Código e Atividade Maliciosa - brhott.files.wordpress.com · Esses vírus atacam contramedidas, como arquivos de assinatura de antivírus ou bancos de dados de integridade. Um vírus

Código e Atividade Maliciosa

Bruno Hott

2

Características, Arquitetura e Operações de Software Malicioso

● Software malicioso, ou malware, pode ser definido como um conjunto de instruções que executam em um sistema computacional e realizam operações que o usuário não quer. Essa atividade pode ter várias formas:

– Um atacante ganha controle administrativo de seu sistema e usa comandos para causar danos.

– Um atacante envia comandos diretamente a seu sistema, que os interpreta e depois os executa.

– Um atacante usa programas de software que danificam seu sistema. Esses programas podem vir de meios físicos (como uma unidade USB) ou de um processo de comunicações (como a Internet). Vírus, programas de cavalo de Troia e vermes são todos exemplos desses tipos de programas de software malicioso.

– Atacantes usam ferramentas legítimas de administração remotas e sondas de segurança para identificar e explorar vulnerabilidades de segurança em sua rede.

3

Os Principais Tipos de Malware

● Você deverá projetar e implementar contramedidas efetivas para detectar, atenuar e impedir ataques de código malicioso. Para isso, você deve conhecer vários tipos de código malicioso e como cada tipo é usado.

4

Vírus

● Um vírus de computador é um programa executável que infecta ou se conecta a outros programas executáveis.

● E então ele se replica para infectar ainda mais programas.

● Alguns vírus realizam atividades destrutivas após se replicarem.

● Geralmente envolvem algum tipo de ação de um usuário.

● Nem todo vírus causa dano. Alguns são apenas incômodos ou se concentram em se replicar. Outros escondem sua carga e instalam uma porta dos fundos. A vítima pode não perceber o vírus ou seus danos imediatamente.

5

Vírus

● Existem três tipos principais de vírus:

– Os infectantes de sistema são vírus que visam funções de partida de hardware e software computacional.

– Os infectantes de arquivos atacam e modificam programas executáveis (como arquivos COM, EXE, SYS e DLL).

– Os infectantes de dados atacam arquivos de documento que contenham capacidades embutidas de programação de macro.

6

Vírus:Ciclo de vida típico de um vírus de computador

7

Vírus:Evidência de Atividades

● Deterioração da capacidade de resposta da estação de trabalho ou do servidor.

● Níveis de atividade de disco inesperados e sustentados em estações de trabalho.

● Lentidão repentina de aplicativos de usuário, principalmente, ao iniciar.

● Congelamento inexplicável de aplicativos ou mensagens de erro inesperadas.

● Reinicializações e falhas de hardware não programadas, incluindo paradas de programas.

8

Vírus:Evidência de Atividades

● Atividade repentina de alarme de antivírus.

● Mensagens de erro de disco, incluindo resultados de “cluster perdido”, cada vez mais frequentes após varredura de disco.

● Diminuição inexplicável em espaço disponível em disco ou em memória disponível.

● No caso de vírus de macro, documentos salvos e abertos como arquivos DOT.

● Aplicativos (ou seus ícones) que desaparecem ou não executam.

9

Vírus:Infectantes de Sistemas

● Os tipos mais prevalentes de infectantes de sistemas são:

– Os de registro de partida (boot) por disquete.

– Os de registro-mestre de partida por disco rígido.

● Esses vírus trafegam principalmente por meio de troca de mídia.

10

Vírus:Infectantes de Sistemas

11

VírusInfectantes de Registro de Partida (boot)

● Infectantes de sistemas são vírus que visam os principais componentes de hardware e de software de sistema em um computador.

● Os componentes infectados normalmente são processos de partida do sistema.

● Esse tipo de infecção permite que o vírus assuma o controle e seja executado antes que o computador possa carregar a maior parte das medidas de proteção.

12

Vírus:Infectantes de registro-mestre de partida e de sistema

● Um infectante de registro-mestre de partida move ou destrói o registro-mestre original de partida, substituindo-o por código viral.

● Ele pode, então, ganhar o controle a partir do programa de iniciação (bootstrap) e realizar sua hostil missão.

● Tipicamente, infectantes de registro-mestre de partida realizam suas tarefas e depois devolvem o controle ao registro-mestre legítimo de partida para mascarar sua existência.

