Seguranca na Internet

Segurança na Internet - Parte 1

Deixando o IE 4.0 mais seguro
Zona da internet
Se você não editar as configurações padrões de segurança do IE 4.0, notará que é praticamente
impossível acessar a rede sem ser constantemente interrompido por caixas de diálogo
solicitando sua permissão para enviar ou receber trechos de texto, scripts de aplicações ou
realizar outras tarefas. Embora um fluxo constante de caixas de diálogo apareçam oferecendo
ajuda para aquilo que parece ser um problema para você, isso rapidamente torna-se um
inconveniente. E quando mais clicar em Sim para todas as perguntas que aparecem, isto na
verdade não estará lhe garantindo segurança, mas sim deixando portas abertas para todos os
perigos que você outrora se prevenira.
Você se depara com todas essas mensagens de segurança porque na primeira vez em que
instala o IE 4.0 ele inclui automaticamente uma zona para incluir todos os novos sites chamada
Zona da internet. Essas configurações de zona têm como objetivo adverti-lo para não executar
ou transferir material potencialmente prejudicial, como scripts ActiveX.
Felizmente, a Micro$oft incluiu outras três zonas nas quais você pode incluir um site específico,
você pode movê-lo para a zona de sites confiáveis, que por padrão permite a você navegar
livremente. Se você achar que não pode confiar em um site, mova-o para a zona de sites
restritos, que impede a ação de qualquer material potencialmente nocivo. Outra opção é a zona
da Intranet Local, na qual você pode incluir os sites Web de sua empresa.

Após estar familiarizado com as várias zonas, você pode alterar o nível de segurança de cada
uma. Para personalizar a Zona da internet, que é padrão para qualquer novo site, selecione
Exibir | Opções da internet no IE 4.0. Na caixa de diálogo Propriedades de internet, clique a guia
Segurança e selecione Zona da internet na caixa de lista suspensa. Depois selecione a opção
Personalizado e clique o botão Configurações.Com isso a tela abaixo será mostrada.

Usando o mesmo método, você pode configurar diferentes níveis de segurança para outras
zonas. Mas para que esse sistema de segurança funcione, você precisa incluir cada site que
visitar em uma das quatro zonas. Embora um pouco chato, o processo é bastante rápido e
simples. Por exemplo, caso queira incluir o site da CNN em sua Zona de Sites Confiáveis, e dar
a esta zona um nível de segurança baixo, basta visitar o site, vir até a caixa de diálogo de zonas
de segurança e definir seu nível como Baixo e depois clicar no botão Adicionar Sites. Na
próxima caixa de diálogo, preencha os campos com informações sobre o site.
Você pode tornar esse processo mais simples, deixando a zona da internet como padrão para
todos os sites, e configurando-a com um conjunto de regras, que é o que você obtém com o
modelo de segurança do IE 3.0.
Além das configurações de segurança que discutimos, existem ainda mais outras opções sob o
item Segurança da guia Avançadas, também na caixa de diálogo Opções da internet.

PCT e SSL referem-se a Private Communications Technology e Secure Sockets Layer,
respectivamente. Estes são padrões de criptografia que permitem a você enviar informações
através da internet com absoluta segurança. É recomendável que você deixe essas opções
ativas.
"Não salvar páginas criptografadas no disco" desativa alguns dos recursos de cache do IE
4.0, podendo comprometer o desempenho do seu navegador.
Por padrão, o IE avisa-o antes de aceitar qualquer cookie. Os cookies são pequenos arquivos de
texto inseridos em seu disco rígido por um site Web. Um site solicita o preenchimento de seu
endereço de e-mail ou outra informação, e depois vincula esses dados com o cookie localizado
no disco. Se você não quer sites bisbilhotando sua máquina, marque a caixa de seleção
"Desativar utilização dos cookies".

Spoofing do IP

O spoofing do IP envolve o fornecimento de informações falsas sobre uma pessoa ou sobre a identidade de um host para obter acesso não-autorizado a sistemas e/ou aos sistemas que eles fornecem. O spoofing interfere na forma como um cliente e um servidor estabelecem uma conexão. Apesar de o spoofing poder ocorrer com diversos protocolos específicos, o spoofing do IP é o mais conhecido dentre todos os ataques de spoofing.
A primeira etapa de um ataque de spoofing é identificar duas máquinas de destino, que chamaremos de A e B. Na maioria dos casos, uma máquina terá um relacionamento confiável com a outra. É esse relacionamento que o ataque de spoofing tentará explorar. Uma vez que os sistemas de destino tenham sido identificados, o violador tentará estabelecer uma conexão com a máquina B de forma que B acredite que tem uma conexão com A, quando na realidade a conexão é com a máquina do violador, que chamaremos de X. Isso é feito através da criação de uma mensagem falsa (uma mensagem criada na máquina X, mas que contém o endereço de origem de A) solicitando uma conexão com B. Mediante o recebimento dessa mensagem, B responderá com uma mensagem semelhante que reconhece a solicitação e estabelece números de sequência.
Sob circunstâncias normais, essa mensagem de B seria combinada a uma terceira mensagem reconhecendo o número de sequência de B. Com isso, o "handshake" seria concluído, e a conexão poderia prosseguir. No entanto, como acredita que está se comunicando com A, B envia sua resposta a A, e não para X. Com isso, X terá de responder a B sem conhecer os números de sequência gerados por B. Portanto, X deverá adivinhar com precisão números de sequência que B utilizará. Em determinadas situações, isso é mais fácil do que você pode imaginar.
No entanto, além de adivinhar o número de sequência, o violador deverá impedir que a mensagem de B chegue até A. Se a mensagem tivesse de chegar a A, A negaria Ter solicitado uma conexão, e o ataque de spoofing falharia. Para alcançar esse objetivo, normalmente o intruso enviaria diversos pacotes a máquina A para esgotar sua capacidade e impedir que ela respondesse à mensagem de B. Essa técnica é conhecida como "violação de portas". Uma vez que essa operação tenha chegado ao fim, o violador poderá concluir a falsa conexão.
O spoofing do IP, como acabamos de descrever, é uma estratégia desajeitada e entediante. No entanto, uma análise recente revelou a existência de ferramentas capazes de executar um ataque de spoofing em menos de 20 segundos. O spoofing de IP é uma ameaça perigosa, cada vez maior, mas, por sorte, é relativamente fácil criar mecanismos de proteção contra ela. A melhor defesa contra o spoofing é configurar roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja um host da rede interna. Essa simples precaução impedirá que qualquer máquina externa tire vantagem de relacionamentos confiáveis dentro da rede interna. No entanto, essa medida tratará de relacionamentos que ultrapassam os limites da rede. Não podemos enfatizar com precisão a importância de não estender os relacionamentos confiáveis às redes públicas.
Previsão de números de sequência Para estabelecer uma conexão TCP/IP bem-sucedida, primeiro as duas máquinas devem concluir um "handshake", no qual trocarão informações entre si. Dentre essas informações está o endereço de ambos os computadores, bem como os números de sequência que as duas máquinas utilizarão ao estabelecerem a comunicação. Esses números de sequência são exclusivos para a conexão entre essas duas máquina e se baseiam no horário do relógio interno do sistema. Essa é a característica explorada em ataques de spoofing.
Em determinadas versões do sistema operacional UNIX, os números de sequência usados em conexões obedecem a um padrão muito previsível baseado em horários. Em consequência disso, conhecendo-se os números de sequência utilizados em uma conexão com uma máquina, é possível prever quais números de sequência serão usados pela mesma máquina em futuras conexões. Para determinar o padrão utilizado por um sistema operacional, um violador estabelecerá diversas conexões (legítimas) com uma máquina e acompanhará os números de sequência utilizados. Após um determinado período de tempo, um padrão surgirá. Ao obedecer ao padrão, um violador pode prever quais serão os números de sequência de uma conexão.

