Detecção e Recuperação de um Incidente de Vírus ID do Artigo: 2610
	Introdução Identificação do ataque É mesmo um vírus? Pesquisa em segundo plano Identificação e avaliação do vetor da infecção Recrutamento de reservas Contenção do ataque Conclusão

Com relação a novos vírus e códigos maliciosos, os fornecedores de software antivírus e centros de TI corporativos podem somente reagir às novas ameaças e não antecipá-las. Até mesmo se desmontarmos as redes IP, não há nenhuma maneira totalmente segura de proteger os pontos de IP contra o próximo vírus propagado por e-mail ou pela Web.

Isso pode ser frustrante, mas não quer dizer que os centros de TI corporativos sejam inúteis. Ao contrário, nossa experiência demonstra que etapas específicas e eficazes podem ser seguidas, mesmo se você não possui as ferramentas ou infra-estruturas mais avançadas. Este artigo explicará como detectar um vírus e, caso você descubra que já está infectado, qual a resposta imediata e medidas corretivas que devem ser tomadas.

Identificação do ataque
O e-mail tem sido o método de distribuição de vírus mais visível; porém, não é a única maneira pela qual os vírus podem entrar no seu ambiente de rede IP. Por exemplo, os usuários podem trazer disquetes infectados de casa ou podem fazer downloads de FTP ou HTTP de sites infectados. Recentemente, os criadores de vírus e especialistas em intrusões vêm cooperando para desenvolver um código de vírus que entre em redes através da exploração de falhas de segurança conhecidas em vários aplicativos.

Uma vez que o vírus entra na rede, ele se propaga de computador para computador de várias maneiras. Alguns vírus pesquisam as redes à procura de sistemas configurados para permitir o compartilhamento de arquivos e tentar acessar e infectar seus arquivos. Outros vírus se enviam a estações da rede. Outros fazem ambos, enquanto outros vírus se propagam de formas inesperadas, que incluem o uso de sistemas de mensagens instantâneas ou aplicativos de ponto a ponto. Um único computador infectado na sua rede pode rapidamente infectar vários outros sistemas na rede IP.

É mesmo um vírus?
Se o seu software antivírus detectar uma infecção ou uma tentativa de infecção, ele poderá lidar normalmente com a situação de forma eficaz, significando que você não terá um incidente de vírus. Incidentes de vírus geralmente ocorrem quando um vírus consegue passar pela sua detecção de intrusões e/ou proteção antivírus. Quando isso ocorre, o vírus normalmente sinaliza sua presença, seja como um resultado direto da sua tentativa de propagação ou como um efeito colateral. Indicadores comuns de infecção por vírus incluem:

• Imagens ou sons inesperados na tela, especialmente se esses ocorrerem em vários sistemas, podem ser resultados de vírus. Apesar desses indicadores não serem destrutivos, isso não quer dizer que o vírus em si não seja destrutivo. É necessário que você instrua seus usuários para que detectem e relatem esses indicadores da interface.
  
  
• Os indicadores de arquivos são os mais comuns e com freqüência os mais difíceis de detectar. Eles incluem o aparecimento de vários arquivos desconhecidos nas estações de trabalho dos usuários ou em servidores de arquivos e o desaparecimento de vários arquivos por razões desconhecidas, a perda de dados dentro de arquivos ou a substituição de seu conteúdo. Se o vírus for do tipo que infecta arquivos, os arquivos que contêm códigos executáveis podem subitamente mudar de tamanho, à medida que o vírus se insere no código e é executado quando um usuário ou aplicativo tentar executar o código no arquivo original.
  

Normalmente você descobrirá esses indicadores como resultado da notificação do usuário, mas a melhor maneira de detectar esse tipo de indicador é através de uma solução de detecção de intrusões baseada no host (IDS).

• Os indicadores do sistema são geralmente fáceis de detectar, pois eles interferem na capacidade de usar o sistema. Alguns exemplos incluem a indisponibilidade das partições do arquivo ou a destruição de sistemas de arquivos completos. Esse tipo de dano é raro, pois interfere com a capacidade de propagação do vírus. Quando isso ocorre, é normalmente um efeito colateral de uma programação pobre por parte do criador do vírus, mas pode também ser o resultado do que conhecemos como bomba lógica, um pequeno código malicioso inserido pelo criador do vírus para ser executado em uma data específica ou baseado em algum outro tipo de acionador. Os seus usuários sempre o manterão informado sobre esse tipo de indicador.
  