13

Vírus:Infectantes de registro-mestre de partida e de sistema

● Infectantes de registro de partida normalmente podem contornar os serviços de sistema.

● Carregar nesse nível permite que o vírus intercepte todas as solicitações normais de hardware de aplicativo e de sistema operacional.

● Essas solicitações incluem funções como abrir e fechar arquivos e serviços de diretório de arquivo.

● Esse tipo de vírus também pode executar outros tipos de rotina de código malicioso e encobrir seus próprios rastros.

14

Vírus:Infectantes de arquivo (programa)

● Exibem o comportamento clássico do tipo “replicar e anexar”.

● Devido à grande aceitação e popularidade dos sistemas operacionais baseados no Microsoft Windows, a maioria dos infectantes de arquivo conhecidos visa esses sistemas e tipicamente ataca arquivos de programa com extensões de arquivo .com ou .exe.

15


● Desenvolvedores de malware escrevem e compilam muitos desses vírus em C++ e outras linguagens de programação de alto nível.

● Em contrapartida, normalmente usam linguagem de montagem (assembly) para escrever infectantes de registro de boot.

● Vírus desse tipo se anexam ao arquivo de programa original e controlam a execução desse arquivo até que ele possa replicar e infectar outros.

16


● Um tipo de infectante de arquivo, um vírus acompanhante, é na realidade um arquivo de programa separado, que não se anexa ao programa hospedeiro original, mas cria um novo programa com um nome de arquivo coincidente, mas com uma extensão executada antes do original.

● Por exemplo, Windows executa arquivos .com antes de executar os .exe. Ele cria esse arquivo no mesmo caminho de diretório do programa real. Quando o usuário executar o programa, o sistema operacional chamará o malware em vez do programa legítimo. Após o vírus terminar o trabalho, ele simplesmente executará o comando para iniciar o programa original.

17

Vírus:Como funciona um vírus infectante de arquivo

18

Vírus:Infectantes de macro (arquivo de dados)

● Vírus de macro se tornaram um problema quando vendedores de software acrescentaram capacidades de gravação a aplicativos populares de escritório.

● Usuários utilizam capacidades de gravação de macro para gravar suas ações em um programa.

● O aplicativo no qual as ações são gravadas armazena essas instruções com o arquivo de dados.

● O usuário pode então executar as ações automaticamente quando abre o arquivo ou pressiona uma sequência de teclas predefinida.

● A finalidade original de macros era automatizar processos repetitivos. Porém, essas macros abriram a porta para que códigos maliciosos executem suas próprias instruções.

19


● Vírus de macro infectam esses arquivos de documentos e inserem comandos próprios.

● Quando usuários compartilham o documento infectado com outros usuários, o malware se espalha e se replica.

● Macros podem se mover com facilidade entre plataformas e são muito simples de construir. Por esse motivo, vírus de macro são extremamente populares.

20


● A bomba de e-mail é uma forma de ataque de macro malicioso e tipicamente envolve um anexo de mensagem de e-mail que contém macros projetadas para causar o máximo de dano.

● Atacantes podem enviar o anexo de documento por meio de retransmissores anônimos de e-mails para alcançar seus alvos com grande precisão.

● Alguém que receba a bomba de e-mail só precisará abrir o anexo para iniciar o vírus de macro. Em alguns casos, simplesmente visualizar a mensagem ativará a bomba de e-mail.

21

Vírus:Como funciona um vírus de macro

22

Outras classificações de vírus

● Vírus podem usar qualquer uma de diversas técnicas para propagar e evitar detecção por software antivírus.

● A maioria dos vírus de computador isolados funciona copiando réplicas exatas dele mesmo para cada arquivo, setor de partida ou documento que infectem

● O vírus realiza infecções subsequentes da mesma maneira, criando duplicatas exatas, byte por byte.

● Essa previsível ação produz um padrão de assinatura.

● Muitos programas antivírus e antimalware procuram essa assinatura para detectar malware.

● Alguns vírus se comportam de maneira diferente

23

Outras classificações de vírus:Vírus polimórficos

● Esses tipos de vírus incluem um mecanismo de criptografia separado que armazena o corpo do vírus em formato encriptado enquanto duplica seu corpo principal.

● O vírus expõe apenas a rotina de decriptação para uma possível detecção.

