INSTITUTO SUMARÉ DE EDUCAÇÃO SUPERIOR – ISES FACULDADE SUMARÉ ANÁLISE DE ANTIVÍRUS JHONE FELIX RIBEIRO RA: 1111497 PAULO HENRIQUE SILVA SANTOS RA: 0922396 SÉRGIO PEREIRA RA: 1116262 SÃO PAULO 2013
INSTITUTO SUMARÉ DE EDUCAÇÃO SUPERIOR – ISESFACULDADE SUMARÉ
ANÁLISE DE ANTIVÍRUSJHONE FELIX RIBEIRO RA: 1111497
PAULO HENRIQUE SILVA SANTOS RA: 0922396 SÉRGIO PEREIRA RA: 1116262
SÃO PAULO2013
INSTITUTO SUMARÉ DE EDUCAÇÃO SUPERIOR – ISESFACULDADE SUMARÉ
ANÁLISE DE ANTIVÍRUSSÃO PAULO
2013
ANÁLISE DE ANTIVÍRUSTrabalho de conclusão do curso de Gestão da tecnologia da informação do Instituto Sumaré de Educação Superior - ISES.
Aprovado em __________ de_____Banca examinadora
Profº João Roberto Ursino da CruzFaculdade SumaréSÃO PAULO
2013
RESUMOO intuito desta monografia é apresentar a reação de um computador ao
contrair um vírus e, com base em testes, conseguir determinar de qual maneira a
máquina reage á estes ataques.
Utilizaremos computadores com sistemas operacionais semelhantes e com
as mesmas configurações de hardware, tendo em mãos vírus e antivírus para
realização dos testes para que assim consigamos também trazer a importância de
um antivírus instalado e operante em um micro.
Vários modelos foram escolhidos para demonstramos suas capacidades e
relevâncias acerca do quesito segurança e procurar o padrão ideal para cada
necessidade visando apontar qual dos softwares utilizados têm mais eficiência em
determinado objetivo ou num organograma projetado.
3
ABSTRACTThe purpose of this monograph is to present a computer's reaction to
contracting a virus and, on a test basis, unable to determine which way the machine
will react these attacks.
We use computers and similar operating systems with the same hardware
configurations, taking into hands viruses and antivirus protection for performing the
tests so that also manages to bring the importance of an antivirus installed and
running on a PC.
Several models have been chosen to demonstrate their capabilities and
relevance about the safety issue and seek the ideal for every need in order to point
out which of the software are used more efficiently in certain goal or an organization
chart designed.
4
SUMÁRIO
INTRODUÇÃO.............................................................................................................7
METODOLOGIA..........................................................................................................9
1. Ambiente de testes................................................................................11
1.1. Configuração das máquinas............................................................11
1.2. Configuração da rede......................................................................11
1.3. Aplicativo de Honeypot....................................................................12
2. Descrição da execução dos testes........................................................................14
3. Coleta de dados.....................................................................................14
4. Anomalia................................................................................................19
5. Análise de resultados.............................................................................20
CONCLUSÃO............................................................................................................21
REFERÊNCIAS BIBLIOGRÁFICAS..........................................................................22
DICIONÁRIO DE TERMOS TÉCNICOS....................................................................24
5
INTRODUÇÃO
A realização deste trabalho vem de forma especifica trazendo á tona a
realidade do diversos modelos de Antivírus e suas estruturas. Trouxemos
como tema uma forma de caracterizar alguns elementos base de segurança
que devemos ter em nossas maquinas. Iremos trabalhar com algumas
formas de injeção de vírus na intenção de mostrar todo o processo.
O grupo aborda o assunto referido por ser um dos temas mais discutidos
dentro de uma empresa. Qual é a empresa que não quer ser totalmente eficaz e
segura contra invasores? Claro que também não vamos abordar apenas o tema
empresa, pois sabemos que na sociedade moderna, todos desejam estar ilesos aos
males que as redes de computadores oferecem a fim de prejudicar outrem.
Sabemos que, além de destruição, roubo de informações sigilosas,
exposição de conteúdos pessoais e outros males, fica indispensável atentar-se á
questão segurança na internet, pois não só as empresas são alvos de ataques, mas
sim todas as pessoas que utilizam o recurso tecnológico compartilhado para que se
mantenham sempre atento ás famosas pegadinhas que o mundo virtual pode nos
trazer. Uma falha na questão segurança pode trazer problemas que por muitas
vezes causam um dano enorme seja em uma empresa ou em qualquer outro lugar.