BackDoors: Uma grande ameaça
Vida de internauta é dura. Como se já não bastassem os problemas enfrentados diariamente, é preciso estar sempre precavido contra os temíveis hackers que dedicam grande parte de seu tempo para infernizar a vida dos outros usuários da grande rede. É impressionante, como esse grupo de usuários vêm aumentando criminosamente seu potencial destrutivo. Agrupados em verdadeiras sociedades conhecidas como "clãs"ou simplesmente grupos de H/P/A/V/C (Hacking / Phreaking / Anarchy /Virii e Cracking, uma espécie de somatório de todas as pragas da informática), eles têm se especializado em criar, todos os dias, novas "sarnas" para desafiar o poder de grandes empresas especializadas no desenvolvimento de software em todo o mundo.
Sem dúvida alguma, um dos exemplos mais conhecidos de hackers são os da CDC "Cult of the dead cow" ou, na tradução literal para o português,"Culto da vaca morta" que, com o Back Orifice, iniciaram a saga de "backdoors", espalhando pânico entre os usuários de Internet tupiniquim.
Por incrível que pareça, os backdoors não são nenhuma novidade no mundo da informática. Na verdade, são programas que ficam rodando no computador do usuário sem que o mesmo perceba e, como o próprio nome diz, possuem rotinas que criam uma porta dos fundos, ou seja, uma outra via de acesso ao computador, além da tradicional dobradinha teclado-mouse.
Normalmente, os backdoors são implementados em programas caseiros, frutos de má fé de seu criador, ou por grandes empresas para serem usados em casos estremos como por exemplo, o de clientes desesperados que perderam a senha de suas estações. A novidade que o BackOrifice introduz é ser um backdoor forçado, isto é, nunhum usuário poderá usufruir do poder de sua estação caso não tenha se contaminado com o próprio.
O grande problema é que a contaminação é muito fácil e bastante comum de ocorrer, já que esse tipo de programa pode estar incluido em qualquer outro que você "baixe" da Internet - um hábito extremamente comum praticado pela maioria dos internautas que navegam pelo mundo da internet. O backdoor também pode estar dentro de um arquivo enviado por e-mail. Em ambos os casos, a prevenção é o melhor remédio. Portanto, um conselho: só execute arquivos obtidos através da Internet que sejam de fontes confiáveis e só abra os arquivos enviados por pessoas em que realmente você confia.
Imagine que aquele seu primo espertalhão pode estar querendo dar uma olhada nos programas que você tem no seu HD ou então te deixar louco com o ponteiro de seu mouse que vai para a esquerda quando você o comanda para a direita, ou que fica mexendo sozinho, como se sua máquina fosse habitada por um daqueles maus espíritos que tem por prazer atazanar os vivos. Sim, pois, como nós sabemos, fantasmas não acessam a Internet. Alguém pode tomar o controle do seu computador remotamente para infernizá-lo como um desses brinquedinhos.
E mais: se você anda estranhando o comportamento de seu Windows ou ele anda indo além dos conhecidos "GPFs" (General Protect Failure, aquela "tela azul" que provoca pesadelos), você já pode se considerar um alvo
desse tipo de brinquedo. Agora você já deve estar se perguntando: qual o remédio para reverter essa situação? A primeira medida é não se desesperar e desconectar imediatamente da Internet para que os estragos não sejam maiores. O segundo passo é tentar descobrir o que esse provável backdoor pode fazer e quais as providências que devem ser tomdas. A seguir, você irá conhecer os principais tipos e como se comportam.

Back Orifice
122Kb
Permite um controle quase total
da máquina afetada
desligamento remoto,
acesso aos discos rígidos,
GPFs forçados.
NetBus
461Kb
Captura telas, passa a ter controle
do mouse e teclado da máquina
atacada, abre e fecha o CD-ROM,
manipulação do microfone (sim,
conversas podem ser ouvidas)

Sockets de
Troie
335Kb
Semelhante ao NetBus, só que na
versão mais nova, possui um vírus
que contamina uma série de
executáveis do Windows.

Master's
Paradise 98
970Kb
Outro semelhante ao NetBus, com
recursos ainda mais mortais,
permitindo total manipulação da
máquina da pobre vítima.

Depois de conhecer e analisar os recursos infames destes terríveis programas, dá para perceber que todos são, no fundo, farinha do mesmo saco. Todos se comportam mais ou menos da mesma maneira, possuindo uma parte servidor e outra cliente, que trocam informações depois que o usuário é infectado. Esse processo de infecção, como já foi dito, pode ocorrer da maneira mais banal possível, seja através daquele inocente joguinho ou daquele programa estranho que você recebeu por email, deu um clique duplo e ele sumiu.
A perfídia dos hackers é tamanha que eles chegam a inocular programas inocentes, como aquela animação de uma bem dotada "mamãe-noel", que saía de uma caixa de presentes e de lambuja instala uma versão do Back Orifice na máquina do usuário. Outro exemplo é aquele inocente joguinhho que todo mundo já viu pelo menos uma vez, onde a missão do usuário é jogar tortas no tio Bill Gates, que vem infectado com o Master's Paradise.Todo cuidado é pouco.
Bem, mas vamos nos ater a seguinte situação: digamos que você não seguiu a regra de ouro do usuário Internet e andou executando tudo que lhe mandaram e coisas estranhas estão acontecendo no seu micro, sempre que você "loga" na rede. De repente, as telas se abrem sozinhas, a luz do seu HD acende demais, o micro desliga sozinho... Como saber se realmente se micro está infectado?
Para saber se um desses backdoors está sendo executado, basta executar
o comando "Netstat -an" no Prompt do Ms-Dos do seu Windows, e a
seguinte tela irá aparecer:
ACTIVE CONNECTIONS
ProtoLocal Address Foregin Address State
TCP 0.0.0.0:12346 0.0.0.0:0 LISTENING
TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1565 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1083 0.0.0.0:0 LISTENING
TCP 200.255.207.39:12345 129.37.101.34:1267 ESTABLISHED
TCP 200.255.207.39:1083 129.37.101.34:1267 ESTABLISHED
TCP 200.255.207.39:1658 200.255.174.19:1827 ESTABLISHED
TCP 200.255.207.39:1658 200.240.27.85:1283 ESTABLISHED
TCP 200.255.207.39:137 0.0.0.0:0 LISTENING