● Ele embute a parte de controle do vírus na rotina de decriptação, que toma o controle do sistema-alvo e decripta o corpo principal do vírus, de modo que ele possa executar.

● Vírus polimórficos verdadeiros usam um mecanismo adicional de mutação para variar o processo de decriptação a cada iteração, o que torna até mesmo essa parte do código mais difícil de identificar.

24

Outras classificações de vírus:Vírus furtivos

● Utilizam diversas técnicas para se esconder de usuários e de software de detecção.

● Instalando uma função de serviço de sistema de baixo nível, eles podem interceptar qualquer solicitação de sistema e alterar a saída de serviço para ocultar sua presença.

● Vírus furtivos podem ter tamanho furtivo, leitura furtiva ou ambos.

25


26


● Tamanho furtivo esconde o fato de que um arquivo infectado é maior do que costumava ser. O vírus intercepta solicitações de sistema por informações de arquivo e subtrai o próprio tamanho da resposta antes de passá-la de volta ao processo solicitante.

● Leitura furtiva esconde o fato de que o vírus moveu o código de setor de partida. O vírus intercepta solicitações de leitura/gravação para o setor normal de partida, que ele reposicionou pelo código viral, e então redireciona a solicitação para o novo local oculto do código do setor de partida original.

27

Outras classificações de vírus:Vírus lentos

● Eles contrariam a capacidade de programas antivírus de detectar mudanças em arquivos infectados.

● Esse tipo de vírus reside na memória de um computador, onde software antivírus não pode detectá-lo.

● Ele espera por certas tarefas, como copiar ou mover arquivos, para ser executado.

● À medida que o sistema operacional lê o arquivo para a memória, o vírus altera antes de gravar no arquivo de saída, tornando sua detecção muito mais difícil.

28

Outras classificações de vírus:Vírus de retrospectiva

● Esses vírus atacam contramedidas, como arquivos de assinatura de antivírus ou bancos de dados de integridade.

● Um vírus de retrospectiva procura esses arquivos de dados e os exclui ou altera, impedindo assim a capacidade de funcionamento do software antivírus.

● Outros vírus, especialmente os de partida (que ganham controle do sistema-alvo ao iniciar), modificam chaves do Registro do Windows e outros arquivos-chave para desativar software AV, firewall e IDS, se forem encontrados.

29

Como funciona um vírus de retrospectiva

30

Outras classificações de vírus:Vírus de plataforma cruzada

● São menos prevalentes, mas ainda podem ser ameaças potentes.

● Há uma série de vírus documentados que visam múltiplos sistemas operacionais.

● Se essas plataformas também executarem software de emulação do Windows, elas se tornarão tão suscetíveis a vírus do Windows quanto um próprio computador da marca.

31

Outras classificações de vírus:Vírus de múltiplas partes

● São vírus híbridos, que exibem vários comportamentos.

● Existem dois tipos principais de vírus de múltiplas partes:

– vírus de registro-mestre de partida/setor de partida

– vírus de infecção de arquivo.

● Esses vírus podem existir como um infectante de arquivo dentro de um aplicativo.

● Sob execução do aplicativo infectado, o vírus poderá espalhar uma infecção de registro-mestre de partida, que então infectará outros arquivos quando você reiniciar o sistema.

32

Como funciona um vírus de múltiplas partes

33

Spam

● Spam é um dos desafios mais incômodos enfrentados por administradores de rede, pois não apenas constantemente contém vírus ou outro código malicioso, mas congestiona redes e servidores de e-mail e pode desperdiçar muito tempo e produtividade de usuários.

● Muitos vírus agora transportam software para fazer com que um computador infectado se torne parte de uma rede robotizada (botnet) de spam, que enviam novas versões de vírus.

● Estima-se que 70% a 90% de todo o tráfego de mensagem seja spam.

34

Spam

● Em termos simples, spam é qualquer mensagem não desejada.

● Porém, muitos usuários ainda abrem ou recebem e-mails ou mensagens instantâneas indesejadas, pois veem a promessa de trabalho, ganhos em loterias ou preços reduzidos em produtos, o que dificulta a classificar a mensagem como estritamente “indesejada”.

● Spam está se tornando um grande problema para organizações de todos os tamanhos, pois usa largura de banda da qual organizações precisam para operar e desperdiça tempo de funcionários.

● Spam também é um terreno fértil para vírus e vermes.