Entendemos que se faz necessário a manutenção, atualização e uma notória
relevância á percepção da engenharia social para cada vez mais inibir ações
destrutivas ao computador e, consequentemente fornecer segurança qualificada
para um bom uso do computador.
Visando que estes computadores mantêm-se na eminência de ataques o
tempo todo, uma boa tratativa é a configuração do antivírus no que diz respeito à
varredura e permissão de acesso á portas para navegação instantânea limita e
esclarece os possíveis perigos e ameaças que nos sujeitamos no dia-a-dia da troca
de informações.
Essas informações são para melhoria continua sobre o processo de
segurança da informação.
6
DEFINIÇÃO DE METODOLOGIA
1.1 DefiniçãoTrata-se de um conjunto de métodos e técnicas para uma determinada
resolução de projeto ou uma tarefa. Ou seja, é o caminho percorrido para se chegar
a um objetivo. É a explicação do tipo de pesquisa, dos instrumentos dos quais serão
utilizados (questionários, entrevistas, entre outros), do tempo previsto, da equipe de
pesquisadores e da divisão do trabalho, das formas de tabulação e tratamento dos
dados, enfim, de tudo aquilo que se utilizou no trabalho de pesquisa.
Metodologia assume o processo de práticas observadas bem de perto e
exige que todas as partes envolvidas no trabalho descrevam quais foram às
considerações embasadas em testes para uma melhor descrição da importância da
metodologia para um estudo contínuo.
1.2 Tipos de Metodologia de PesquisaMetodologia exploratória
Parte do principio de um fenômeno, estudar detalhadamente, com pequenas
amostras, através de levantamento de dados, através de pesquisas bibliográficas ou
entrevistas, assim desenvolver o estudo e pesquisa.
Metodologia de pesquisa descritiva
Ela analisa, observa, registra, classifica e interpreta os fatos pesquisados,
sem ter a interferência. Utiliza e estuda a caracterização.
Metodologia científica
Refere-se ao estudo dos pequenos detalhes referentes aos métodos
utilizados para cada área científica específica.
Metodologia de Ensino
7
Voltada para o ensino, busca desenvolver e descrever as melhores técnicas
para que haja maior motivação e qualidade no ensino e aprendizagem.
Metodologia indutiva
Tem a sua característica baseado por dados particulares, através de
observação, analisando e registrando os fatos, chega-se a conclusão geral
ampliando o conhecimento alcançado.
Metodologia dedutiva
Caracteriza-se, quando o pesquisador de uma informação geral, através das
pesquisas, analisando, chega a uma conclusão premissas, não gera novo
conhecimento, mas chega a pequenas informações, através do raciocínio.
Metodologia analítica
Examina e conhece o fenômeno e todo fato particulares para definir as
possíveis causas e a natureza do problema.
1.3 Metodologia a ser aplicadaPara um melhor entendimento do assunto abordado, utilizaremos a
metodologia analítica de pesquisa. Primeiramente vamos relatar todas as
informações referentes aos equipamentos disponíveis e analisar seus componentes.
Exemplo: softwares, sistemas operacionais, antivírus, vírus e computadores.
Os resultados serão incorporados de acordo com testes realizados.
Sua etapa final consiste em configurar o trabalho definitivo com sua parte
escrita e apresentação.
8
2 CAPÍTULO PROBLEMÁTICA
Foram selecionadas algumas máquinas para serem utilizadas neste trabalho
analítico. Segue logo abaixo suas configurações e os softwares – antivírus
instalados em cada uma delas.