Essa tabela mosta todas as conexões TCP/IP ativas em sua estação, isto é, com quem e onde seu micro está trocando informações pela Internet. Perceba que nas linhas que estão em negrito, a porta que está sendo utilizada é a porta 12346 ou a 12345, portas que na hieraquia TCP/IP, não são utilizadas. Após essa mini-auditoria no TCP/IP de minha estação, percebo que estou infectado com algum backdoor. Mas qual deles?
Se você achou a operação acima um tanto quanto complicada, não se apavore. Existem ferramentas à disposição na Internet para proteger os usuários de ataques de backdoors, como o NOBO - desenvolvido por Flávio Veloso, em conjunto com a equipe de segurança do Centroin (www.centroin.com.br) - que monitora conta o Back Orifice e, por ocupar a porta padrão que o mesmo usa, impede seu funcionamento (http://web.cip.com.br/nobo). Há de se destacar o BPS, que pode ser adquirido no site desta presada revista http://www.mantel.com.br/iw, também de "fabricação" tupiniquim, que detecta a existência de 15 backdoors diferentes na sua máquina e os elimina de bate ponto. E ainda de "lambuja" pode ficar monitorando seu micro, previnindo-o contra novos ataques.
Mesmo assim, se você não puder utilizar estes programetos ou ainda se quiser aprender um pouco mais sobre como os backdoors se instalam na sua máquina, fique sabendo que eles podem ser detectados pela simples conferência do registro do Windows. Mas o que é registro? Esse componente do Windows é responsável por toda a infro-estrutura do sistema operacional, dizendo quais programas estão instalados e como devem se comportar. Procure entender o Registro do Windows como um mapa que indica a localização de todas as peças de um relógio e como deve ser o seu funcionamento. Se essa informação por algum motivo, se perder, o relógio pode atrasar, adiantar ou até mesmo parar de vez, sem volta. Muitas vezes, o usuário precisa reinstalar o sistema operacional por ter instalado diversos programas em sua máquina e apagado-os manualmente, sem o programa de desinstalação. Tal procedimento, danifica o registro.
Então, mãos a obra. Você mesmo pode achar os backdoors malocados no registro de seu Windows. Removê-las à mão e é uma tarefa relativamente fácil. Mas, mesmo assim, cuidado: qualquer erro pode ser fatal, portanto,dê preferências para as ferramentas citadas acima. Para acessar o Registro, basta clicar em Start (ou Menu Iniciar), Run (Executar) e digitar o comando Regedit e dar enter. Abrirá uma janela. As pastas do lado direito são conhecidas como chaves. Cada chave possui sub-chaves que, por sua vez, possuem valores. Esses valores variam desde tipos de equipamentos até comandos a serem executados. Tudo isso harmoniosamente organizado nas seis principais chaves que são:
HKEY_CLASSES_ROOT - Contém o registro de todas as extensões
de arquivos registradas no Windows, bem como os programas
associados a elas.
HKEY_CURRENT_USER - Contém informações sobre o usuário que
está utilizando o computador no momento, como organização do
desktop, preferências de programas e configurações específicas.
HKEY_LOCAL_MACHINE - Todo e qualquer tipo de configuração de
hardware e software instalado no Windows está ai, inclusive as
modificações feitas pela maioria dos backdoors.
HKEY_USERS - Registro de todos os usuários cadastrados no
computador, incluindo suas especificações.
HKEY_CURRENT_CONFIG - Configurações do momento, que podem
ser modificadas desde que o usuário faça uma tarefa qualquer.
HKEY_DYN_DATA - Reservada para configuração Plug and Play do
Windows. Drivers e especificações podem ser encontradas nesta
chave.
Agora que você já foi apresentado ao RegEdit, vamos aos métodos de
eliminaçõa:
BackOrifice:
Vá para HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run, ou RunServices ou RunOnce.Procure algo relacionado a um arquivo chamado Windll.dll, Exe~1, yerfucked.exe ou algo de estranho que exista por lá. Apague e reinicialize o computador.
NetBus:
Esse geralmente vem de presente pelo IRC com o nome de PATCH.EXE. Para eliminá-lo, vá para HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Verion\Run, e procure por um comando tipo DOS como /nomsg, /noadd, ou até uma sub-chave pode ter sido criada com esse propósito. Nestes casos, é importante apagar a sub-chave antes e, depois os comandos na chave Run. Se o NetBus estiver residente, um desligamento tradicional do Windows não pode ser possível. O ideal é fechar o regedit e tirar um pouco a poeira do velho Reset. Procure um arquivo chamado KeyHool.dll no seu diretório\Windows ou \Windows\System. Mesmo assim, cuidado:esta DLL é usada por alguns programas de shareware e quando a vítima recebe o cavalo de tróia, ele reescreve esta DLL, adaptando-a para trabalhar com o NetBus. Faça um backup dessa DLL e apague-a também, após ter eliminado o parâmetro do registro e reinicializado sua máquina via Reset. Se algum programa parar de funcionar, reinstale-o.
Sockets de Troie:
De novo, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run. Lá, procure por um comando Load MSchv32 Drv =c:\windows\system\mschv32.exe. Elimine-o. Vá depois para HKEY_CLASSES_ROOT\DirectSockets e procure por DirectSocketsCtrl = $A4 D5 #FFF. O arquivo em questão,
como já pudemos observar é mschv32.exe, que inclusive pode ser visto com uma simples visita ao tasklist via Ctrl+Alt+Del. Mate-o sem piedade.
Sockets de Troie Versão 2.0:
Esse pode ser considerado um upgrade mortal, pois contém um vírus que inocula o computador da vítima. Ao invés de utilizar o mschv32.exe, ele se copia em três arquivos
diferentes:
C:\windows\rscload.exe
C:\windows\system\mgadeskdll.exe
C:\windows\system\csmctrl32.exe
Apague esses arquivos sem piedade: O programa se dividiu em três partes para dificultar a localização. O registro fica
da seguinte forma:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Load Mgadeskdll= C:\windows\system\mgadesk.dll HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Load Rscload = c:\windows\rscload.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Load csmctrl32 =
c:\windows\system\csmctrl32.exe
Apague estas entradas do registro e reinicialize sua
máquina.
Master's Paradise:
Esse vem junto com aquele joguinho que atira tortas no tio Bill Gates (Pie Bill Gates). A eliminação dele é igualmente complicada. Ele modifica o programa SYSEDIT.EXE que vem com o Windows e também a KeyHook.dll que o Netbus igualmente infecta. É necessário apagar os dois arquivos e recuperá-los reinstalando os programas shareware que o utilizam (no caso do Keyhook.dll), e obtendo o sysedit.exe do cd do Windows 95/98. Ele também se aloja no registro na chave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run, mas não possui um nome específico, geralmente criando uma subchave de nome estranho. Apague esta sub-chave, feche o Regedit e aperte o Reset - só depois você poderá apagar os arquivos sysedit.exe e keyhook.dll.
Resumindo: é isso. Com um pouco de trabalho, você consegue eliminar os backdoors de sua máquina. Mesmo assim, recomendo aos leitores que utilizem o BPS, por ser muito mais prático do que escarafunchar o registro do Windows, correndo o risco de danificar - sem volta - seu sistema operacional.
Mesmo assim, com todas as ferramentas que foram descritas, você pode ter certeza de que em breve os hackers se valerão de outros meios para infectar sua máquina. Para se livrar desta dor de cabeça, o ideal é seguir
a regra do bom internauta: "só execute arquivos oriundos da Internet de fontes altamente seguras. A própria Microsoft, quando informada da existência do BackOrifice, alegou que tal praga é de inteira responsabilidade do usuário, que deve sempre se valer de práticas seguras no acesso à Internet. Portanto, fique de olho no que você recebe e boas conexões!!!