● Felizmente, existem ferramentas automatizadas para ajudar o administrador de segurança a eliminar essas mensagens.

35

Spam:Ameaças a organizações

● Consome recursos computacionais (largura de banda e tempo de CPU).

● Desvia pessoal de TI de atividades mais críticas à segurança de rede.

● Mensagem de spam é um portador em potencial de código malicioso (vírus, conteúdo ativo hostil, etc.).

● Divulgadores de spam (spammers) têm desenvolvido técnicas para comprometer sistemas intermediários para facilitar serviços de reenvio, mascarando os endereços reais de origem e constituindo um ataque de negação de serviço para sistemas vitimados.

● Recursos para cancelar assinatura (opt out) em mensagens de spam podem representar uma nova forma de ataque de reconhecimento para adquirir endereços de destino legítimos.

36

Spam:O que é Spam?

● SPAM, com todas as letras maiúsculas, é uma marca registrada da Hormel Foods.

● O uso atual do termo spam surgiu em um seriado de comédia do grupo Monty Python (1970). O seriado representava um garçom em um jantar, em que cada prato incluía o produto SPAM. Toda vez que um dos personagens pronunciava a palavra “SPAM”, vários Vikings no jantar repetidamente cantavam “SPAM, SPAM, SPAM, SPAM!”. O canto dos Vikings abafava o diálogo principal, dificultando a compreensão do que outros personagens falavam.

● Como resultado, o termo “spam” passou a significar qualquer ruído ou comunicação excessiva que abafe a mensagem principal.

37

Vermes

● Vermes (worms) são programas autocontidos, projetados para se propagarem de uma máquina hospedeira para outra, usando os próprios protocolos de comunicações de rede do hospedeiro.

● Diferentemente de vírus, vermes não exigem um programa hospedeiro para sobreviver e se replicar.

● Originalmente, a distinção entre vermes e vírus era a de que os primeiros usavam redes e enlaces de comunicações para se espalhar e não se anexavam diretamente a um arquivo executável.

● O uso do termo verme vem do fato de serem programas segmentos, que trabalham em diferentes computadores, todos se comunicando por uma rede.

38

Vermes:Evidência de Ataques

● Aumentos não explicados em consumo de largura de banda.

● Altos volumes de e-mails recebidos e enviados durante períodos de atividades normais.

● Aumento repentino em utilização de armazenamento de servidor de e-mail (o que pode disparar limites de alarme definidos para monitorar e gerenciar espaço em partição de disco/usuário).

● Diminuição não explicada em espaço disponível em disco.

39

Vermes:Evidência de Ataques

● Aumento incomum em tamanho médio de mensagem ou aumento em volume de anexos.

● Respostas não esperadas de daemon SMTP ou POP3 para não entrega de tráfego de mensagem não enviado por usuários.

● Aumento repentino em tempos de resposta de usuário pela rede ou congestionamento repentino em pontos de estrangulamento próximos a agrupamentos (farms) de servidores.

● Aumento repentino em atividade de alarme de limite de IDS e firewall.

40

Vermes

● Um verme normalmente sonda computadores conectados a uma rede para explorar uma vulnerabilidade específica.

● Em geral, vermes procuram uma parte específica de software servidor ou utilitário que responderá a consultas ou atividade de rede.

● Alguns exemplos de vermes são o Internet/Morris Worm de 1988.

● Vermes mais recentes incluem o Code Red e uma série de vermes para Linux, como o Lion.

● Blaster foi possivelmente um dos vermes mais bem-sucedidos, porque a função que ele usava (DCOM) estava disponível em todas as versões do Windows – desktop e também servidor.

41

Vermes:Como funciona um verme

42

Vermes

● Um verme pode se espalhar rapidamente sem qualquer ação de usuário e normalmente ataca software de servidor, pois muitas pessoas que os escrevem sabem que servidores estão ligados o tempo inteiro, o que permite que o verme se espalhe em uma velocidade mais rápida.

43

Cavalos de Troia

● Um cavalo de Troia é qualquer programa que se disfarce como útil enquanto esconde sua maliciosa intenção.

● A natureza de disfarce de um cavalo de Troia encoraja usuários a baixar e executar o programa.

● Do ponto de vista de um cracker, a vantagem dessa abordagem é que o cavalo de Troia executa como um processo autorizado, porque um usuário autorizado o executou.