  
• Os indicadores da rede são normalmente causados pelos efeitos colaterais do vírus tentando se propagar e incluem desordem na rede e envio não programado de e-mails. Esse tipo de indicador é normalmente óbvio para vários usuários ao mesmo tempo, mas pode ser também detectado através do uso de ferramentas administrativas da rede com recursos de notificação.
  
• Os indicadores personalizados são aqueles que você insere em seu sistema para a detecção de novos vírus que não são detectados pelo software de antivírus. Por exemplo, você pode configurar uma conta fictícia da lista de um grupo de e-mail do Microsoft Exchange, incluindo somente contas de usuários fictícias, para que possa detectar worms de e-mail que usam o Microsoft Outlook para se propagar.

Apesar de vários indicadores de vírus poderem ser facilmente rastreados até uma ação ou acionador específico, em alguns casos o indicador ocorre também de forma aleatória e imprevisível. Esses indicadores são os mais difíceis de rastrear e determinar se são de fato causados por um vírus.

Pesquisa em segundo plano
A eliminação dos indicadores não virais é a primeira etapa. Programas de piadas, mensagens publicitárias, erros de aplicativos, erros comuns de usuários, falhas do sistema e falhas no hardware da rede estão entre os eventos que podem acionar indicadores confusos. Abaixo estão algumas fontes de informações que podem ajudá-lo a identificar os problemas virais ou não virais que podem causar os mesmos indicadores:

• Fornecedores de software de proteção antivírus
• O website do Computer Emergency Response Team (CERT): http://www.cert.org/
• A Metabase ICAT: icat.nist.gov
• A home page do System Administration Network and Security Institute (SANS): http://www.sans.org/
• O website do NTBugTrack, http://www.ntbugtrac.com/, que mantém um banco de dados de problemas de aplicativos conhecidos
• Sites específicos de sistemas operacionais, incluindo Microsoft e Sun
• Sites específicos de aplicativos para o software usado no seu ambiente
• Sites específicos do hardware para os sistemas afetados
• O website do Computer Virus Myths, http://www.vmyths.com/, que mantém um banco de dados de vírus falsos (hoaxes) conhecidos e problemas em aplicativos que são comumente confundidos com vírus

Identificação e avaliação do vetor da infecção
Uma vez determinado que um vírus está provocando o indicador, a próxima etapa é identificar a natureza do ataque. O ideal seria que você tivesse tempo para determinar totalmente os sistemas afetados, mas alguns vírus podem se propagar mais rápido do que você pode avaliar seu impacto. As infecções que não podem ser resolvidas através da atualização do software antivírus necessitam de um diagnóstico mais detalhado antes que um plano para a sua erradicação possa ser feito.

Para decidir como proceder, é necessário saber com qual vírus você está lidando e suas possíveis repercussões no ambiente. Informe-se sobre como o vírus se propaga, seus métodos de ataque e os possíveis danos que podem causar. Não dependa unicamente do seu fornecedor de antivírus ou detecção de intrusões para obter informações sobre vírus, apesar de poder contar com eles para decisões sobre informações contraditórias. Considere as seguintes fontes:

• Fornecedores de software de proteção antivírus
• O website do Computer Emergency Response Team (CERT): http://www.cert.org/
• Principais websites de notícias, incluindo CNN (http://www.cnn.com.br/) e MSN (http://www.msn.com.br/)
• O website de boletins de vírus: http://www.virusbtn.com/
• O website da International Computer Security Industry Association: http://www.icsalabs.com/html/communities/antivirus/index.shtml
• O website do Computer Incident Advisory Capability: http://www.ciac.org/ciac/
• O website do portal do Information Systems Security Professionals: http://www.infosyssec.net/
• O National Institute of Standards and Technology: csrc.ncsl.nist.gov/virus/
• Security Focus: http://www.securityfocus.com/

Após identificar o vírus, tente descobrir o grau da infecção. Faça as seguintes perguntas para avaliar o vetor da infecção e para identificar as maneiras mais rápidas de impedir a propagação do vírus:

• Como ele chega até a rede?
  
