Spyware

1 Introdução

Spyware é um termo utilizado para descrever um tipo específico de software que têm como finalidade monitorizar e controlar parcialmente a interacção do utilizador com o computador, recolhendo informações pessoais, mostrando publicidade (adware) ou até alterando as configurações do computador sem o consentimento e conhecimento do seu utilizador. Este tipo de software é frequentemente incluído (de forma oculta) com outros programas disponibilizados gratuitamente na Internet.

Tipicamente este tipo de software abre janelas de pop-up com publicidade enquanto o utilizador navega na Internet, redirecciona o utilizador para páginas não solicitadas e/ou envia informações pessoais do utilizador armazenadas no computador infectado para os autores do software ou empresas de publicidade.

As consequências de uma infecção por spyware são variadas e podem ir desde o simples incómodo de ter que fechar constantemente janelas de pop-up com publicidade até ao roubo de identidade que pode trazer consequências bastante mais sérias para o utilizador. Alguns tipos de spyware baixam ainda as protecções do sistema e abrem backdoors, permitindo que no futuro o sistema infectado possa sofrer intrusões ou ser utilizado para actividades maliciosas como ataques de negação de serviço distribuídos.

2 Dados Recolhidos

O principal objectivo deste tipo de software é a recolha de dados do utilizador infectado. Os dados recolhidos não se resumem aos ficheiros armazenados em disco mas também aos dados transitórios como screenshots, informação introduzida pelo utilizador através do teclado e dados enviados e recebidos pela rede.

A quantidade de dados adquiridos pelo spyware é enorme, tornando-se ineficaz enviar toda a informação recolhida para quem produziu o spyware. Actualmente o spyware filtra a informação recolhida, enviando apenas as informações relativas a um determinado processo,conteúdos na web ou email.

É importante perceber que nenhum tipo de dados está salvaguardado num sistema infectado por spyware, sendo que normalmente os dados recolhidos são:

  • Actividade na Internet – Sites visitados, informações introduzidas em formulários e serviços (login e passwords), etc...
  • Informação relativa a contactos e emails – Contactos geralmente utilizados posteriormente para inclusão em listas de spam
  • Dados da Protected Store do Windows – Serviço do windows que armazena de forma encriptada alguns dados sensíveis tais como passwords (Outlook, InternetExplorer, MSN Explorer), campos de AutoComplete do Internet Explorer (username/password e termos pesquisados) e certificados digitais. Apesar de a Protected Store ser encriptada o acesso a esta é controlado pelas credenciais do utilizador do sistema (login do windows) o que torna o acesso a estes dados bastante simples uma vez que o spyware executa no contexto da sessão do utilizador e tem acesso a estes dados.
  • Conteúdos do Clipboard – O Clipboard é a área de transferência usada nas operações de cópia e de corte. Esta área pode conter informações sensíveis de documentos confidenciais em que o utilizador esteve a trabalhar bem como informações utilizadas na navegação na Internet (usernames e passwords).
  • Informação introduzida através do teclado (key loggers) – Esta técnica não é exclusiva do spyware sendo que também existem dispositivos físicos que têm exactamente a mesma função: registar todas as teclas pressionadas pelo utilizador. No caso do spyware este registo é feito através de software e não ao nível físico, tornando muito mais fácil a sua instalação e remoção bem como a recolha da informação armazenada. Este tipo de técnica pode também filtrar a informação recolhida de acordo com determinados parâmetros (por exemplo: registar as teclas pressionadas depois de o utilizador digitar www.OMeuBanco.pt que normalmente serão o username e a password de acesso).
  • Informação introduzida através do rato (screenshots) – Esta técnica têm a mesma finalidade da anterior, sendo que neste caso é registada uma imagem do que está à volta do cursor do rato em cada clique. Esta técnica surgiu para contornar os teclados virtuais instalados em muitos serviços de homebanking.
  • Trafego na rede – Usernames, Passwords, Emails, conteúdos web (formulários, páginas visitadas, etc...) e até ficheiros completos enviados e recebidos através da Internet. Se o computador infectado estiver numa rede controlada por um hub ou por um switch mal configurado esta técnica pode ainda capturar dados enviados e recebidos em toda a rede.

