 2 anos atrás. No caso desde, as atualizações podem
ser feitas através de www.mcafee.com
- QUANTO À INTERNET EM GERAL
Muitos sites prometem zerar sua conta no seu provedor. Você então deve digitar o nome de usuário, seu
provedor e sua senha. Dizem haver um erro de proteção nos provedores.... ? Gente, marmelada! Não confie
em nenhum ou qualquer programa ou site que lhe diga coisas desse tipo. Na verdade eles querem roubar seu
username e senha de acesso. O importante é não confiar em falsas promessas, estar sempre de olho. Para saber
até que ponto confiar use do bom senso e, novamente, consulte alguém confiável e mais experiente.
- QUANTO A DOWNLOADS E TROCAS DE ARQUIVOS VIA ICQ OU SEMELHANTES
Valem as recomendação dadas sobre e-mails. Não se esqueça também de ter um bom anti-vírus atualizado.
É sempre bem mais confiável fazer downloads direto das empresas de origem do programa, ou em grandes
sites como www.download.com. Caso você não sabia a origem do programa não confie simplesmente. Vale
também frizar que trocas de arquivos de ICQ envolvem altos riscos também. Aí mesmo é que você não sabe a
origem do arquivo. No ICQ, aliás, é onde ocorrem as maiores distribuições de trojans na Internet. Um passa
para o outro, dizendo que é um joguinho e tal... Então dá um erro e não dá pra jogar. O computador pode
então estar infectado. É o que acontece. Portanto tome cuidado.
Obs.: É claro que arquivos TXT, imagens, não sendo arquivos executáveis nem sujeitos a macros como o
Microsoft Word e Excel, não oferecem risco ao seu computador.
-------------------------------------------------------------------------------- 4. PROTEGENDO SEU SISTEMA
A localização e remoção de vírus pode ser feita perfeitamente através de um bom anti-vírus atualizado. A
maioria dos trojans, no entanto só podem ser desativados manualmente, já que são arquivos executáveis e não
parte de um.
Hoje é simples detectar e remover trojans conhecidos como Back Orifice(BO) e Netbus. Existem vários
programas diferentes para isto. Porém, a quantidade de trojans existentes hoje é muito maior. Por isso, é
necessário que se tenha uma técnica para remoção de qualquer trojan deste estilo. (estamos falando de trojans
que abrem portas de seu computador para invasões). É o que direi como fazer agora.
Os trojans, quando são executados pela primeira vez em um computador, mechem no registro do windows
pois precisam ser ativados toda vez que o computador inicia, para, assim, funcionarem. Executados, eles abrem
portas do computador para eventuais invasões na Internet. Uma vez que o invasor se conecta ao computador
da vítima (host), o trojan da vítima recebe os dados do invasor e evia-o outros. Por exemplo: invasor quer ver
os arquivos da vítima. Então o computador dele envia um pedido para ver os arquivos para o outro
computador numa porta aberta pelo trojan instalado na vítima. O trojan recebe a informação do outro
computador, verifica seu significado e faz o pedido: envia de volta a lista de arquivos do computador em que
está instalado. Veja abaixo:
COMPUTADOR "quero a lista de arquivos"* COMPUTADOR
DO ----------------------------------------------- > TROJAN** DA
INVASOR Lista de arquivos*** VÍTIMA
< ---------------------------------------------------
* O computador do invasor pede a lista de arquivos do computador através de um código
** O trojan recebe a informação, decodifica e faz o que foi pedido (pega a lista de arquivos)
*** O trojan envia a lista de arquivos do computador da vítima para o invasor
Pode-se percebe então que o trojan sempre trabalha em dupla com um programa do computador do invasor.
Por isso, os programas como Netbus e Back Orifice precisam ter seus trojan específicos instalados no
computador. Em outras palavras: o trojan do Netbus não trabalha com o programa invasor do Back Orifice e
vice-versa. Programas host e cliente (como são chamados) dependem um do outro.
Portanto, retomando o assunto inicial, quando os trojans não são executados, não há como alguém invadir o
computador por esse sistema, pois não haverão portas abertas, nem o programa para reconhecer os dados
enviados pelo computador do invasor.
Outro fato importante também é saber que para um programa ser executado toda vez que o windows 95/98
inicia é preciso este programa estar no registro do windows para ser executado. Portanto, o que devemos fazer
é ir ao registro do windows e retirar esse programa da lista dos que devem ser executados ao inicializar o
computador. Deve também tomar cuidado, pois mecher incorretamente no registro do windows pode ser
desastroso. Não se deve também apagar todas as entradas do registro que se referirem a execução na
inicialização, deve-se saber qual é a entrada do registro que se refere ao(s) trojan(s).
Para se editar o registro do windows execute o arquivo REGEDIT.EXE no diretório do windows. Para isso,
você pode simplesmente ir em INICIAR -> EXECUTAR -> digite então REGEDIT -> OK. Depois, uma vez
com o programa exucutado, acesse:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run São nessas chaves onde estão localizadas as informações sobre execução de arquivo. Pode parecer
complicado no começo, mas é simples. Dentro dessas chaves são normais coisas como Virus Scan, task
Monitor, System Tray, Scan Registry, Load Power Profile. Porém cheque esses programas aí descritos porque
um deles pode ser um trojan. Nomes como Server, Blade Runner, Patch, são suspeitos. Porém cheque todos se
possível com a ajuda de alguém mais experiente. Caso seja constatada a presença de um trojan, tome cuidado
ao apagar a entrada referente. É recomendado fazer um Backup do registro antes de operações como essa.