Maquina 1
Versão EVEREST v4.60.1500/pt
Módulo de Benchmark 2.3.237.0
Homepage http://www.lavalys.com/
Computador:
Tipo de Computador ACPI x64-based PC
Sistema operacional Windows 7 Professional Media
Service Pack S.O. Service Pack 1
Internet Explorer 8.0.7601.17514
Nome do Computador D-999999-99999
Nome do usuário Usuario
Nome do domínio D-999999-99999
Data / Hora 2013-04-25 / 20:56
Placa mãe:
Tipo de processador DualCore Intel Core 2 Duo E6420
Nome da Placa Mãe Foxconn i945 Motherboard
Chipset da Placa Mãe Intel Lakeport-G i945G
Memória do Sistema 2048 MB(DDR2-800 DDR2
DIMM1: Kingston 2 GB DDR2-800 DDR2 SDRAM
Tipo de BIOS Award (01/03/08)
Porta de comunicação Porta de comunicação (COM1)
Porta de comunicação Porta de comunicação (COM2)
Porta de comunicação Porta de Impressora (LPT1)9
Monitor:
Adaptador gráfico Radeon X1550 64-bit
Acelerador 3D ATI Radeon X1550 (RV505)
Monitor Samsung SyncMaster 550v/750s
Multimídia:
Adaptador de som Realtek ALC883 @ Intel
Armazenamento:
Controladora IDE Intel(R) 82801G (ICH7 Family)
Controladora IDE Intel(R) 82801GB/GR/GH
Drive de Disquete de Unidade de disquete
Disco rígido SAMSUNG HD161HJ ATA 160GB
Drive óptico CDDVDW DVDR DVD-RW
Partições:
C: (NTFS) 148.6 GB (130.6 GB livre)
Tamanho total 148.6 GB (130.6 GB livre)
10
Antivírus Norton 360
Na maquina 1 utilizaremos o antivírus Norton 360, mais recente das versões,
sem complicações o software possui uma otimização de desempenho de produtos
de restauração de backup de dados.
Logo temos como dados de configuração para proteção automatizada contra
vírus, spywares, worms, phishing, hackers, entre outros.
Utilizado de forma abrangente, o mesmo consome pouca memória a fim de
não comprometer o desempenho da maquina, na maioria das vezes temos
softwares que nos trazem benefícios porem juntamente com eles vem alguns
empecilhos e quando se altera o desempenho da maquina conceituamos como um
erro grave.
Também detecta automaticamente os botnets, nessa parte ele trabalha de
modo a impedir ação de hackers em acesso total a maquina, possui avios
automáticos a sites perigosos, mais utilizados na realização de compras,
armazenamento de dados de login e senha em sites utilizados porem bloqueia
keyloggers que são registradores de teclas.
Como já verificamos em todo o nosso relato ele trabalha muito com a parte
de automação de processos,o antivírus Norton 360 verifica o lançamento de novas
definições de vírus a cada 5 minutos e faz o seu download em segundo plano sem
comprometer o desempenho, faz backup automaticamente quando sua maquina
esta ociosa.
Essa é a maneira de como o Norton trabalha, entramos em pontos mais
importantes para que consigamos ter um parecer mais detalhado quando forem
realizados testes.
11
Maquina 2
Versão EVEREST v4.60.1500/pt
Módulo de Benchmark 2.3.237.0
Homepage http://www.lavalys.com/
Computador:
Tipo de Computador ACPI x64-based PC
Sistema operacional Windows 7 Professional Media
Service Pack S.O. Service Pack 1
Internet Explorer 8.0.7601.17514
Nome do Computador D-999999-99999
Nome do usuário Usuario
Nome do domínio D-999999-99999
Data / Hora 2013-04-25 / 20:56
Placa mãe:
Tipo de processador DualCore Intel Core 2 Duo E6420
Nome da Placa Mãe Foxconn i945 Motherboard
Chipset da Placa Mãe Intel Lakeport-G i945G
Memória do Sistema 2048 MB(DDR2-800 DDR2
DIMM1: Kingston 2 GB DDR2-800 DDR2 SDRAM
Tipo de BIOS Award (01/03/08)
Porta de comunicação Porta de comunicação (COM1)
Porta de comunicação Porta de comunicação (COM2)
Porta de comunicação Porta de Impressora (LPT1)
Monitor:
Adaptador gráfico Radeon X1550 64-bit (128 MB)
Acelerador 3D ATI Radeon X1550 (RV505)
Monitor Samsung SyncMaster 550v/750s
12
Multimídia:
Adaptador de som Realtek ALC883 @ Intel
Armazenamento:
Controladora IDE Intel(R) 82801G (ICH7 Family)
Controladora IDE Intel(R) 82801GB/GR/GH
Drive de Disquete de 3 1/2 Unidade de disquete
Disco rígido SAMSUNG HD161HJ ATA 160GB
Drive óptico CDDVDW DVDR DVD-RW
Partições:
C: (NTFS) 148.6 GB (130.6 GB livre)
Tamanho total 148.6 GB (130.6 GB livre)
13
Antivirus Microsoft Security Free
Na maquina 2 utilizaremos o antivírus Microsoft security free, em suas
especificações nos trás informações de soluções antimalware gratuitamente, o
mesmo nos da o auxilio contra vírus, spyware, worms, trojans entre outros softwares
mal-intencionados.