3 Como reconhecer uma infecção

Os seguintes sintomas podem indicar uma infecção:

  • Abertura constante de janelas de pop-up com publicidade
  • Redireccionamento para sites diferentes daqueles que digitou no browser
  • Aparecimento de novas barras de ferramentas no browser
  • Aparecimento de novos ícones na barra de tarefas do sistema
  • Alteração da página inicial do browser
  • Alteração do motor de busca utilizado pelo browser na barra de pesquisa
  • Algumas teclas deixam de funcionar durante a utilização do browser (Ex: utilização do tabulador para comutar entre campos de um formulário)
  • Aparecimento de mensagens de erro aleatórias
  • Degradação da performance do computador
  • Aumento considerável e injustificável de dados enviados para a internet

4 Como prevenir uma infecção

De forma a evitar a instalação inadvertida de spyware deve seguir as seguintes recomendações:

  • Não seleccione links em janelas de pop-up – Frequentemente estes links direccionam para ficheiros de instalação de spyware ou outras formas de malware. Feche sempre as janelas de pop-up seleccionando “X” na janela do sistema operativo e não nenhum link que diga “close” ou “fechar”.
  • Seleccione “não” sempre que lhe forem colocadas questões inesperadas – Sempre que lhe for solicitado para instalar um determinado programa ou correr uma determinada aplicação sem que esteja à espera seleccione sempre “não”, “cancelar” ou “X” na janela do sistema operativo. Nunca responda sim se não tem a certeza do que se trata.
  • Tenha cuidado com o software gratuito e disponível para download – Existem inúmeros sites que oferecem barras de ferramentas ou programas apelativos. Não instale este tipo de programas através de sites que não confia, ao fazê-lo pode estar a infectar o seu computador com spyware.
  • Não carregue em links enviados através de email – Estes links podem apontar para ficheiros de instalação de spyware ou outro malware.
  • Tenha cuidado com os produtos de anti-spyware – Existem inúmeros exemplos de software anunciados como anti-spyware que na realidade são spyware. Tenha cuidado a escolher um produto deste tipo e certifique-se (em mais do que uma fonte na Internet) de que o produto cumpre na realidade a finalidade que afirma. Alguns exemplos de anti-spyware falsos:
    • AntiVirus Gold
    • AV System Care
    • ContraVirus
    • errorsaf (também conhecido como system doctor)
    • MalwareAlarm
    • Malware
    • MagicAntiSpy
    • PAL Spyware Remover
    • PCSecuresystem
    • Pest Trap
    • PSGuard
    • SecurePCcleaner
    • SpyAxe
    • SpywareStrike
    • Spyware Quake
    • Spydawn
    • Spylocked
    • SpyShredder
    • SysProtect
    • Spy Ranger
    • Spy Sheriff
    • Spy Wiper
    • Registrycleanerxp.com
    • UltimateCleaner
    • WinAntiVirus Pro 2006
    • WinFixer
    • WorldAntiSpy
    • Your Privacy Guard
  • Configure o seu browser para não permitir janelas de pop-up e para limitar a utilização de cookies – Actualmente os browsers mais utilizados já permitem bloquear janelas de pop-up. Se o seu browser não o permitir configure-o para que este não permita a execução de scripts (forma normalmente utilizada para abrir uma nova janela) em sites que desconhece. Alguns cookies são considerados como spyware pois guardam a informação dos sites visitados pelo utilizador. Para prevenir que estes cookies sejam criados altere as definições de segurança ou privacidade do seu browser para que este permita a criação de cookies apenas por alguns sites (da sua confiança).

5 Como remover

Se o seu computador estiver infectado com spyware deverá removê-lo através dos seguintes passos:

  • Execute uma pesquisa completa ao seu computador utilizando o seu antivírus – Alguns antivírus conseguem detectar spyware mas não o conseguem fazer em tempo real. Configure o seu antivírus para efectuar pesquisas periódicas.
  • Efectue uma pesquisa com um anti-spyware - Existem vários produtos grátis que eliminam o spyware do seu computador, no entanto tenha cuidado com os falsos anti-spyware mencionados anteriormente. Alguns dos mais conhecidos são:
    • Ad-Aware - http://www.lavasoftusa.com/
    • Spybot-S&D - http://www.safer-networking.org/pt/index.html
    • Windows Defender - http://www.microsoft.com/athome/security/spyware/software/default.mspx
    • Spyware Doctor - http://www.pctools.com/spyware-doctor/
    • CounterSpy - http://www.sunbelt-software.com/Home-Home-Office/Anti-Spyware/
    • HijackThis - http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
    • SpySweeper - http://www.webroot.com/En_US/consumer-products-spysweeper.html?WRSID=9a69206278c2dc29867e518fceb034c4
    • XoftSpy - http://www.xoftspy.com/
  • Certifique-se que não cria conflitos entre o seu antivírus e o anti-spyware – Poderão existir conflitos entre o seu antivírus e o anti-spyware durante e depois da instalação deste. Certifique-se, através dos sites dos fabricantes e de pesquisas na Internet, que não existe um historial de conflitos entre os produtos que tiver instalados.

6 Referências

Spyware (cert.org)

Cuidados a Navegar na Internet

O que fazer em caso de infecção por vírus informático

InternetSegura.PT

CERT.PT

 


Missão

O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.

PT EN
Participe Incidente

Contactos

Av. do Brasil 101 
1700-066 Lisboa 
Portugal

Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)  
Fax: +351 218472167

email para comunicação de incidentes: Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. ; Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

email para outros assuntos: Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. ; Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

 

pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7

 

Filiação

FIRST
Membro da Rede Nacional CSIRTs