Malware

- Curs 5 -
 Atacurile cu succes asupra
sistemelor informatice au la
bază două elemente

Programele software Utilizatorii sunt

malițioase păcăliți

- se infiltrează într-un mod silențios pe - să realizeze acțiuni compromițătoare

sistemul informatic sau să furnizeze informații sensibile
- pot intercepta date sau fura informații, pot atacatorilor
lansa alte atacuri sau distruge hard-disk-
ul unui computer
 Malware (malicious software)

● software-ul conceput pentru a întrerupe

operațiunile unui sistem informatic sau
pentru a obține acces la acesta, fără știrea
sau permisiunea utilizatorului.
● termen general folosit pentru a descrie toate
software-urile ostile sau intruzive, incluzând
viruși, viermi, cai troieni, ransomware,
spyware, adware, scareware, etc.
● programele malware pot fi în anumite cazuri
ușor de identificat dar există și situații în care
sunt aproape imposibil de detectat.
Tipuri de malware – schimbarea stării

Oligomorphic Polimorphic Metamorphic

malware malware malware

își schimbă codul codul malware se acest tip de malware își

intern, cu una dintre schimbă complet față rescrie codul, astfel că
stările predefinite, la de forma originală ori apare diferit ori de câte
fiecare lansare în de câte ori este ori va fi executat
execuție executat (scrambled)
 Tipuri de malware – trăsături primare
Circulation Infection
(propagare) (infectare)
împrăștierea rapidă poate rula o singură dată,
către alte sisteme iar apoi să fie stocat în
pentru a afecta un memoria sistemului sau
număr mare de poate rămâne în sistem și
computere/utilizatori lansat de un număr infinit
de ori prin caracteristica
de auto-run
Concealment Payload capabilities
(ascundere) (conținutul)
malware-ul polimorfic acțiunile infracționale pe
încearcă evitarea care le generează: furt
detecției prin schimbarea parole sau informații;
lui însăși, în timp ce alte ștergere programe sau
tipuri de malware se pot fișiere; modificare setări de
integra într-un proces securitate; utilizarea
existent sistemului infectat pentru
lansarea atacurilor
 Viruși

● Un virus informatic este un cod informatic

malițios care se auto-reproduce într-un computer
fără intervenția utilizatorului.
● Pentru activare codul informatic malițios trebuie
lansat în execuție (rulat).
● Virușii de tip macro - sub forma unui script. Un
macro reprezintă o serie de instrucțiuni ce pot fi
grupate împreună sub forma unei singure
comenzi. Macro-urile pot fi stocate într-un fișier
de tip Excel sau Word. Atunci când fișierul este
lansat în execuție, instrucțiunile de tip macro sunt
executate.
 Viruși - appender infection

● Un tip simplu de infecție este appender infection.

● Virusul este adăugat la finalul fișierului infectat.
● O instructiune de tip jump este inserată la
începutul fișierului și trimite execuția la sfârșitul
fișierului, acolo unde se află începutul codului
virus.
● Atunci când programul este lansat, instrucțiunea
jump redirecționează controlul către virus.
● Sunt totuși ușor de detectat de către
instrumentele de scanare actuale
 Viruși - swiss cheese infection

● O metodă mai complexă de infecție comparativ

cu appender infection
● În loc de o singură instrucțiune jump către codul
virus, sunt realizate două acțiuni:

○ codul virus este criptat, ceea ce îl va face

mult mai greu de detectat

○ mecanismul de decriptare al virusului este

injectat pe bucăți în codul programului
infectat; atunci când programul este lansat,
diferitele piese sunt conectate și realizează
decriptarea virusului
 Viruși - split infection

● În loc să se introducă bucăți ale mecanismului de

decriptare în tot codul program, anumiți viruși
împart codul malițios în multiple părți

● Aceste părți sunt plasate în poziții aleatorii de-a

lungul întregului cod de program

● Pentru a fi și mai dificil de detectat, aceste părți

ar putea conține cod fără rol, pentru mascarea
scopului real
Viruși – acțiuni
Rulează codul pentru
realizarea acțiunii malițioase
● Blocarea în mod repetat a unui
computer
● Ștergerea fișierelor de pe un
hard-disk
● Blocarea setărilor de securitate
de pe computer
● Formatarea hard-disk-ului
Se auto-reproduce prin
inserarea codului în alte
fișiere din același computer
● Se poate auto-replica doar pe
computerul pe care se află
● Se bazează pe acțiunile
utilizatorului pentru a se putea
răspândi pe alte computere –
mutarea fișierelor cu un device
flash memory, transmiterea unui
email cu atașament, etc.
 Worms (viermi)

● Worm (vierme) - malware ce are ca prim scop

replicarea (propagarea)
● Worm-ul este construit să intre într-un computer,
prin rețea, și să exploateze o vulnerabilitate; apoi
va căuta alt computer în rețea care are aceeași
vulnerabilitate
● Acțiunile pe care un worm le poate realiza includ:
○ Ștergerea unui fișier dintr-un computer
○ Controlul de la distanță a unui computer
infectat de către un atacator
● Viermii încetinesc de obicei rețelele
● În afară de infecția inițială, viermii nu mai
necesită participarea utilizatorului.
Trojans (troieni)
 Trojans (troieni)

● Un troian reprezintă un program executabil care

maschează o acțiune malițioasă în spatele unei
activități legitime.

