Definição de worm de computador
Um worm de computador é um tipo de malware que pode se propagar ou se autorreplicar automaticamente sem interação humana, permitindo sua disseminação para outros computadores da rede em questão. O worm geralmente usa a conexão de internet da organização da vítima ou uma rede local (LAN) para se espalhar.
Worm x Vírus x Cavalo de Troia
Os ciber criminosos tem inúmeros métodos de ciber ataque à disposição, por isso pode ser fácil confundi-los. Um equívoco comum é que worms de computador são a mesma coisa que vírus ou cavalos de Troia, mas há diferenças nas maneiras como os ataques se propagam (ou não).
- O worm se espalha de computador para computador e pode se mover e operar de modo independente. A capacidade de um worm de enviar centenas ou milhares de cópias de si mesmo é um dos seus maiores perigos.
- Os vírus quase sempre são anexados a um arquivo executável e permanecem dormentes até que a vítima ative o ataque, seja abrindo uma aplicação infectada, baixando um arquivo corrompido ou clicando em um link. Os vírus não conseguem se espalhar sem a ação humana.
- Cavalos de Troia são um tipo de malware que se disfarça de código legítimo. Os invasores podem exportar arquivos, modificar dados e excluir arquivos do seu dispositivo. Geralmente, os cavalos de Troia não tentam se infiltrar em outros arquivos ou se propagar de outra forma.
Saiba mais
Leia nosso artigo descrevendo 12 tipos de malware para saber como cada tipo opera e se preparar para quando um ataque ocorrer.
Como funciona o worm de computador?
Os worms miram vulnerabilidades em sistemas operacionais para se instalarem nas redes. Eles podem obter acesso de várias maneiras: por meio de backdoors incorporados ao software, vulnerabilidades não intencionais no software ou até pen drives. Uma vez instalado, o ciber criminoso pode usar o worm para executar uma série de ações maliciosas, como:
- Lançar ataques de negação de serviço distribuído (DDoS)
- Conduzir ataques de ransomware
- Roubar dados confidenciais
- Eliminar outros malwares
- Consumir largura de banda
- Excluir arquivos
- Sobrecarregar redes
Expert Tip
Formas mais comuns de propagação de worms
Algumas das formas mais comuns de propagação de worms de computador incluem:- E-mail: anexos de e-mail continuam sendo esconderijos populares para worms.
- Redes: os worms pode se autopropagar para redes conectadas.
- Vulnerabilidades do sistema: alguns worms são codificados especificamente para tirar proveito de vulnerabilidades do sistema operacional e do software.
- Compartilhamento de arquivos: redes de arquivos ponto a ponto (P2P) podem transportar malwares, como worms.
- Mensagens instantâneas (MI): worms podem se espalhar por meio de plataformas de mensagens instantâneas, como o Internet Relay Chat (IRC).
Por que os worms são perigosos?
Um worm de computador é prejudicial porque pode realizar uma ampla gama de ataques, incluindo travar sistemas por meio de autorreplicação, baixar aplicações maliciosas e fornecer aos hackers acesso backdoor ao equipamento.
Worms também podem ser difíceis de remediar. Como eles se espalham de modo automático e rápido, pode levar muito tempo e esforços para erradicar um surto de worm do ambiente e se recuperar completamente. Quando um worm se espalha dentro de um ambiente de armazenamento de dados, por exemplo, pode levar meses para limpá-lo por completo. Mesmo quando um worm não tem uma payload maliciosa que cause danos, ele representa um sério incômodo para os gerentes de TI, que precisam dedicar recursos valiosos para navegar no processo de resposta a incidentes.