• Se chegar via e-mail SMTP, a filtragem de conteúdo poderá interceptá-lo. Se chegar através da navegação a um servidor infectado, você pode bloquear os URLs. Se chegar através de aplicativos ponto a ponto ou aplicativos de bate-papo da Internet, tente bloquear as portas específicas usadas para esses aplicativos no firewall.
  
• Ele tenta usar a rede ou se propaga através do compartilhamento de arquivos? Se esse for o caso, é provável que tenha se propagado por outros sistemas, a menos que você remova os compartilhamentos administrativos e desative os recursos de compartilhamento de arquivos, como uma prática regular.
  
• Ele utiliza groupware ou gateways de e-mail para se propagar ainda mais? Se ele utiliza os sistemas de e-mail internos para se propagar, a filtragem de conteúdo nesses sistemas poderá mais uma vez interceptá-lo. Se ele instalar seu próprio servidor SMTP para enviar e-mails, você poderá bloquear temporariamente a porta 25 do firewall.
  
• Ele entra no ambiente através de falhas na segurança? Se esse for o caso, você poderá aplicar correções no software para impedir sua infiltração.
  

É necessário também avaliar a propagação da infecção. Verifique todas as prioridades administrativas e os computadores de alta disponibilidade e, se infectados, desconecte-os da rede. Como é mais provável que esses sistemas tenham sido acessados por outros sistemas, esse vírus poderá se propagar ainda mais. Considere a remoção dos servidores não infectados da rede para impedir sua infecção.

Se o vírus tentar usar a rede, verifique se alguma conta de administrador foi comprometida. Isso é normalmente causado pela infecção de um sistema do administrador da rede. Quando isso ocorre, é mais provável que um vírus voltado para a rede tenha se propagado ainda mais. Nesse caso, pode ser necessário desativar as contas de usuários afetadas.

Recrutamento de reservas
Caso ainda não o tenha feito, agora é o momento de formar uma equipe para lidar com a ameaça. Essa equipe será responsável pela determinação de opções, recomendação da solução adequada e implementação da solução escolhida. Use a equipe e os procedimentos de respostas a incidentes, caso já os tenha. Se ainda não os tiver, será necessário formá-los.

Determine um líder para a equipe, que será responsável por todo o processo de resolução da infecção de vírus e considere os seguintes recursos para a sua equipe:

• Os funcionários do helpdesk com freqüência dão o alarme inicial e continuam a receber chamadas de usuários reclamando sobre os indicadores. Eles podem informar os usuários sobre os processos de resposta.
  
• Se houver uma equipe de respostas a incidentes, ela deve ser o agente coordenador, pesquisando os detalhes do vírus, as respostas recomendadas e os pontos de infecção iniciais.
  
• Os funcionários de operações dos servidores e das estações de trabalho podem rastrear os sistemas infectados, identificar os pontos de proteção de alta prioridade e informar o processo de respostas aos usuários. Ambas as equipes precisam corrigir os sistemas como parte do processo de resposta.
  
• Os funcionários da rede podem ter que bloquear as conexões no perímetro e/ou segmentar a rede para conter a propagação do vírus. Eles podem também fazer a auditoria do firewall e dos registros do roteador para localizar os pontos de infecção iniciais.
  
• A equipe do servidor de mensagens pode ser chamada também para reconfigurar ou desativar os servidores de e-mail ou para corrigi-los como parte do processo de resposta. Eles podem, ainda, fazer auditoria dos registros de e-mail para identificar os indicadores dos pontos de infecção iniciais.
  
• Um representante legal pode ser necessário para ajudar nas atividades de investigação posteriores, após a contenção do vírus.
  
• Um representante contábil poderá também ser necessário para determinar o impacto financeiro de um incidente de vírus, ajudando a determinar a necessidade de uma investigação.
  
• Um funcionário das Relações Públicas poderá ser solicitado se o vírus ou as respostas afetarem os parceiros, clientes e outros.
  
• Os Recursos Humanos poderão também ser envolvidos se o incidente de vírus for um resultado da violação de políticas por parte de um funcionário ou contratante.
  
• O envolvimento da Gerência poderá ser necessário se as decisões das respostas tiverem um impacto negativo na empresa, seus parceiros, clientes e outros.
  