Nos trás uma interface gráfica fácil de usar, rápido também na instalação a
Microsoft security não possui um processo de registro que exija coleta de
informações pessoais. A partir daí o mesmo se mantém automaticamente atualizado
com as mais variedades tecnologias no seguimento de proteção.
É um software que trabalha de modo silencioso, fica em segundo plano e
não prejudica o desempenho da maquina, possui também um agendamento de
verificação quando sua maquina está ociosa emitindo alertas quando necessário.
É um antivírus gratuito que se diz leve e eficaz. Teremos a confirmação em
breve.
14
Maquina 3
Versão EVEREST v4.60.1500/pt
Módulo de Benchmark 2.3.237.0
Homepage http://www.lavalys.com/
Computador:
Tipo de Computador ACPI x64-based PC
Sistema operacional Windows 7 Professional Media
Service Pack S.O. Service Pack 1
Internet Explorer 8.0.7601.17514
Nome do Computador D-999999-99999
Nome do usuário Usuario
Nome do domínio D-999999-99999
Data / Hora 2013-04-25 / 20:56
Placa mãe:
Tipo de processador DualCore Intel Core 2 Duo E6420
Nome da Placa Mãe Foxconn i945 Motherboard
Chipset da Placa Mãe Intel Lakeport-G i945G
Memória do Sistema 2048 MB(DDR2-800 DDR2
DIMM1: Kingston 2 GB DDR2-800 DDR2 SDRAM
Tipo de BIOS Award (01/03/08)
Porta de comunicação Porta de comunicação (COM1)
Porta de comunicação Porta de comunicação (COM2)
Porta de comunicação Porta de Impressora (LPT1)
Monitor:
Adaptador gráfico Radeon X1550 64-bit (128 MB)
Acelerador 3D ATI Radeon X1550 (RV505)
Monitor Samsung SyncMaster 550v/750s
Multimídia:
15
Adaptador de som Realtek ALC883 @ Intel
Armazenamento:
Controladora IDE Intel(R) 82801G (ICH7 Family)
Controladora IDE Intel(R) 82801GB/GR/GH
Drive de Disquete de 3 1/2 Unidade de disquete
Disco rígido SAMSUNG HD161HJ ATA 160GB
Drive óptico CDDVDW DVDR DVD-RW
Partições:
C: (NTFS) 148.6 GB (130.6 GB livre)
Tamanho total 148.6 GB (130.6 GB livre)
16
Antivirus McAfee Total Protection Trial
Na maquina 3 utilizaremos o antivírus McAfee Total Protection Trial.
Percebemos que este software de segurança abrange vários segmentos mercantis
que,neste caso, tem licença provisória a fim de estender a sua utilidade.
Sua facilidade em sistema graficamente explicativo nos dá uma grande
noção de como configurá-lo para quaisquer que seja a finalidade e implantação.
Para comprometer o funcionamento de um computador após a sua
instalação é necessário uma infecção maciça e alterações em suas configurações
de fábrica que já estipula um modo padrão de proteção.
Apesar de se tratar de uma versão Trial este antivírus destaca-se por
inovaar os campos e botões de ativação de níveis de segurança podendo rodar,
assim, em qualquer plataforma e organograma.
Opera em todos os planos de prioridade, tem sua atualização eficaz para os
padrões.
17
Maquina 4 Versão EVEREST v4.60.1500/pt
Módulo de Benchmark 2.3.237.0
Homepage http://www.lavalys.com/
Computador:
Tipo de Computador ACPI x64-based PC
Sistema operacional Windows 7 Professional Media
Service Pack S.O. Service Pack 1
Internet Explorer 8.0.7601.17514
Nome do Computador D-999999-99999
Nome do usuário Usuario
Nome do domínio D-999999-99999
Data / Hora 2013-04-25 / 20:56
Placa mãe:
Tipo de processador DualCore Intel Core 2 Duo E6420
Nome da Placa Mãe Foxconn i945 Motherboard
Chipset da Placa Mãe Intel Lakeport-G i945G
Memória do Sistema 2048 MB(DDR2-800 DDR2
DIMM1: Kingston 2 GB DDR2-800 DDR2 SDRAM
Tipo de BIOS Award (01/03/08)
Porta de comunicação Porta de comunicação (COM1)
Porta de comunicação Porta de comunicação (COM2)
Porta de comunicação Porta de Impressora (LPT1)
Monitor:
Adaptador gráfico Radeon X1550 64-bit (128 MB)
Acelerador 3D ATI Radeon X1550 (RV505)
Monitor Samsung SyncMaster 550v/750s
Multimídia:
Adaptador de som Realtek ALC883 @ Intel
18
Armazenamento:
Controladora IDE Intel(R) 82801G (ICH7 Family)
Controladora IDE Intel(R) 82801GB/GR/GH
Drive de Disquete de 3 1/2 Unidade de disquete
Disco rígido SAMSUNG HD161HJ ATA 160GB
Drive óptico CDDVDW DVDR DVD-RW
Partições:
C: (NTFS) 148.6 GB (130.6 GB livre)
Tamanho total 148.6 GB (130.6 GB livre)
19
Antivirus Avast Internet Security Trial
Na maquina de numero quatro utilizaremos o Antivírus Avast Internet
Security Trial, em suas especificações nos trás informações de soluções
antimalware gratuitamente, o mesmo nos da o auxilio contra vírus, spyware, worms,
trojans entre outros softwares mal-intencionados.