Tipos de worm de computador
Existem vários tipos de worms de computador maliciosos, incluindo:
| Tipo | Descrição |
|---|---|
| Worm de e-mail | Como o nome sugere, um worm de e-mail se espalha por e-mail. Também conhecido como worm de envio em massa, o worm de e-mail distribui uma cópia de si mesmo como anexo por e-mail ou como um link para um arquivo infectado em um site comprometido ou de propriedade de um hacker. |
| Worms de compartilhamento de arquivos | Worms de compartilhamento de arquivos se integram e se disfarçam como arquivos de mídia inocentes. Quando um usuário desavisado baixa o arquivo, o worm infecta seu dispositivo. Uma vez que o worm tenha comprometido o dispositivo, ele pode capturar informações confidenciais, que podem ser usadas pelo invasor ou vendidas a terceiros. |
| Worms de MI | Os worms de MI se disfarçam como anexos e links em plataformas de redes sociais e frequentemente incluem conteúdo que induz a vítima a clicar no URL. Uma vez executado, o worm de mensagem instantânea pode se espalhar por toda a rede de mensagens instantâneas. |
| Criptoworms | O cryptoworm é um worm que ataca e criptografa dados no sistema da vítima e depois exige um pagamento de resgate para recuperar o acesso aos dados. |
| Worms de IRC | O worm de IRC é um programa malicioso projetado para explorar canais de IRC a fim de infectar salas de bate-papo e fóruns de mensagens enviando mensagens infectadas. |
| Worms de P2P | Os worms de P2P usam os mecanismos das redes P2P para distribuir cópias para usuários P2P desavisados. |
Tipos de worm de computador
Os worms de computador têm um longo histórico que abrange mais de cinco décadas. O primeiro worm de computador, chamado Creeper, foi criado em 1971. Embora o Creeper não fosse ativamente malicioso, ele ajudou a estabelecer a base para muitos ataques significativos de worm de computador que vimos desde então. Exemplos de alguns worms de computador que causaram danos consideráveis no passado incluem os seguintes:
Morris
Em 1988, o estudante de pós-graduação do MIT, Robert Morris, distribuiu o worm Morris, que aumentou a carga em mais de 6.000 máquinas UNIX em todo o país, causando travamentos. Embora as intenções de Morris não fossem maliciosas, o worm causou entre US$ 100.000 e US$ 10 milhões de danos. Também resultou na primeira condenação por crime grave nos EUA sob a Lei de Fraude e Abuso de Computador de 1986.
SQL Slammer
O SQL Slammer é um worm de computador de 2003 que causou negação de serviço em alguns hosts da Internet, atrasou o tráfego geral e derrubou roteadores em todo o mundo. Ele se espalhou rapidamente, infectando a grande maioria de suas 75.000 vítimas em apenas 10 minutos.
Mydoom
O Mydoom é um worm de computador que tem como alvo computadores Windows. Ele é considerado um dos worms de disseminação mais rápida da história, tendo infectado milhões de máquinas desde seu lançamento, em 2004. O Mydoom causou um dano estimado de US$ 38 bilhões em 2004, e o worm ainda existe hoje, respondendo por 1% de todos os e-mails maliciosos.
Worm Storm
Lançado em 2007, o worm Storm ataca milhões de computadores usando um e-mail sobre um desastre climático recente na Europa, atraindo os destinatários com um assunto apocalíptico: "230 mortos em tempestade que atingiu a Europa".
Duqu
O Duqu é um worm de computador sofisticado que foi descoberto pela primeira vez em 2011. Acredita-se que ele tenha sido produzido pelas mesmas pessoas que geraram o worm Stuxnet, que causou a falha das turbinas nucleares iranianas em 2010. O Duqu tem uma assinatura digital válida, mas abusada, e coleta informações que podem ser úteis para atacar sistemas de controle industrial.
ILOVEYOU
Às vezes chamado de "Love Bug", o worm ILOVEYOU se espalhou por e-mail em 2000, fingindo ser um anexo de carta de amor. Ele infectou mais de 50 milhões de PCs em dez dias e gerou cerca de US$ 15 bilhões em despesas para remoção completa.
Sinais de infecção por worm
Soluções de proteção de endpoint são essenciais para proteção contra worms de computador. Uma maneira de garantir que o controle de segurança esteja fazendo seu trabalho de impedir ataques de worm (e de outras ameaças) é abrir o painel e visualizar o relatório mais recente de proteção de endpoints.