Back Orifice (Bo)
O que é?
Um software bastante eficiente para controle remoto de microcomputadores que usam Windows 95/98 .
Permite que desconhecidos invadam computadores alheios e enviem comandos que serão executados , tais como :
Renomear , copiar e deletar arquivos e diretórios .
Resetar o PC .
Registrar tudo que for digitado para posterior leitura .
Procurar senhas e números de cartões de crédito
Lembre-se que o BO não é um vírus que se alastra pelas máquinas. Você não pode ser
infectado pelo BO sem querer. O programa deve ser executado na sua máquina para que ela
fique infectada.
Como atua?
O Back Orifice (BO) constitui-se de duas partes : servidor (server) e cliente (client) . Com o servidor instalado numa máquina , qualquer um que use o cliente pode obter acesso e controle sobre esse PC durante uma conexão com a Internet . Para o servidor instalar-se é preciso executa-lo , isso ocorre por intermédio dos chamados Trojan Horses ( Cavalos de Tróia ) ; presentes de grego . O Trojan nada mais é do que um aplicativo que traz outro escondido dentro de si e quando é executado , instala o outro na surdina
A pessoa recebe um programinha curioso e engraçadinho , uma dessas brincadeiras com aparência inocente ; muitas vezes nem sabe de onde veio ... Executa-o , se diverte e envia-o para os amigos que fazem o mesmo disseminando-o pela rede .
Pronto , o BOserver está instalado em várias máquinas e qualquer um com o Boclient pode controlar esses PCs . O Boclient rastreia a rede à procura do Boserver ( PING sweep ) e quando encontra-o ( PONG ) pode facilmente acessa-lo . Faz isso através do endereço IP ( Internet Protocol ) com que todas as máquinas na rede são identificadas .
Quem invade?
Na maioria dos casos são pessoas com conhecimentos básicos de informática . O que mais assusta é que o BO por ter uma interface extremamente amigável é muito simples de ser operado sem grandes conhecimentos técnicos , isso tem dois aspectos importantes sob meu ponto de vista :
Provavelmente a invasão não será efetuada por alguém com grandes conhecimentos técnicos , cheio de más intenções e que saiba exatamente o que está fazendo e como fazer ; mas nunca se sabe ...
Muitos adolescentes mal educados , irresponsáveis e inconseqüentes andam por aí invadindo e brincando com PCs alheios ...
Como se proteger?
Há um consenso de que não existe segurança 100% contra invasões na Internet , como não existe também contra arrombamentos e invasões de residências e automóveis . Seguindo o mesmo principio de que devemos dificultar a ação dos arrombadores de casas e carros com dispositivos de segurança como trancas e alarmes , aliados a uma atitude de alerta; assim devemos agir também em relação ao PC.
É claro que se o invasor tiver grandes conhecimentos técnicos e as ferramentas adequadas , dificilmente será frustrado em sua intenção. Mas, por outro lado, se não preencher esses requisitos e se deparar com dispositivos de segurança provavelmente optará por alvos mais fáceis .
Existem diversos programas para se detectar IPs e mesmo no DOS é possível fazer isso. Até o badalado ICQ mostra o IP do usuário, se essa opção não estiver desabilitada (vai lá correndo e faça isso no seu!). Não mostrar o IP facilmente , não executar programinhas desconhecidos... São exemplos de atitudes simples --embora não efetivas -- que podem minimizar a possibilidade de invasões. Como diz um amigo grande : " o IP é como o numero do seu telefone , está na lista mas você não o dá para qualquer um ... ".
O Windows 95/98 possui o comando NETSTAT que exibe estatísticas de protocolos e conexões de rede TCP/IP atuais :
1) Abra uma janela do DOS e comande : Netstat -a
2) A resposta deve ser algo como: PROTO LOCAL ADDRESS FOREIGN ADDRESS STATES
3) Se a resposta apresentar abaixo dessa linha algo como :UDP nome número , então esse número é o da porta de comunicação que o BO está usando.Se isso ocorrer por favor não grite , não saia correndo , não desligue o fio da tomada e nem soque o monitor de vídeo ... Respire fundo e apenas desconecte-se da Internet , se for o caso. Mas, antes, salve ou imprima o restante deste artigo e continue lendo-o. :-)
Existem vários softwares disponibilizados para download que detectam , eliminam e bloqueiam o BO (e também o NETBUS que é um outro programa de invasão, similar ao BO). Alem disso existem muito mais informações a respeito.
Downloads contra o Back Orifice
Higienic Paper – detecta , elimina e bloqueia BO e NETBUSComo usar o HIGIENIC PAPER ?