Nos trás uma interface gráfica fácil de usar, rápido também na instalação.
Microsoft security não possui um processo de registro que exija coleta de
informações pessoais.
A partir daí o mesmo se mantém automaticamente atualizado com as mais
variedades tecnologias no seguimento de proteção, é um software que trabalha de
modo silencioso, fica em segundo plano e não prejudica o desempenho da maquina,
possui também um agendamento de verificação quando sua maquina está ociosa
emitindo alertas quando necessário. É um antivírus gratuito que se diz leve e eficaz,
mas essas confirmações teremos em breve.
20
3 CAPÍTULO ANÁLISE SITUACIONAL
Nesta etapa decretamos a forma ou como realizaremos os testes, também
especificamos os materiais que vamos utilizar a fim de estressar as maquinas. Como
já sabemos quais antivírus vamos utilizar para a defesa, nada mais obvio do que
mostrarmos agora as partes que ameaçam nossa estrutura montada.
Utilizaremos vírus, malware, que como já sabemos é um software malicioso
que é desenvolvido por programadores, por fim um vírus infecta o sistema, faz
copias de si mesmo, contamina outras maquinam, sabemos que na a contaminação
é feita através de uma ação dos próprios usuários, onde o mesmo pode ser recebido
por um e-mail e ao ser executado ele começa o seu trabalho de contaminação,
sabemos que existem varias outras formar de uma maquina ser contaminada com
um vírus de computador, pode ser um pen drive, um CD ou até mesmo o próprio
sistema operacional quando desatualizado.
Malware se limita também a um software malicioso que se infiltra no sistema
a fim de causar danos, roubar dados sejam elas confidenciais ou não, vírus, trojan
horses, spywares consideramos como malware.
Sites como Becheck.scanit.be; e um pacote de trojan também serão
utilizados para realização de testes.
Utilizaremos este código X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-
STANDARD-ANTIVIRUS-TEST-FILE!$H+Hr * se o antivírus estiver corretamente
instalado e também o site Spycar para realização de testes no sistema.
Alem dessas ferramentas de testes utilizaremos também um pacote com
6000 vírus computacionais com o tamanho de 4MB.
Vamos verificar o tempo que o antivírus faz a análise completa na maquina
computacional, qual será o consumo de memória que é um fator importante quando
se trata do desempenho da maquina, o consumo referente à HD e tempo de boot.
21
4 CAPÍTULO EXECUÇÃO DOS TESTES
Utilizaremos para realização de testes a ferramenta EICAR, é um arquivo de
68 bytes, desenvolvido pelo Instituto Europeu para Pesquisa de Antivírus de
Computador.
A ferramenta é utilizada para realização de testes a fim de verificar a
eficiência dos antivírus, podemos inserir esse arquivo em qualquer editor de texto
podendo ser salvo em qualquer formato e nome, logo após salvarmos o arquivo
fazemos uma verificação com o antivírus instalado na maquina esperando que o
mesmo faça a detecção da ferramenta EICAR como vírus de computador, quando
acusado o mesmo trás a mensagem EICAR – The Anti-Virus test file, apenas esta
nos confirmando que a parte de detecção de vírus conhecidos está em ótimas
condições de funcionamento.
O site spycar que é uma das ferramentas utilizadas para teste assim como o
EICAR o spycar também faz testes precisos porem com diferenças.
O spycar é um pacote com 16 testes individuais destinados a simular o
comportamento de spyware para ver se seu software de segurança detecta e
bloqueia a ameaça que na verdade é inofensiva ao seu computador pois se trata
apenas de simulações, cada teste é realizado separadamente para que possamos
ter maior precisão nos resultados.
