O que é um worm de computador e como se proteger?

E então, o que é worm? O significado de worms (um termo em inglês) é ‘’vermes’’ – e isto ajuda a entender como eles funcionam, já que são invasivos e ‘’parasitam’’ um sistema que é usado como um hospedeiro.

Worm é um tipo (ou categoria) de malware (termo que significa malicious software, traduzido como ‘’programa malicioso’’) que tem a capacidade de se propagar por muitos dispositivos e ficar ativo em todos eles, simultaneamente. Worms também se encaixam como uma subcategoria de Trojan (os famosos ‘’vírus Cavalo de Troia’’) capazes de se auto replicar com facilidade. Trojans também são muito usados em ataques que exploram vulnerabilidades de Zero Day (ou dia zero).

Worms (ou worm viruses) formam um dos tipos mais comuns, disseminados e perigosos de malware. Diferente da maioria dos vírus de computador, worms são capazes de se aproveitar de falhas de segurança nas redes para se propagar em vários dispositivos e servem como porta de entrada para ameaças ainda mais graves.

Eles conseguem prejudicar uma conexão, criando problemas sérios para o desempenho e a velocidade dos dispositivos infectados e da conexão como um todo. Além disto, também são usados para excluir arquivos nas mídias de armazenamento.

Outro ponto que faz com que um worm seja um verdadeiro pesadelo é o fato de ele ser muito mais difícil de remover depois de infectar um sistema. Muitos deles conseguem até mesmo burlar a maioria dos sistemas de firewall.

Além de se propagar pelas redes (inclusive por e-mails com links e anexos maliciosos, sendo usados inclusive em ataques de phishing e tailgating), eles também se espalham através de portas USB. Worms são versáteis, silenciosos e extremamente perigosos, a combinação que faz com que eles sejam um verdadeiro pesadelo para usuários e uma ferramenta extremamente útil para hackers e cibercriminosos.

Há tipos diferentes de worms e cada um possui suas próprias particularidades, mas todos eles funcionam basicamente da mesma forma. Depois de invadir um dispositivo (ou vários), o worm faz uma busca por patches (updates – ou atualizações) com o objetivo de fechar as falhas de segurança que eles usam para se instalar no sistema.

Isto pode parecer estranho, mas é feito para evitar que outros tipos de malware se instalem no sistema infectado pelo worm, dando ao hacker (ou cibercriminoso) o controle total do dispositivo invadido.

Depois desta etapa, os worms são capazes de remover (ou alterar) arquivos localizados no dispositivo (ou na rede). Muitos deles se replicam à exaustão, até atingir o ponto onde seja inviável usar o aparelho infectado por conta da sobrecarga causada por eles – como o esgotamento do espaço de armazenamento do computador, por exemplo.

Worms também podem ser usados para instalar uma backdoor (que permite burlar métodos de criptografia, segurança e autenticação convencionais, facilitando a entrada de outras ameaças) no computador, roubar dados e permitir ao hacker o controle completo do computador invadido – e até ajudam na realização de ataques de ransomware, permitindo a instalação de malware usado para bloquear o acesso a arquivos.

Os worms percorreram um longo caminho até se tornarem as ameaças destrutivas que são hoje. Desde as versões mais arcaicas que se replicavam por e-mail ou redes de intranet até os modelos mais atuais que são usados inclusive em ataques de phishing e ransomware, dá para fazer um bom resumo do percurso da evolução deste tipo de ciberameaças.

1971: Creeper

O primeiro worm propriamente dito foi o Creeper, um programa experimental criado em 1971. Em seguida, surge o Reaper, projetado por Ray Tomlinson (que foi o programador responsável por implementar o primeiro software de e-mail no sistema ARPANET, o precursor da internet, em 1971) com o objetivo de se reproduzir através da ARPANET e excluir o programa Creeper.

1988: Morris Worm

Mais de uma década depois, em 1988, Robert Tappan Morris criou o Morris Worm (também conhecido como ‘’Internet worm de 2 de Novembro de 1988’’), o primeiro a se propagar em larga escala pela internet.

1999: Happy99, Melissa e ExploreZip worm

Outros três worms de destaque surgem antes da virada do milênio. O Happy99, criado especialmente para atingir o Windows e que se disseminava via e-mail e usenet, sendo executado como uma tarefa de segundo plano de modo praticamente imperceptível.

O Melissa atingia o Outlook e o Microsoft Word e também se disseminava por e-mail e pode ser considerado como um dos primeiros casos de phishing em massa, já que usava mensagens enganosas para induzir os usuários a clicar em links e baixar arquivos infectados, principalmente por um arquivo do word intitulado list.doc.