44

Cavalos de Troia

● O sucesso de cavalos de Troia é devido ao fato de que contam com engenharia social para se espalhar e operar. Ele tem de enganar usuários para que o executem.

● Se parecer ser um programa útil, terá mais chance de se espalhar. Na verdade, os cavalos de Troia mais bem-sucedidos realmente oferecem serviços úteis, e usuários desavisados podem executá-lo muitas vezes. Porém, cada vez que o cavalo de Troia executa, também é executada alguma ação indesejada.

45

Cavalos de Troia

● Muitos cavalos de Troia se espalham por mensagens de e-mail ou por downloads a partir de Web sites.

● No passado, desenvolvedores de cavalo de Troia publicavam os programas em sistemas de quadro de aviso eletrônico e em sites de arquivamento. Moderadores e software antimalware logo identificavam e eliminavam programas maliciosos.

● Mais recentemente, programas de cavalo de Troia se espalham por mensagens de e-mail em massa. Web sites, redes sociais e agentes de distribuição automatizados (bots).

● Programas de cavalo de Troia podem se espalhar em uma série de disfarces. A identificação de sua carga útil maliciosa se tornou muito mais difícil.

46

Cavalos de Troia:Evidências de Cavalos de Troia

● Execução de novos processos não reconhecidos.

● Mensagens de partida indicando que um novo software foi (ou está sendo) instalado (atualização de Registro).

● Falta de resposta de aplicativos a comandos normais.

● Redirecionamento incomum de solicitações Web normais para sites desconhecidos.

● Atividades de conexão de modem inesperada ou não programada.

47

Cavalos de Troia:Evidências de Cavalos de Troia

● Pedidos de acesso remoto inesperados em horários incomuns ou painéis de solicitação de acesso desconhecidos (isso pode resultar de atualizações de software de rotina ou reinicialização de sessão, mas também pode indicar um software de captura de teclado ou de senha na forma de cavalo de Troia).

● Término repentino ou inesperado de software de varredura antivírus ou software pessoal (ao iniciar ou quando usuário tenta carregar).

48

Cavalos de Troia

● Alguns especialistas consideram que um vírus é apenas um tipo de programa de cavalo de Troia.

● Existem alguma validade nessa visão. Um vírus é uma grandeza desconhecida que se oculta e se espalha junto com um programa legítimo.

● Além disso, você pode transformar qualquer programa em cavalo de Troia infectando-o com um vírus.

● Porém, o termo vírus refere-se especificamente ao código infeccioso, não ao hospedeiro infectado.

● O termo cavalo de Troia refere-se a um programa deliberadamente enganador ou modificado, que não se reproduz.

49

Bombas Lógicas

● Uma bomba lógica é um programa que executa uma função maliciosa de algum tipo quando detecta certas condições.

● Uma vez implantada, a bomba lógica espera por uma condição ou momento especificado e, quando ocorre, ela é ativada e executa as respectivas tarefas.

● As tarefas maliciosas podem causar danos imediatos ou iniciar uma sequência de eventos que causem danos por um período maior.

50

Bombas Lógicas

● Muitas bombas lógicas se originam com funcionários da organização. Como pessoas em uma organização geralmente têm mais conhecimento da infraestrutura de TI que estranhos, elas podem plantar bombas lógicas com mais facilidade.

● Além disso, o pessoal interino geralmente sabe mais sobre pontos fracos de uma organização e pode deduzir maneiras efetivas de causar danos.

● Por exemplo, um programador pode esconder um programa em outro software que se encontre inativo. Se a empresa o demitir, ele poderá ativar o programa e fazer com que a bomba lógica execute atividades maliciosas, como excluir arquivos valiosos ou causar outro tipo de prejuízo.

51

Bombas Lógicas

● Bombas lógicas podem ser muito difíceis de identificar porque o projetista as cria para evitar detecção.

● Além disso, ele geralmente possui conhecimento das capacidades e dos controles de segurança da organização e pode colocar bombas lógicas onde elas provavelmente não chamarão atenção.

52

Redes Robotizadas

● Grupos de hackers criam redes robotizadas (botnets) para iniciar ataques.

● Os atacantes infectam máquinas vulneráveis com agentes que realizam várias funções ao comando do bot-herder ou controlador (um bot-herder é um hacker que opera uma botnet).