São seis testes diferentes de auto-starts, desde testes diferentes de IE à
uma alteração de configuração de rede.
22
5. CAPITULO
23
24
6 CAPITULO ESTATÍSTICO
Detalhes dos teste
Autor Spycar (Intelguardians Labs)
Site HTTPS\\spycar.org/Spycar.html
Tipo de teste HIPS
Técnicas utilizadas, injeção de DLL, injeção de processos e substituição
pais.
Sistema operacionais, Windows 9x, Windows millenium, Windows NT,
Windows XP e Windows 7.
Em um total de 17 testes, nome dor arquivos Spycar_testes.zip.
Spycar(Aqui (http://www.spycar.org/Spycar.html))
Na seqüência temos ficheiros disponibilizados no site do spycar.
- HKLM_Run (http://www.spycar.org/Spycar_files/HKLM_Run.exe) - tenta
criar um ficheiro e instalar em HKLM\Software\Microsoft\ Windows\ CurrentVersion\
Run
-HKLM_RunOnce (http://www.spycar.org/Spycar_files/HKLM_RunOnce.exe)
- cria um ficheiro e instalar uma chave de registo para executar em HKLM\Software\
Microsoft\Windows\CurrentVersion\Run Once
-HKLM_RunOnceEx
(http://www.spycar.org/Spycar_files/HKLM_RunOnceEx.exe) - cria um ficheiro e
instalar uma chave de registo para executar em HKLM\Software\Microsoft\Windows\
CurrentVersion\Run OnceEx
-HKCU_Run (http://www.spycar.org/Spycar_files/HKCU_Run.exe) - cria um
ficheiro e instalar uma chave de registo para executar emHKCU\Software\Microsoft\
Windows\CurrentVersion\R un
25
-HKCU_RunOnce (http://www.spycar.org/Spycar_files/HKCU_RunOnce.exe)
- cria um ficheiro e instalar uma chave de registo para executar em HKCU\Software\
Microsoft\Windows\CurrentVersion\Run Once
-HKCU_RunOnceEx
(http://www.spycar.org/Spycar_files/HKCU_RunOnceEx.exe) - cria um ficheiro e
instalar uma chave de registo para executar em HKCU\Software\Microsoft\Windows\
CurrentVersion\Run OnceEx
-IE-SetHomePage (http://www.spycar.org/Spycar_files/IE-
SetHomePage.exe)- altera a sua home page do IE
-IE-HomePageLock (http://www.spycar.org/Spycar_files/IE-
HomePageLock.exe)- bloqueai a alteração de home page padrão do IE
-IE-KillAdvancedTab (http://www.spycar.org/Spycar_files/IE-
KillAdvancedTab.exe)- remove a gua avançada do IE Internet Options Screen
-IE-KillProgramsTab (http://www.spycar.org/Spycar_files/IE-
KillProgramsTab.exe)- remove o separador de programas do IE Internet Options
Screen
-IE-KillConnectionsTab (http://www.spycar.org/Spycar_files/IE-
KillConnectionsTab.exe)- remove a guia de conexões IE Internet Options Screen
-IE-KillContentTab (http://www.spycar.org/Spycar_files/IE-
KillContentTab.exe)- remove o guia conteudo no IE Internet Options Screen
-IE-KillPrivacyTab (http://www.spycar.org/Spycar_files/IE-
KillPrivacyTab.exe)- remove o separador da privacidade no IE Internet Options
Screen
-IE-KillSecurityTab (http://www.spycar.org/Spycar_files/IE-
KillSecurityTab.exe)-remove o separador geral do IE Internet Options Screen
-IE-KillGeneralTab (http://www.spycar.org/Spycar_files/IE-
KillGeneralTab.exe)- remove a sua guia geral em IE Internet Options Screen
-AlterHostsFile (http://www.spycar.org/Spycar_files/AlterHostsFile.exe)- cria
um entrada no seu host(c:\windows\system32\drivers\etc\hosts)
26
Normalmente, os antivírus não deixam descarregar estes ficheiros ou
instalarem se no seu computador.
Código (X5O! P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-
ANTIVIRUS-TEST-FILE!$H+H) cole no bloco de notas. Salve o arquivo com o nome
de sua escolha e a extensão.com. Por exemplo, salve-o com o nome de teste.com
ou virus.com.