Por outro lado, se uma solução de proteção de endpoint não conseguiu detectar e bloquear um worm de computador, há alguns sinais reveladores a serem observados:
- Desempenho lento do sistema devido ao alto uso de recursos da CPU
- Arquivos e pastas ocultos ou ausentes
- E-mails enviados aos seus contatos sem o seu conhecimento
- Programas de computador travando sem aviso
- Arquivos ou programas misteriosos que você não instalou no computador
- Programas em execução ou sites sendo iniciados automaticamente
- Desempenho de navegador não usual ou comportamento de programa incomum
Como remover worms
Sua organização precisa ter um plano em vigor detalhando como responder caso haja um ataque de worm, principalmente porque essa ameaça pode se espalhar muito rapidamente. O planejamento de resposta é importante porque vai ajudar sua organização a reagir rapidamente quando houver um worm ou outro incidente de segurança para minimizar efetivamente o impacto e melhorar o tempo de recuperação.
Para sua recuperação, você deverá:
- Conter efetivamente o ataque para impedir que ele se dissemine para outros sistemas ou cause mais danos
- Avaliar o escopo do ataque identificando todos os sistemas onde o worm se instalou com sucesso
- Eliminar os vestígios do worm do ambiente (isso pode implicar remediar malware de todos os hosts comprometidos, fechar ou alterar as senhas de comprometimento da conta do usuário e restaurar sistemas de backups não comprometidos)
Práticas recomendadas de prevenção
Considerando os perigos dos worms, é fundamental tomar medidas preventivas para mantê-los afastados. As organizações devem considerar a adoção das seguintes medidas:
- Usar software de proteção de endpoint:
Ao usar uma solução moderna de proteção de endpoint, idealmente detecção e resposta de endpoint (EDR), você pode garantir que worms e outros ciber ataques sejam descobertos e erradicados dos seus computadores host antes que possam causar danos.
- Implementar treinamento de conscientização de funcionários: os funcionários devem ser instruídos para ficarem alertas a sinais da ameaça worm de computador a fim de reduzir o risco de espalhar acidentalmente esse malware ao clicar em links problemáticos ou baixar anexos.
- Usar filtro DNS: mecanismos de segurança da Web permitem que você filtre conteúdo da Web ruim ou indesejado para garantir que os usuários não acessem inadvertidamente sites maliciosos.
- Atualizar os softwares e corrigir sistemas: o gerenciamento de correções é a base para evitar worms que se aproveitam de falhas de sistema. Garanta que você tenha um forte gerenciamento de processos de correção que esteja sempre ativo e conectado para fornecer a visibilidade que você precisa sobre quais correções são de alta prioridade e exigem implantação imediata em seus sistemas afetados.
Como a CrowdStrike pode ajudar
Quando um ciber criminoso lança um ataque de worm de computador, o objetivo é infectar seus endpoints e se espalhar a partir daí. Para se proteger contra worms de computador e outras ciberameaças, as organizações precisam de proteção de endpoint eficaz.
A CrowdStrike Falcon® Prevent oferece proteção de endpoint superior com uma arquitetura de nível de agente único que opera sem a necessidade de atualização constante de assinatura, sem infraestrutura de gerenciamento local ou integrações complexas. Desenvolvido especificamente na nuvem, a Falcon Prevent elimina a complexidade, simplifica a segurança de endpoint e oferece proteção de primeira qualidade contra todos os tipos de ataque, desde malwares comuns até ataques mais sofisticados, mesmo quando os usuários estão off-line.
Saiba mais sobre a CrowdStrike Falcon Prevent.
Bart é Gerente Sênior de Marketing de Produtos de inteligência de ameaças na CrowdStrike e tem mais de 20 anos de experiência em monitoramento, detecção e inteligência de ameaças. Depois de iniciar sua carreira como analista de operações de segurança de rede em uma organização financeira belga, Bart mudou-se para a Costa Leste dos EUA para atuar em diversas empresas de cibersegurança, incluindo 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi e FireEye-Mandiant, ocupando cargos de gestão e marketing de produtos.