Apague também o arquivo do trojan em seu respectivo diretório. Além disso, procure por arquivos com o
mesmo nome em todo o seu computador e apague respectivos clones.
É importante levar em consideração que podem existir trojans diferentes que não podem ser excluídos dessa
maneira, embora a mais eficiente e confiável.
Vale a pena também checar o arquivo: AUTOEXEC.BAT por eventuais entradas estranhas, localizado na raiz
principal de seu computador, C:\, geralmente. Para checar esse arquivo utilize qualquer editor de texto, como
,por exemplo, o NOTEPAD do próprio windows.
Cheque também, se há algum programa estranho no menu iniciar: INICIAR -> PROGRAMAS -> INICIAR -> ?????
Por fim, verifique também se há algum programa estranho no arquivo WIN.INI no diretório do windows, na chave
"run=" ou "load="
Os trojans precisam ser executados pelo menos uma vez para modificar o registro do windows, por isso, se
eles nunca foram executados, não infectaram o computador ainda, e podem ser apagados normalmente
(simplesmente apagar o arquivo do trojan). Veja abaixo como identificar os mais conhecidos abaixo:
Obs.: Lembre-se de que qualquer causado dano ao seu computador por uso utilização de qualquer método
descrito nesse texto é de exclusiva responsabilidade sua. -------------------------------------------------------------------------------- 5. RECONHECENDO NETBUS E BACK ORIFICE
NETBUS
Ícone: uma tocha
Tamanho: 461KB (472.576 bytes)
Nome habitual do arquivo: Patch.exe -> pode mudar
Obs.: Ao ser executado, nada acontece e uma segunda cópia do arquivo é feita para o diretório do Windows,
geralmente nomeada de Patch.exe
Se encontrar algum arquivo com mesmo ícone e idêntico tamanho, apague.
BACK ORIFICE
Ícone: EM BRANCO
Tamanho: 122KB (124.928 bytes)
Nome habitual do arquivo: BOSERVE.EXE -> pode mudar
Obs.: Ao ser executado, o arquivo some, e uma segunda cópia do arquivo é feita para o diretório do Windows,
geralmente nomeada de .exe (isso mesmo ".exe"). Novos anti-vírus já detectam a presença do Back orifice,
desde que atualizados.
Se encontrar algum arquivo com mesmo ícone e idêntico tamanho, apague.
OUTRAS PRECAUÇÕES:
Tome cuidado porque alguns programas renomeiam esses arquivos e mudam seus ícones para enganar as
pessoas. Por isso, preste bem atenção sempre ao tamanho do arquivo, e se possível abra-o em modo TEXTO,
por exemplo, no Microsoft Word, e veja se as duas primeiras letras iniciais são “MZ”. Caso positivo, quer
dizer que é um arquivo executável (.exe) escondido. Se o tamanho for o mesmo do Netbus ou Back Orifice,
ou qualquer outro trojan que você saiba o tamanho do arquivo trojan, as chances são muito grandes de ser
uma armadilha, portanto apague o programa inteiro que contenha esse arquivo.
--------------------------------------------------------------------------------
6. CONSELHOS FINAIS
Ao ler este texto por completo você já tem uma noção de como não se tornar tão vulnerável na Internet. É
importante sempre evitar correr riscos, se precaver. Comece a sempre prestar atenção em arquivos que recebe,
faz downloads, ou executa. Se ao estar conectado à Internet algo de estranho ocorrer, desconecte, reinicie o
computador e procure a causa. Coisas como a porta do CD abrir, lentidão repentina de conexão, mensagens
estranhas são típicas de ataques de trojans.
Outra recomendação é deixar sempre seu número de IP sempre com difícil acesso. Número de IP é como um
número de identificação de cada computador na Internet. Dependendo do seu provedor, ele pode ser fixo
(sempre o mesmo), ou dinâmico, que muda a cada vez que você se conecta à internet. A maioria das pessoas
têm IP’s dinâmicos. O número de IP é em seguinte formato: xxx.xxx.xxx.xxx . Exemplo: 250.231.120.135.
Esconder esse número é muito importante, pois sem ele não há invadir seu computador.
Através do ICQ(acho que todos conhecem) é muito fácil conseguir o número de IP de alguma outra pessoa
que também o esteja usando. Mas pode-se dificultar. Para isso, no ICQ, clique em ICQ -> Security and
Privacy. Na janela que se abre ative "Do not publish IP address".
Continuando no ICQ, caso você seja usuário do ICQ99 e tiver ativado sua página no ICQ, desative-a em:
Services -> My ICQ Page -> Desactive Homepage. Foi descoberto um bug a respeito dessa opção.
Embora esse tenha sido um texto pequeno e rápido, é importante para que você possa se tornar mais seguro na
Internet. O importante é seguir os conselhos estar sempre alerta. :-)
-------------------------------------------------------------------------------- SHIRAKASHI’S WEB PAGE -- http://www.shirahp.cjb.net
Autor: Renato Shirakashi de Sousa
--------------------------------------------------------------------------------
Qualquer erro/equívoco/sugestão notifique-me via e-mail: shira@mailbr.com.br . Obrigado.
-------------------------------------------------------------------------------- |