Você deve Executar o programa e seguir as seguintes instruções :

1 - Abra o programa e clique no botão "Detectar Limpar e Vacinar". O programa irá scanear o seu micro para encontrar o "Back Orifice/NETBUS".

2 - Se o programa encontrar algum arquivo do BackOrifice/NETBUS, ele irá remove-lo dos registros do Windows e Reiniciar sua máquina de forma que o programa não fique sendo executado na memória.

3 - Encontrando ou não, o seu micro será vacinado contra futuras infecções do Back Orifice/NETBUS

Antiback – não remove mas "fecha a porta"Esse aplicativo não remove o BACK ORIFICE do seu sistema, mas pelo menos "fecha" a porta aberta pelo programa. Após este programa ser instalado, não se preocupe, pois ninguém entrará mais em seu micro. Caso você pegue algum arquivo infectado na Internet ou de um amigo e volte a ter sua porta aberta para outros, basta executar este aplicativo novamente, e a porta será novamente fechada, evitando que usuários penetrem em seu sistema.
BODetect - detecta BO instalado
Uma outra saída para remover o Back Orifice pode ser alcançada com o uso de um programa chamado BO Detect que remove todos os vestígios do Back Orifice de seu sistema de maneira rápida e eficaz.
Para baixar uma cópia do BO Detect, basta clicar no ícone de download abaixo.
Antigen – detecta e eliminaAntiGen é capaz de eliminar o Back Orifice de seu sistema de maneira rápida e segura.
Para usar o AntiGen basta clicar no ícone de Download e baixá-lo , a seguir execute o programa e siga os passos de limpeza, seu computador será reiniciado e a limpeza será concluída durante a reinicialização do Windows.
NOBO versão 1.3a em Português – detecta tentativas de invasão
NOBO versão 1.3a em InglêsO NOBO é um programa que detecta tentativas de uso do Back Orifice (BO) no seu computador com Windows 95/98. Ele abre a porta do Back Orifice e fica esperando pacotes TCP/IP vindos de clientes BO. Quanto algum pacote é recebido, o NOBO registra a informação, com dados do remetente (endereço IP e nome da máquina), podendo ignorar o pacote ou mesmo responder com uma mensagem padrão.
Toda atividade -- todo pacote do BO recebido -- pode ser gravada em um arquivo para referência e registro.
O NOBO não requer instalação. Após o término do download, execute-o que ele entra em ação imediatamente.
Como remover o Back Orifice( Bo) manualmente?
Primeiro iremos descrever como remover manualmente: para você saber se está infectado ou
não, clique com o botão direito no seu diretório do Windows (normalmente C:\Windows), escolha
a opção "Localizar", clique em "Avançado" e no campo "Com texto" digite: Server: BO

Se o BO estiver no sistema, irá aparecer um arquivo de aproximadamente 120Kb ( o tamanho
varia) e com um nome qualquer (provavelmente " .exe").
No exemplo, vemos o BO em ação: achamos o arquivo com o inocente nome LEIAME.TXT, que
na verdade não é um arquivo texto, mas sim o programa servidor. Não tente remover esse arquivo
ainda, você não irá conseguir.
Para remover faça o seguinte: Rode o programa RegEdit, atrvés da opção Run do Start Menu.
Abra o registro
"KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices" (clique
duas vezes em HKEY_LOCAL_MACHINE, depois duas vezes em SOFTWARE, e assim por
diante). No lado direito, deverá paracer uma série de programas que devem rodar quando o
Windows é iniciado. Apague a linha que contém o arquivo. Agora reinicie o Windows e
finalmente apague o arquivo que você encontrou. Pronto: o BO está fora da sua máquina!
Atenção : Cuidado com um aplicativo chamado BOSniffer que é distribuído como se fosse um bloqueio mas na verdade é um Boserver disfarçado .

NetBus
O NetBus é um cavalo de tróia (tem seu código escondido dentro de outro programa executável) que, assim como o Back Orifice, explora as falhas de segurança do Windows. Uma vez instalado no computador, permite que um usuário remoto não-autorizado tenha total controle sobre a máquina da vítima.
Detalhe : O NetBus, diferentemente do Back Orifice, funciona também no ambiente Windows NT
Para se proteger do NetBus, valem algumas regras básicas, que devem ser seguidas por qualquer usuário de computador, esteja ele ou não conectado à internet ou a uma rede local :Ter um software antivírus instalado e sempre atualizado, não abrir arquivos executáveis (.exe, por exemplo) de fontes não conhecidas, não abrir arquivo algum do disquete sem passar o antivírus.
Todos os meses, os fabricantes de antivírus colocam em seus sites atualizações das bibliotecas
de vírus. O arquivo DAT 3110 do VirusScan 3.2.0, disponível para download, já detecta o intruso.
Mas é possível detectar o NetBus sem um programa antivírus. Proceda da seguinte maneira :
1.No menu INICIAR, clique em PROGRAMAS e depois em PROMPT do MS-DOS.
2.Na janela do MS-DOS, digite netstat –an | find "12345"
3.Caso o NetBus esteja hospedado na sua máquina, pode aparecer uma linha de comando
com as seguintes características :TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING
O que fazer quando o NetBus for detectado ?
Existem programas escritos especialmente para remover cavalos de tróia, uma outra forma de
remoção é recorrer ao próprio NetBus, que tem uma função de desinstalar (uninstall).
1.Faça o download da versão do programa aqui , que é usada pelo administrador remoto
e instale o NetBus.
2.Conecte-se ao provedor de acesso.
3.Em INICIAR, EXECUTAR, digite WINIPCFG.
4.Anote o endereço IP informado.
5.Chame o NetBus, informe o endereço IP anotado e peça "Server Admin" e depois
"Remove Server".

ATENÇÃO : Esse recurso só funciona se o agressor que instalou o NetBus em sua máquina não
tiver especificado uma senha. Se foi especificada uma senha, ela pode ser descoberta pelo
Registry do Windows (em INICIAR, EXECUTAR, digite REGEDIT e verifique a chave
"HKEY_CURRENT_USER\PATCH\SETTINGS\SERVERPWD", que contém a senha). Cuidado
com modificações no REGISTRY, modificações erradas podem causar danos ao sistema.
Remoção Manual
O NetBus também pode ser removido manualmente. Em geral, esse recurso
funciona mesmo que o NetBus tenha senha. Proceda da seguinte maneira :
1.Conecte-se ao provedor de acesso.
2.Em INICIAR, EXECUTAR, digite WINIPCFG.
3.Anote o endereço IP.
4.Em INICIAR, EXECUTAR, digite TELNET, seguido do endereço anotado
mais 12345. (Exemplo : telnet 200.300.100.1 12345).
5.Digite Password;1 ; dê enter.
6.Digite RemoveServer;1 ; dê enter.
Pronto, seu computador está livre do NetBus.