E, por último, o ExploreZip (também chamado de I-Worm.ZippedFiles), um worm muito destrutivo também voltado para sistemas Windows e que era capaz de fazer modificações no arquivo Win.ini no computador infectado e se propagar com facilidade.

2000: ILOVEYOU

O worm ILOVEYOU surge na virada do milênio nas Filipinas, em 2000. O principal objetivo dele era se sobrepor (ou sobrescrever) a arquivos instalados no sistema da vítima. Logo depois de invadir o sistema, o ILOVEYOU se replica e envia estas cópias via e-mail (principalmente através do Microsoft Outlook) para todos os e-mails na lista de contatos da conta afetada.

O ILOVEYOU gerou um prejuízo internacional de bilhões de dólares e um dos primeiros worms a se difundir massivamente na internet.

2003: Bagle Worms e SQL Slammer

Em 2003, surge o grupo Bagle de worms, que eram espalhados através de mensagens de SPAM em e-mails. Aí, os hackers usavam um mecanismo para burlar antivírus: eles eram colocados em arquivos zipados que só podiam ser abertos com senhas, já que muitos antivírus não conseguem inspecionar arquivos zipados.

No mesmo ano, aparece também o SQL Slammer, um worm de brute force (força bruta) que, diferente do ILOVEYOU, foi propagado através de uma falha de segurança no SQL Server da Microsoft criado para o então Windows 2000.

Além de invadir os computadores, o SLQ Slammer transformava os sistemas em botnets que, aí, eram usados para realizar ataques de DDoS – Distributed Denial of Service, ou ‘’distribuição de negação de serviço’’, que ataca um serviço, servidor ou website com uma quantidade massiva de acessos (feitos por vários dispositivos infectados que atuam como ‘’zumbis’’) que sobrecarregam o servidor, impedindo o funcionamento do serviço atacado. O SQL Slammer ressurgiu em 2016 e 2017 e continua bastante ativo.

2007: Storm Worm

O Storm Worm surge como um dos mais poderosos malwares: ele conseguia criar uma backdoor e era usado para facilitar ataques de phishing. O Storm Worm recebeu vários nomes, como CME-711, Small.dam, TROJ_SMALL.EDW, Trojan.Peed e Trojan.Peacomm.

Propagado por mensagens de e-mail, ele foi capaz de afetar usuários em diversos países da Europa e dos Estados Unidos. A difusão do Storm Worm foi tão grande que, sozinho, ele foi responsável por 8% de todas as invasões de malware no mundo inteiro registradas em 2007.

2011: Duqu

Identificado pela primeira vez em 2011, o Duqu foi um worm que explorava uma vulnerabilidade de zero-day (ou seja, uma falha de segurança detectada logo depois do lançamento de um software, sistema ou afins, explorada por cibercriminosos antes que a própria empresa ou os usuários sejam capazes de identificar e corrigir o erro) no Windows.

O principal propósito do Duqu era permitir ataques contra sistemas industriais de controle, ou seja, ele foi um dos worms mais fundamentais na espionagem corporativa e na sabotagem industrial.

2017: WannaCry

Um dos tipos mais recentes de worm é o WannaCry, surgido em 2017 e capaz não só de burlar formas mais simples de solução antimalware, como também sistemas de defesa cibernética mais avançados. Ele também funciona como ransomware porque consegue bloquear (criptografar) arquivos, permitindo aos cibercriminosos cobrar pelo resgate (a devolução do acesso) dos dados sequestrados.

Worms continuam extremamente ativos e se tornam cada vez mais invasivos, furtivos e destrutivos. E é muito importante saber como se proteger e se prevenir contra eles, principalmente porque é muito difícil agir quando eles já se instalaram no sistema. Sobig, Conficker, Doomjuice, Mydoom e o vírus Stuxnet também são outros worms bastante famosos.

Há algums tipos específicos de worms e, apesar de eles funcionarem de formas parecidas e terem essencialmente o mesmo propósito, é importante saber sobre cada tipo para se proteger da melhor forma possível contra cada um deles.

Estes são os tipos mais difundidos e as principais categorias de worm:

Worms de Internet

São tipos de worm usados para atacar websites vulneráveis. Depois de invadir o website, eles se espalham para os sistemas dos usuários que acessam estes domínios infectados, se espalhando pela rede mundial de computadores.

Worms de mensagens instantâneas

São worms (ou vírus worm) difundidos através de aplicativos de mensagens instantâneas (como Telegram, WhatsApp, Skype ou Messenger) ou redes sociais (como Facebook e Instagram), em um método muito semelhante ao da disseminação dos worms de e-mail. Os cibercriminosos enviam estes worms em links e/ou anexos acompanhados de mensagens chamativas que induzem os usuários a clicar, acessar e baixar o conteúdo usado para carregar o worm.