● Exemplu de acțiune ce poate fi realizată de un

troian: instalarea de malware ce poate scana un
sistem pentru furt de date – card de credit, parole
etc.

● După colectarea datelor, acestea sunt transmise

către atacator.
Logic bomb
 Logic bomb

● Anumite tipuri de malware au drept scop

ștergerea datelor – fișiere utilizator, documente,
poze sau fișiere vitale ale sistemului de operare
astfel încât PC-ul să nu mai poată funcționa în
parametri normali.
● Logic bomb este un cod care se va afla în stare
latentă până la un moment dat în care va fi
declanșat de un eveniment logic specific.
● Există bombe logice care atacă și distrug
componentele hardware dintr-o stație de lucru
sau server (ventilatoare de răcire, procesor,
memorie, hard disk-uri și surse de alimentare)
Backdoor
 Backdoor

● Unele tipuri de malware încearcă să modifice

setările de securitate ale unui sistem.
● Backdoor-urile instalate într-un computer permit
atacatorului reconectarea ulterioară, trecând
peste setările de securitate.
● Scopul backdoor-ului este de a acorda
infractorilor cibernetici accesul viitor la sistem
chiar dacă organizația remediază vulnerabilitatea
inițială utilizată pentru a ataca sistemul.
● De obicei, atacatorii au păcălit utilizatorii să
ruleze, fără să știe, un troian pe computerul lor
pentru a instala un backdoor.
Rootkit
 Rootkit

● Anumite tipuri de malware au ca prim obiectiv

evitarea detecției.
● Rootkit-ul constă într-un set de instrumente
software care ascund acțiunile sau prezența altor
tipuri de software. Software-ul ascuns poate fi
malițios și poate cuprinde: troieni, viruși sau
viermi.
● Rootkit-ul își realizează scopul prin schimbarea
setărilor sistemului de operare - forțarea acestuia
să ignore fișierele sau activitatea malițioasă.
● Rootkit-ul ascunde sau elimină toate urmele care
ar putea trăda malware-ul, cum ar fi intrările din
log-uri.
Spyware
 Spyware

● Spyware este un termen general utilizat în

descrierea software-ului care spionează
utilizatorii, prin colectarea informației, fără
acordul acestora.
● Acest software utilizează resursele sistemului,
incluzând programe deja instalate, în scopul
colectării și distribuirii informațiilor personale
sensibile.
● Keylogger - realizează captura și stocarea valorii
fiecărei taste pe care utilizatorul o introduce de la
tastatură.
● După colectare, informațiile vor fi transmise către
atacator prin intermediul conexiunii la Internet.
Adware
 Adware

● Adware livrează conținut sub forma reclamelor

într-o manieră neașteptată și nedorită de către
utilizator.
● Afișează în mod tipic bannere cu reclame, pop-
up-uri sau deschide ferestre noi de browser la
intervale de timp aleatorii.
● Anumite tipuri de adware pot furniza o funcție de
urmărire care monitorizează/urmărește
activitățile online ale unui utilizator, iar apoi
trimite un log cu aceste activități către terțe părți
fără acceptul/cunoștința utilizatorului.
Ransomware
 Ransomware

● Ransomware - un malware care blochează

operarea normală a dispozitivului utilizatorului.

● Pentru deblocarea dispozitivului, în mod tipic,

este solicitată o sumă de bani.

● Blocarea dispozitivului poate fi însoțită de un

mesaj sugestiv

● Din momentul în care victima plătește, atacatorul

poate furniza un program care decriptează
fișierele sau trimite un cod de deblocare, dar în
multe situații acest lucru nu se întâmplă.
Scareware
 Scareware

● Scareware-ul este un malware care urmărește să

îl sperie pe utilizator

● Scareware-ul falsifică ferestrele pop-up care

seamănă cu ferestrele de dialog ale sistemului
de operare și transmite mesaje falsificate care
afirmă că sistemul este în pericol

● În realitate, nu există probleme și, dacă

utilizatorul este de acord și permite programului
menționat să se execute, malware-ul îi
infectează sistemul.
VĂ MULȚUMESC!