Ataques

Nuke- O Nuke é o tipo de ataque DoS mais conhecido. Ele funciona enviando pacotes ICMP para um alvo que contém um cabeçalho defeituoso para um alvo e, dessa forma, ele induz a máquina alvo a um erro de reconhecimento de host.
Esse tipo de pacote contém um erro conhecido como "host unreacheable", que causa uma confusão de interpretação no sistema que o recebe, que fica lento, podendo também perder a conexão telefônica (se o acesso à internet for discado) ou apenas a desconexão por um tempo (se o acesso for via cabo de rede). Muitas vezes o usuário alvo acaba recebendo a tela azul do Windows, reportando falha geral no sistema, obrigando-o a reiniciar a máquina.
Muitas pessoas saem por aí pegando alguns programinhas de livre download através da WWW como o Click.exe, e acham que estão aptos a Nukar e derrubar qualquer usuário. Porém,o verdadeiro nuke não provém de um PC doméstico, mas sim de uma plataforma UNIX onde se tenha acesso root para usar o código winnuke.c, que é o verdadeiro nuke em toda sua potencialidade.

ICMP- (Internet Control Message Protocol) não é exatamente um pacote PING, como muita gente diz. Tanto o TCP/IP como o UDP são pacotes gerados por programas do tipo FTP, Telnet e outros. Porém, o ICMP é gerado diretamente pelo Kernel da máquina para nomear erros e controlar o fluxo de informações entre dois hosts diferentes que estejam se comunicando.
Existem alguns ataques de PING Flood que são confundidos com ICMP. Como já foi dito, o ICMP é gerado e nomeado diretamente pelo Kernel da máquina e por essa razão é possível PINGar uma máquina que esteja com todas as portas desabilitadas.
ICMP Flood é o ato de enviar o máximo de pacotes no menor espaço de tempo possível a fim de tornar a conexão de um usuário tão lenta (Lag) ao ponto de desconectá-lo da rede. O ataque ICMP Flood pode ser dividido em duas categorias: usuários de modem e usuários de rede.
Um usuários que esteja conectado via modem a 14.400bps de sua casa dificilmente conseguirá atacar alguém com um ICMP Flood, pois não tem velocidade para o envio de pacotes suficientes para derrubar alguém, e ao mesmo tempo pode ser um alvo para um outro usuário que esteja conectado a 28.800bps, por exemplo.Para se entender mais facilmente como funciona, basta
pensar assim: quanto maior o link da conexão, mais poderoso será o ataque e usuários com mais velocidade e banda derrubam os que tem link menor.
Seguindo essa lógica, um usuário em uma Shell T3 derruba uma Shell T2, que derruba uma T1, que derruba um Modem de 56Kbps, que derruba um de 28,8Kbps e assim sucessivamente.
Proteção:
Para se proteger do ICMP Flood você deve usar um programa de ICMP Check que irá lhe dizer de onde estão vindo os pacotes, pois o ICMP não estabelece conexão e, por esse motivo, programas do tipo netstat não conseguem identificar a origem do ataque.O uso de um bom firewall para bloqueio de pacotes ICMP vindos de qualquer host. Um bom programa é o Conseal PC Firewall, da Signal9, http://www.signal9.com e que também atua no caso de ataques utilizando outros protocolos, como TCP, UDP e SYN.

Unreach- O unreach é um tipo de ataque que utiliza pacotes ICMP variados que são enviados ao cliente (máquina conectada ao servidor) ou ao servidor a fim de encontrar a porta exata e então enviar outros pacotes, spoofados, para terminar a conexão do cliente com o servidor, em um dos dois lados.Além da sua porta de conexão na sua máquina, que o próprio exploit se encarrega de encontrar, é preciso saber também qual a porta que você está usando para se conectar ao servidor (geralmente 6667 para o IRC). Alguns IRCAdmins, tentando dificultar a vida das pessoas que se utilizam do unreach, criam portas de conexão diferentes, como 33333 (ou qualquer outra porta livre em sua máquina) e incentivam seus usuários a utilizarem portas diferentes da 6667 (que é a padrão), porém não adianta muito pois pode-se facilmente saber quais são as portas abertas para conexão utilizando um PortScan.
Sistemas do tipo BSD ou outros sistemas quando usando um Firewall rejeitando pacotes ICMP não são afetados por esse tipo de ataque, pelo menos em termos, pois é preciso saber qual sistema o Servidor está rodando, e ter certeza que o Servidor também não aceita pacotes ICMP que possibilitem o abuso do unreach.
Proteção:
É recomendado o uso de um Firewall, e aconselho a instalação do Conseal PC Firewall, da Signal9, ja mencionado anteriormente. Configure seu Firewall para recusar pacotes ICMP que estará protegido contra o unreach.Sistemas como o Windows 95, Windows NT4.0, Linux e variantes que aceitem pacotes ICMP são vulneráveis e devem buscar proteção.
Jolt- O Jolt é um tipo de ataque que utiliza pacotes ICMP_PING sizeados (63 bytes) que travam a máquina por um momento. No caso de BSD's ele simplesmente trava a máquina sem a necessidade de serem muitos os pacotes. Neste caso, você pode utilizar algum programa do tipo IcmpInfo para verificar a origem do ataque. Porém, como pacotes ICMP não precisa estabelecer conexão com a máquina remota, estes pacotes podem vir spoofados, ou seja, podem não utilizar o IP real de onde vieram.
Proteção
Existem várias maneiras de se proteger contra o Jolt Recompilar seu Kernel32 sem as rotinas de ICMP é uma opção, apesar de muito radical. A mais recomendada é a instalação de um Firewall que dê um deny ou reject (negar, rejeitar) em todo pacote ICMP. Veja nossa seção de Links para informações de como fazer o download de um programa Firewall. Existe, também, uma atualização do arquivo de sistema VIP.386, da Microsoft (tm), que infelizmente parece não funcionar em algumas máquinas e que às vezes deixa inutilizável o Winsock. Recomendo o SSPing-F, criado pelo madmax! da pc97. Este patch aparentemente não interfere em outros pacotes ICMP.

Land- Causa problemas com diversos Sistemas Operacionais, enviando um pacote spoofado com a flag SYN para uma máquina remota, usando o mesmo source (origem), por exemplo, de 127.0.0.1:139 para 127.0.0.1:139. O pacote com a flag SYN setada força a máquina remota a abrir uma conexão e trava no caso do Windows 95 sem a devida atualização (patch).Aparentemente, o Windows 95 com as atualizações de TCP (vtcpup11.exe para Winsock 1.1, e vtcpup20.exe para Winsock 2.0, digite Patches para mais detalhes na hp da brasirc.net) não são afetados quando o Land tenta usar a porta 139, porém, não é preciso usar pasicamente a porta 139. Qualquer porta que aceite uma conexão (como 80, 113, etc...) pode ser afetada.