Worms de e-mail

Como o nome já diz, são Worms que se propagam por anexos e links maliciosos em mensagens de e-mail (bem semelhantes aos ataques de phishing – e podendo fazer parte deles). Eles também são enviados para todos os contatos de e-mail da vítima, com um rápido potencial de se espalhar pela rede.

Worms peer-to-peer

Muitos programas de compartilhamento de arquivos peer-to-peer (de pessoa para pessoa), como programas de torrent, são usados para disseminar worm (e outros tipos de malware). Como a integridade do que é compartilhado dificilmente pode ser verificada, é muito fácil infectar dispositivos desta forma.

Apesar de ambos serem considerados malware, eles designam categorias distintas de malware. Os dois conseguem se espalhar com facilidade (dependendo da ameaça), mas a principal diferença entre vírus e worm é que os vírus dependem da ajuda do sistema infectado para se replicar, enquanto os Worms são capazes de se replicar de forma independente, sem depender do sistema em si.

Outra diferenciação entre worms de computadores e vírus é que os vírus ficam inoperantes no sistema até que a vítima execute ou tome alguma ação para ativá-los. Quando são ativados, os vírus adicionam códigos maliciosos em outros programas ou arquivos, permitindo a replicação deles e a corrupção de arquivos presentes no sistema, o que gera uma série de danos

Só que os worms não dependem das ações da vítima: eles são ativados automaticamente, conseguem se multiplicar sozinhos e não precisam corromper outros programas para funcionar. Isto faz com que eles sejam ainda mais voláteis e dinâmicos que os vírus. Então, nós podemos dizer que um worm de computador é mais nocivo que um vírus comum.

Os sinais mais comuns de que você foi vítima de um ataque com worm são:

• Piora no desempenho: seu dispositivo fica mais lento e demora mais tempo para executar processos. Além disto, pode haver alterações nas configurações dele, pop-ups na sua tela, travamentos e falhas constantes.
• Mensagens exigindo pagamentos: se você for vítima de algum worm, os cibercriminosos podem exibir uma mensagem avisando sobre o ataque de ransomware e pedir um valor para devolver seu acesso aos arquivos sequestrados.
• Aumento de consumo de bateria: para dispositivos móveis, um sintoma muito claro da presença de worm é o desgaste e consumo mais rápido da bateria, já que eles consomem mais recursos necessários para manter o funcionamento do aparelho.
• Adware: anúncios indesejáveis que começam a aparecer na sua tela também podem ser um indício da presença de worm.
• Lentidão na conexão: se seu dispositivo estiver infectado com worm, navegar na internet pode se tornar um verdadeiro pesadelo, já que muitos deles consomem tantos recursos de banda que a velocidade da conexão fica extremamente ruim.

Os worms de computador são extremamente perigosos e nocivos, mas você pode adotar uma série de medidas que ajudam a diminuir os riscos de ter seu dispositivo infectado por eles.

• Mantenha os programas e sistemas atualizados: é essencial manter todas as atualizações dos seus programas e sistemas operacionais, principalmente as atualizações de segurança. Isto ajuda a criar defesas mais fortes contra os vírus de computador e worms de computador.
• Cuidado com o que você baixa: faça download apenas de programas verificados e originais e através de plataformas oficiais.
• Use uma boa VPN: a NordVPN conta com elementos adicionais que vão além das ferramentas de VPN convencionais, como a funcionalidade de Proteção contra Ameaças (solução antimalware) que, além de criptografar sua conexão, te protege contra malware e publicidade indesejável usada para disseminar worms.
• Faça inspeções constantes: programe seu antivírus para realizar verificações constantes no seu dispositivo. Isto ajuda a te proteger contra worm de computador.
• Deixe um firewall sempre ativo: o firewall ajuda a proteger seu dispositivo e sua conexão e evita que um worm se instale no seu computador e se espalhe por outros dispositivos, inclusive dispositivos inteligentes (de smart home – saiba o que é IoT) – eles têm um grande potencial de se disseminar rápido por estes aparelhos, criando uma rede de dispositivos ‘’zumbis’’ que servem para realizar ataques como os de DDoS.
• Tenha um backup dos seus arquivos: mantenha um backup dos seus arquivos, pelo menos os mais importantes. Dê preferência para um serviço de armazenamento em nuvem. Isto ajuda a te proteger dos danos caso um worm se instale no seu dispositivo e altere, apague ou bloqueie seus arquivos. Isto ajuda muito a evitar maiores danos causados por ameaças cibernéticas, como o vírus Pegasus por exemplo. É sempre bom ter um backup dos seus dados mais importantes.