Se seu antivírus estiver corretamente instalado e configurado, ele deverá
impedir que você salve o arquivo ou que o execute depois de salvo. Note que este
arquivo não é um vírus real, nem serve para testar a eficiência do antivírus que você
usa, mas sim se ele está corretamente instalado e configurado para identificar e
barrar arquivos contaminados, ele verifica se apenas se tudo esta em funcionalidade
corretamente.
Os sites bcheck.scanit.be e grc.com são sites com o mecanismo de testes
que são relacionados a segurança.
Utilizaremos um pacote com cavalo de tróia ou trojan horse é um programa
malicioso que entra no sistema como se fosse um programa comum, basicamente
serve para invasão, mas nada como boas prevenções para imortalizar esses tipos
de ataques, devemos tomar cuidados com arquivos executáveis, ter um bom
antivírus, um firewall e antispyware, claro que não podemos de deixar essas
ferramentas sempre atualizadas.
27
Figura 1: Descrição da imagem
Lista de sites infectados no Brasil
28
Serviço do Windows sem Antivirus
Figura 2: Descrição da imagem
29
Maquina 1
Antivírus Norton 360
Tamanho setup 157MB
Tempo de instalação 63 segundos
Tempo de boot sem antivírus varia de 53 a 54 segundos
Tempo de boot depois do antivírus instalado 1.11 segundos
Varredura do sistema completa 65 minutos
Varredura do sistema rápida 2 minutos
Pacote trojan ( detectado)
Utilizando a linha de comando X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-
STANDARD-ANTIVIRUS-TEST-FILE!$H+H* foi detectado.
O site spycar não obteve sucesso, pois o site encontra se removido.
Utilizando a ferramenta eycar não obtivemos sucesso, pois o mesmo
identificou e removeu na hora o setup
Usamos o site http://bcheck.scanit.be/bcheck/ Apresenta erro no site.
O tempo de descompactação do pacote com 6000 vírus foi de 10 segundos,
quando o término de descompactação estava pronto o mesmo deixou na pasta um
total de 5919 arquivos, porem ele ativou o auto protection e removeu mais arquivos
deixando apenas 2186 arquivos, depois feito a analise na pasta do pacote de vírus
detectou mais 7 vírus
30
O lado A e a renovação custam mais caro do que comprar figura B
Figura 3: Descrição da imagem
Interface do Antivirus Norton
Figura 4: Descrição da imagem
31
Versão do Antivirus
Figura 5: Descrição da imagem
Gerenciador de tarefa informando o quanto consumiu de memória Norton 360
Figura 6: Descrição da imagem
32
Mapa de instalação e detecção de vírus antes da infecção
Figura 7: Descrição da imagem
Informando a detecção dos vírus
Figura 8: Descrição da imagem
33
Bloqueando o pacote de Trojan
Figura 9: Descrição da imagem
Bloqueando a ferramenta Eicar
Figura 10: Descrição da imagem
34
Arquivos do pacote de vírus
Figura 11: Descrição da imagem
Evidência site Spycar – Removido
Figura 12: Descrição da imagem
35
Teste do site www.grc.com
Figura 13: Descrição da imagem
Alerta na elevação de memória da detecção de vírus
Figura 14: Descrição da imagem
36
Máquina 2Antivírus Microsoft Security
Tamanho setup 12,8MB
Tempo de instalação 63 Segundos
Porem o mesmo depois de instalado procura atualização e essa atualização
demora em torno de 42 minutos.
Tempo de boot sem antivírus varia de 53 a 54 segundos
Tempo de boot depois do antivírus instalado 1.13 segundos
Varredura do sistema completa 86 minutos
Varredura do sistema rápida 2,5 minutos
Pacote trojan não detectou na hora de extrair os arquivos e ainda deixou
realizar a instalação do setup
Utilizando a linha de comando X5O!P%@AP[4\
PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* foi
detectado.
O site spycar não obteve sucesso pois o site encontra se removido.
Utilizando a ferramenta Eycar não obtivemos sucesso pois o mesmo
identificou e removeu na hora o setup.
Usamos o site http://bcheck.scanit.be/bcheck/ erro no site.
O tempo de descompactação do pacote com 6000 vírus foi de 68
segundos, quando o termino de descompactação estava pronto o mesmo deixou na
pasta um total de 4951 arquivos.