• Os representantes das unidades e departamentos comerciais afetados devem ser mantidos informados.
  
• Como parte do esforço de recuperação, pode ser interessante envolver assistência externa.

Ao começar o processo de resposta, será necessário determinar como comunicar o problema a todas as equipes, como dimensioná-lo apropriadamente, como acompanhar o andamento das soluções e quando envolver cada equipe no processo de resposta. Uma comunicação clara é imprescindível para ajudar a determinar as causas do vírus, os pontos de infecção iniciais, a propagação da infecção e para coordenar a resposta adequada.

Contenção do ataque
Nem sempre é suficiente atualizar as definições de vírus e verificar seus sistemas para remover os vírus do seu ambiente. É preciso localizar todos os sistemas infectados e limpar cada um deles totalmente para obter novamente o controle da sua rede. Na maioria dos casos, isso pode ser um processo demorado e difícil. Ao mesmo tempo é necessário seguir as etapas necessárias para conter a constante ameaça.

Baseie suas etapas para contenção na sua política de respostas a incidentes, se houver uma, e execute-as somente quando obtiver informações suficientes para tomar uma decisão informada e quando tiver aprovação adequada da gerência para cada etapa. O plano de contenção deve incluir também instruções sobre quando as medidas de correção devem ser interrompidas para retornar ao funcionamento normal.

Todas as atividades de contenção devem ser controladas de forma centralizada, após a notificação das partes afetadas. Isso pode incluir indivíduos que controlam os servidores de mensagens, servidores da Web, acesso à Internet, servidores de arquivos e de impressão e/ou servidores de aplicativos. Às vezes é mais fácil determinar quem é afetado com base na divisão departamental ou no local da rede.

Se o vírus for propagado através de e-mail ou do acesso à FTP e HTTP, concentre-se na atualização da proteção nos servidores de groupware ou de e-mail, servidores proxy e servidores de gateway de e-mail SMTP; essas são as maneiras mais rápidas de propagação de infecção interna e externa. A atualização da proteção pode envolver a instalação de correções de software, atualização das assinaturas de vírus, implementação da filtragem de conteúdo e outras medidas.

Se a infecção se propagar mais rapidamente do que a distribuição das correções, você certamente preferirá conter o ataque através da desativação dos serviços que permitem o recebimento de solicitações. Isso é especialmente importante nas seguintes situações:

• Quando as assinaturas de vírus ainda não estiverem disponíveis no revendedor
• Quando a filtragem de conteúdo não for possível devido à alteração do conteúdo
• Quando os usuários não estiverem propriamente informados com relação à ameaça de vírus e sua função na proteção
  

Consulte a documentação técnica do fornecedor sobre o vírus, se estiver disponível, quando considerar as ações de contenção. Ações possíveis incluem:

• Partição da rede usando firewalls, roteadores ou alternadores.
• Reconfiguração do DNS para a desativação do recebimento de e-mail SMTP.
• Alteração da filtragem de conteúdo para bloquear todos os anexos de e-mail.
• Alteração do software de filtragem de conteúdo para bloquear e-mails que contêm certos textos.
• Bloqueio de acesso à FTP ou Internet HTTP.
• Considere dispensar temporariamente os usuários que trabalham em departamentos gravemente afetados ou remover da rede as estações de trabalho não afetadas, permitindo que os usuários continuem a trabalhar localmente.
• Considere a proteção gravada dos dados principais, acessíveis ao vírus em sistemas de alta prioridade.
• Crie arquivos fictícios em sistemas não afetados para prevenir a infecção do sistema.
• Se o risco for muito alto, desconecte totalmente a rede da Internet
  

Você deve também considerar a desativação dos serviços que fornecem solicitações de saída para proteger seus parceiros, clientes e outras empresas. Isso pode incluir a desativação da saída de e-mails ou de certas portas no firewall.

Conclusão
Se você conseguir atingir tudo o que foi relacionado acima, estará no caminho certo para a recuperação de um ataque de vírus. Você deverá também verificar seus parceiros, clientes, contratantes e funcionários temporários, além de outras partes que podem ter sido afetadas ou que apresentam riscos de infecção através de suas conexões IP à sua rede. A segunda parte deste artigo abordará o resto dos esforços de limpeza, além de sugestões para melhorias a longo prazo dos processos de resposta.