Teardrop- O teardrop é um ataque do tipo Denial of Service que congela o processamento do Sistema Operacional, principalmente de máquinas que rodam Windows 95 e Windows NT, através do envio de Endereços de IP (Internet Protocol; endereços numéricos da Internet) fragmentados à máquinas que estejam conectadas à Internet, explorando um Bug de IPs fragmentados presente no sistema Windows.
No momento que a máquina recebe o ataque, ela fica incapacitada de processar esses dados e pode causar a perda da conexão com a Internet, ou até mesmo a entrada na famosa tela azul de "Execução Fatal" do Windows, que obriga o usuário a reiniciar a máquina (reboot) para que ela volte a funcionar corretamente. O teardrop não vem causando nenhum prejuízo significativo aos sistemas, porém se você estiver trabalhando com dados não salvos (e jamais faça isso quando estiver conectado à Internet!) e vier a sofrer um ataque teardrop, esses dados serão totalmente perdidos, pois se a máquina cair no efeito do ataque, não tem outro remédio a não ser um reboot.
Nota: o teardrop vem se mostrando capaz de afetar também algumas versões do sistema Linux.
UDP- (User Datagram Protocol) é um protocolo baseado noTCP, usado por programas como telnet, que faz uma conexão com um servidor remoto e é muito seguro enviando informações de um lado ao outro da conexão. O UDP é um protocolo de ligação, que faz um pacote, envia-o para o servidor remoto com o endereço e a porta, e não "pensa mais nisso", ou seja, não acompanha o pacote enquanto este tenta chegar ao destino. Se o pacote não chegar lá... E as chances de se spoofar uma conexão telnet são de 99,9% devido ao fato de que é uma conexão baseado em protocolo.
Se o telnet for spoofado, o servidor tentará enviar as informações para o host spoofado (que não existe) ou simplesmente fecha a conexão. Há uma coisa chamada de telnet sequencer que faz o mesmo papel dos materiais TCP/IP para spoofar uma conexão. A partir do momento que o UDP cria o pacote e envia para fora, em direção ao servidor remoto, sem necessidade de obter uma resposta de chegada desses dados, eles são incrivelmente fáceis de spoofar.
UDP Flood consiste em enviar excessivos pacotes UDP para alguém, embora não como pacotes ICMP reais. Você pode spoofar os pacotes tornando-os virtualmente impossíveis de se rastrear. Uma pessoa mais experiente pode supor ou encontrar a origem dos pacotes, porém a maioria das pessoas nem faz idéia do que é isso.
O Syn Flood- funciona da seguinte forma: quando um daemon está rodando (como inetd), ele fica preparado para receber conexões em todas as portas de serviços que estiverem conectadas. Quando um host remoto tenta se conectar à máquina, acontece o seguinte:
Host Remoto
-> Syn ->
Servidor
Host Remoto
<- AWK <-
Servidor
Host Remoto
<- dados ->
Servidor
Host Remoto
<- conexão ->
Servidor esperando

O syn acorda o daemon e avisa-lhe que está querendo se conectar ao servidor. O syn flood consiste em enviar uma solicitação de conexão a partir de um host spoofado (falso).
A consequência é:
Host Spoofado
-> Syn ->
Servidor
Ninguém
<- AWK <-
Servidor
Ninguém
<- cadê ele?
Servidor
Ninguém
<- cadê ele?
Servidor esperando
Metade do servidor abre conexões e fica aguardando o host remoto se comunicar, porém nada acontece. Se continuar assim, a conexão em breve se fecha por timeout, porém se as solicitações forem enviadas rapidamente, o número máximo de conexões será alcançado, e ninguém mais se conecta à máquina.
Um ataque Syn Flood é capaz de fazer um servidor T3 recusar todas as conexões, pode derrubar um FTP, pode bloquear um usuário que esteja fazendo telnet e deixar a conexão "muda". Quando o ataque acaba, após alguns minutos o servidor volta a normalidade, pois as conexões vão cair por timeout.
Proteção:
Para parar um syn flood, você deve fechar todos os
daemons da máquina e comentar (#) todos os serviços do
arquivo /etc/inetd.conf, e a seguir executar o comando kill
-HUP no inetd.
Spoof- Como é conhecido pelos usuários de IRC principalmente, é nada mais do que o ato de Cachear um Host Falso (fake host) em seu IP atual, usando uma máquina que seja servidor de nomes (nameserver), falsificando a origem de sua conexão.A utilidade do spoof pode ser desde uma simples conexão de IRC com a hostmask user@olha.meu.host.net até falsificações de interfaces de origem para serem usadas em Intranets onde o tráfego de dados pode conter informações confidenciais e, portanto, é restrito a servidores internos da rede. Não se entra nos computadores da NASA somente fazendo um Telnet pro servidor de lá...
Para conseguir cachear um fake host em um nameserve você precisa encontrar uma vulnerabilidade no bind (named) desse servidor de nomes, e para isso já existem alguns programas feitos em C que são facilmente compilados no sistema UNIX e Linux. Não vamos citar nomes de programas, nem como são usados, pois nossa intenção é dar referência de funcionamento, e não de uso.Versões atuais do bind não permitem o cacheamento de um fake host.
Proteção:

Para evitar que sua máquina, seu provedor ou seu servidor de
IRC seja usado para o spoof você precisa atualizar o Bind de
sua máquina.
A URL de onde você pode
pegar o bind-8: http://www.isc.org/bind.html ou
ftp://ftp.isc.org, se preferir FTP.