Foi realizado uma varredura na pasta e o mesmo removeu mais arquivos
deixando um total de 1071 arquivos
37
Interface do Antivírus
Figura 15: Descrição da imagem
Versão do software
Figura 16: Descrição da imagem
38
Gerenciador de tarefa informando o consumiu de memória
Figura 17: Descrição da imagem
Lista dos Trojan não detectados
Figura 18: Descrição da imagem
39
Removendo arquivos do pacote de vírus
Figura 19: Descrição da imagem
Evidência do pacote de vírus
Figura 20: Descrição da imagem
40
Site Spycar removido
Figura 21: Descrição da imagem
Teste do site www.grc.com
Figura 22: Descrição da imagem
41
Maquina 3
Anti Vírus MCAfee
Tamanho setup 4,86 MB
Instalação demorada, pois a instalação baixa os arquivos online
Na hora de fazer a instalação o mesmo te da à opção completa e
personalizada
Optada por personalizada
Tempo de instalação 39 minutos e 25 segundos
Tempo de boot sem antivírus varia de 53 a 54 segundos
Tempo de boot depois do antivírus instalado 1.19 segundos
Varredura do sistema completa 36 minutos
Varredura do sistema rápida 5 minutos
Pacote trojan ( não detectou)
Pacote com 6000 vírus sobrou 3384
Varredura na pasta onde se encontrava os 3384 vírus (não detectou nada)
Utilizando a linha de comando X5O!P%@AP[4\
PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* foi
detectado.
O site spycar não obteve sucesso, pois o site encontra se removido.
Utilizando a ferramenta Eicar não obtivemos sucesso, pois o mesmo
identificou e removeu na hora o setup.
O tempo de descompactação do pacote com 6000 vírus durou exatamente
68 minutos, pois o mesmo na hora da extração já identificou os vírus e foi
removendo os mesmos, deixando no final da extração um total de 3384 arquivos.
Foi realizado uma varredura na pasta com o pacote de vírus e o mesmo
não removeu mais nenhum arquivo
42
Versão do Antivirus McAfee
Figura 23: Descrição da imagem
Mapa mostrando as ameaças
Figura 24: Descrição da imagem
43
Gerenciador de Tarefa Informando quanto consumiu de memória McAfee
Figura 25: Descrição da imagem
Lista de Trojam que o McAfee não detectou
Figura 26: Descrição da imagem
44
Bloqueando o Eicar
Figura 27: Descrição da imagem
Print de alguns arquivos do pacote vírus
Figura 28: Descrição da imagem
45
Site Spycar o mesmo foi removido
Figura 29: Descrição da imagem
Teste do site www.grc.com
Figura 30: Descrição da imagem
46
Maquina 4
Antivirus Avast Internet Security
Tamanho setup 144MB
Instalação demorada, pois a instalação baixa os arquivos online
Na hora de fazer a instalação o mesmo te da à opção completa e
personalizada
Optada por personalizada
Tempo de instalação 4,3 minutos
O único que solicita a reinicializarão.
Tempo de boot sem antivírus varia de 53 a 54 segundos
Tempo de boot depois do antivírus instalado 1.28 segundos
Varredura do sistema completa 17,31minutos
Varredura do sistema rápida 8 minutos
Pacote trojan detectou depois de ter começado a instalação
Utilizando a linha de comando X5O!P%@AP[4\
PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* foi
detectado.
O site spycar não obteve sucesso, pois o site encontra se removido.
Utilizando a ferramenta Eicar não obtivemos sucesso, pois o mesmo
identificou e removeu na hora o setup.
O tempo de descompactação do pacote com 6000 vírus durou exatamente
25 minutos, pois o mesmo na hora da extração já identificou os vírus e foi
removendo os mesmos, deixando no final da extração um total de 286 arquivos.
Foi realizado uma varredura na pasta com o pacote de vírus e o mesmo
encontrou mais 1 arquivo.
47
Interface internet Security
Figura 31: Descrição da imagem
Versão do Avast Internet Security
Figura 32: Descrição da imagem
48
Gerenciador informando o quanto consumiu de memória o Avast
Figura 33: Descrição da imagem
Lista de trojan
Figura 34: Descrição da imagem
49
Bloqueando a instalação do trojan
Figura 35: Descrição da imagem
Bloqueando a ferramenta Eicar
Figura 36: Descrição da imagem
50
Lista de alguns arquivos do pacote de virus
Figura 37: Descrição da imagem
Site Spycar o mesmo foi removido
Figura 38: Descrição da imagem
Ste www.grc.com
Figura 39: Descrição da imagem
51
ANOMALIA
52
ANALISE DE RESULTADOS
53
CONCLUSÃO
54
REFERÊNCIAS BIBLIOGRÁFICAS
55
DICIONÁRIO DE TERMOS TÉCNICOS
56