● Tipicamente, controladores se comunicam com outros membros da botnet usando canais de bate-papo (IRC).

Redes Robotizadas

● Atacantes podem usar redes robotizadas para distribuir malware e spam e para iniciar ataques de negação de serviço contra organizações ou mesmo países.

● Esses estabeleceram milhares de redes robotizadas e são uma ameaça real a sistemas.

● Durante 2007, a rede robotizada Storm foi o segundo supercomputador mais poderoso do mundo.

54

Boatos e Mitos

● Embora boatos sobre vírus nem sempre sejam maliciosos, espalhar advertências não verificadas e reparos falsos pode ocasionar novas vulnerabilidades.

● Frequentemente, o objetivo do criador de um boato ou mito é simplesmente observar quão amplamente a artimanha poderá ser propagada.

● Essa é uma nova versão do antigo ataque de corrente, de acordo com o qual um atacante enviava a uma pessoa uma carta prometendo boa sorte ou felicidade se ela encaminhasse a mensagem para uma dúzia de pessoas.

55

Boatos e Mitos:Como reconhecer?

● Uma entidade legítima (especialista em segurança de computador) enviou o alerta?Inspecione qualquer certificado de validação ou, pelo menos, o URL de origem do informante.

● Existe um pedido para encaminhar o alerta a outros? Nenhum alerta de segurança legítimo sugerirá que o destinatário encaminhe o informe.

● Existem explicações detalhadas ou teminologia técnica no alerta? Boatos normalmente usam linguajar técnico para intimidar o destinatário, fazendo-o crer que se trata de um alerta legítimo. Um aviso legítimo, no entanto, normalmente omitirá qualquer detalhe e simplesmente referenciará o destinatário a um site legítimo para detalhes.

56

Boatos e Mitos:Como reconhecer?

● O alerta segue o formato genérico de uma carta de corrente? Nesse formato, existe um gancho, uma ameaça e um pedido. O gancho é uma abertura atraente ou dramática ou linha de assunto para chamar a atenção do destinatário. A ameaça é uma advertência em termos técnicos sobre vulnerabilidades ou danos sérios. O pedido é um apelo para distribuir o alerta ou uma sugestão para tomar alguma ação imediata – por exemplo, baixar uma correção.

57

Sequestro de Página Inicial

● A função desses ataques é mudar a página inicial (home page) de seu navegador para apontar para o site do atacante. Existem duas formas de sequestro:

– Explorar uma vulnerabilidade do navegador para modificar a página inicial – Muitos tipos de conteúdo ativo podem mudar a página inicial do navegador, normalmente sem a permissão do usuário. Mesmo sem lançar mão de meios ocultos, é fácil convencer um usuário a selecionar uma ação que faça mais do que o que ele espere.

– Instalar secretamente um programa de cavalo de Troia de objeto auxiliar de navegador – Uma vez que um objeto auxiliador de navegador (BHO) seja executado, ele poderá mudar a página inicial do navegador de volta para o site desejado pelo sequestrador. Tipicamente, programas sequestradores colocam uma referência para eles mesmos nos procedimentos de partida do sistema operacional. Desse modo, o sequestrador executa toda vez que o computador inicia.

58

Desfigurações de Página Web

● O termo desfiguração (defacement) Web ou pichação (graffiti) Web refere-se a alguém que obtenha acesso não autorizado a um servidor Web e altere a página de índice de um site no servidor.

● Geralmente, o atacante explora vulnerabilidades conhecidas no servidor alvo e obtém acesso administrativo. Uma vez no controle, ele substitui as páginas originais do site por versões alteradas.

59

Desfigurações de Página Web:Página Web desfigurada do New York Times

60

Desfigurações de Página Web

● A maioria dos profissionais de segurança considera essa forma de ataque simplesmente um incômodo. Porém, existe o potencial para embutir código com conteúdo malicioso ativo no site, como vírus ou cavalos de Troia.

● Code Red, por exemplo, incluía uma carga útil que instalava um cavalo de Troia do tipo porta dos fundos, que permitia acesso remoto a um servidor IIS infectado, que atacantes podiam usar para desfigurar a página inicial do servidor Web.

Documents

Código e Atividade Maliciosa - brhott.files.wordpress.com · Esses vírus atacam contramedidas, como arquivos de assinatura de antivírus ou bancos de dados de integridade. Um vírus