O MK Buffer- Overrun é um bug recente publicado pela Microsoft (tm), que age sobre o navegador Internet Explorer, causando um crash (quebra) no mesmo, obrigando o usuário a fechá-lo. O crash do Internet Explorer acontece se o usuário acessar algum link WWW cuja URL contenha em seu começo o parâmetro "mk://" ao invés de "http://" e também contenha mais caracteres do que o suportado pelo navegador, podendo inclusive formar uma linha de comando executável que simula um programa, e que se for executada pode trazer problemas.
Esse tipo de URL contendo o "mk://" não existe, portante se algum dia você encontrou ou encontrar isso pela web afora, fique ciente de que foi uma atitude de má fé por parte do criador da página, justamente para explorar os usuários do Internet Explorer com o MK Overrun.As versão do Internet Explorer 4.0, 4.01 para Windows 95/NT 4.0 ou 3.02 para Windows 95/NT 4.0 com o Visual Studio instalado na máquina são afetadas pelo MK Overrun. Versões do Internet Explorer para Windows 3.1, Windows NT 3.5, Macintosh e Unix não são afetadas.
Proteção:

O primeiro passo para se proteger do MK Buffer Overrun é
identificar a versão do seu Internet Explorer e verificar se a
versão que você possui é vulnerável, de acordo com a lista
dada anteriormente. Caso seja, faça o download do patch
(correção) que irá proteger seu navegador desse problema:
I. Explorer 3.02 Inglês: Mk302.exe
I. Explorer 4.00 Inglês: Mk40.exe
I. Explorer 4.01 Inglês: Mk401.exe
I. Explorer 4.00 Português: BRMk40.exe
I. Explorer 4.01 Português: BRMk401.exe

Bonk- Ataque também conhecido como boink, newtear ou teardrop2, causador do famoso erro de tela azul do Windows, também causa um aparente congelamento no processamento da máquina e, em alguns casos, causa um crash do sistema que só volta ao normal após um reboot (reinicialização do sistema). Os patches contra Nuke não garantem proteção contra bonk e seus códigos variantes, portanto se você já instalou algum dos patches conhecidos contra nuke, land, e outros e, mesmo assim, está caindo na famosa tela azul, provavelmente o ataque é do tipo bonk.

Sechole é um exploit para Windows NT que permite que usuários normais tenham acesso de Administrador ao sistema local, e assim, elevar seus privilégios no sistema. Para poder
usar o "sechole.exe" (nome original do exploit) o usuário deve possuir uma conta local no sistema, e permissão para executar o código do exploit. Normalmente isso significa que a pessoa deve ter acesso físico ao computador para poder fazer o login à rede local NT. Sistemas mais seguros, como o Windows NT Domain Controllers, onde usuários normais (não-Administradores) não têm nenhum privilégio de log on local não são sucetíveis ao exploit. Ou seja, o ataque não pode ser feito remotamente, a partir de uma rede.
Detalhes específicos
Neste tipo de ataque, um usuário normal obtem acesso de Administrador ao sistema ao realizar os seguintes passos:
Localizar o endereço de memória de uma função API usada pela função DebugActiveProcess.
Modificar as instruções naquele endereço para que em caso de falha, ele retorne normalmente como se não fosse uma falha.
Chamar a função DebugActiveProcess em cada processo do sistema local até que obtenha sucesso. O componente DebugActiveProcess do lado do servidor não checa por um acesso válido no processo alvo.
Criar uma linha no processo da vítima que rode o código a partir de uma DLL. Isto adicionará o usuário rodando o programa ao grupo de administradores. Os arquivos disponíveis no site da Microsoft corrigem este problema fazendo com que o servidor cheque corretamente o acesso.
Proteções para os tipos de ataques citados acima.
Algumas providências podem e devem ser tomadas em relacão a vulnerabilidade aos Nukes. A principal delas é a atualização dos arquivos responsáveis pela conexão Internet, de onde se originam a maior parte das falhas que permite estes tipos de ataque. Para tal, siga o seguinte roteiro: Windows 95
Mantenha sua cópia da instalação do Windows (CD ou disquetes) à
mão. Ela pode ser necessária dutante os passos seguintes.
Baixe o arquivo wsockupd.exe e execute. Isto
atualizará os drivers TCP Winsock. Em seguida, reinicie o
computador.
Faça o download do arquivo
msdun12.exe e execute-o.
Este arquivo fará uma atualização para a versão 1.2 do Acesso à
Rede Dial Up. Reinicie o computador de novo.
Baixe o arquivo
ws2setup.exe e execute-o.
Ele fará o upgrade do Winsock para versão 2.2. Reinicie o
computador.
Faça o download do arquivo
vtcpup20.exe e execute-o.
Ele instalará um upgrade dos drivers TCP para Winsock 2. Mais
uma vez, reinicie o computador após o término da instalação.
Atenção: Estes procedimentos não devem ser executados no Windows 98,
pois ele já possui as devidas correções e atualizações nos protocolos de
comunicação.
OBS.: Para poupar tempo, faça o download de todos os arquivos
necessários antes de começar a executá-los, mas é importante que seja
feito na ordem indicada acima, caso contrário, os protocolos de
comunicação poderão ser danificados, sendo necessário reinstalar a rede
Dial-UP.
Windows NT
Instalando o Service Pack 3 (encontrado em
ftp://ftp.microsoft.com/SoftLib/MSLFiles/Nt4sp3_i.exe) você estará
protegido da maioria dos nukes, com excessão do TearDrop. Para ficar
imune a este ataque, baixe o arquivo localizado em
http://mirc.stealth.net/nuke/tearfixi.exe e instale-o.
Um método de proteção bastante praticado atualmente é a utilização de
um "firewall pessoal", ou seja, um aplicativo que monitora toda a
comunicação entre seu computador e a Internet, que pode, baseado em
uma lista de regras, permitir ou não a passagem de determinados pacotes
de dados em ambos os sentidos (rede/micro & micro/rede). Desta forma
é possível evitar uma boa parte dos pacotes maliciosos com algum intuito
maligno enviados ao seu computador. Mas para isso é necessário
configurar o que pode e o que não pode chegar até ele, sempre
adaptando a lista de acesso aos novos ataques. Um excelente
representante destes "firewalls pessoais" é o Conseal PC Firewall (U$
40/15- Day Trial) encontrado em
www.signal9.com/products/pcfirewall/pcfwintro.html
Ou aqui no nosso site mesmo, de uma olhada aqui. É importante ressaltar que os firewalls pessoais não são firewalls de verdade e não impedem todos os tipos de ataques. Alguns ataques como
o ICMP Nuke ou o Ping Flood causam estragos em camadas de rede fora
do alcance destes aplicativos. Portanto, use-o apenas como "adicional de
segurança".
Por outro lado, a instalação (e devida configuração) de um firewall por
parte do seu provedor de acesso poderá ser muito útil no combate aos
Nukes, pois limitam a área de ação disponível aos pacotes que chegam na
rede interna, e por consequência no seu computador. Isto faz com que o
ataque seja bloqueado antes mesmo de passar pelo seu modem, o que é
essencial, por exemplo, contra o ICMP Flood. Muitos ataques como o
WinNuke também podem ser evitados desta forma.
Obs-1 O Windows98 já vem com todos as proteções relacionadas acima, não precisando ser prevenido de tais patches

Obs-2 Para ter acesso a todos os arquivos mencionados acima, visite a pagina do fonte www.annjinha.net Boa sorte! :)

Fonte: