Em memória de Giordani Rodrigues

Publicado em Quinta - 31 de Janeiro de 2008 | por Luiz Celso

Tem vírus no porta-retrato

Celulares, consoles de videogames, pendrives... As pragas virtuais não se limitam aos computadores e buscam novas plataformas. Afinal, vários equipamentos contam agora com recursos dignos de PCs.

A empresa Insignia publicou um alerta recentemente relacionado ao seu porta-retratos digital NS-DPF10A, que exibe fotos em uma tela de 10,4 polegadas. Ao conectar o dispositivo via porta USB, o computador pode ser infectado.

Segundo o fabricante, que pede desculpas pelo fato, unidades do equipamento foram comercializadas pela rede de lojas Best Buy nos Estados Unidos, antes da descoberta do vírus. Ao ser identificado o problema, a companhia afirma ter retirado o produto do mercado. A praga virtual é antiga e pode ser facilmente identificada com versões atualizadas de programas antivírus.

Depois dos porta-retratos digitais, qual será a próxima vítima dos vírus?
Leia mais...

Especialista adverte para perigos virtuais ligados ao BBB

Publicado em Quarta - 30 de Janeiro de 2008 | por Luiz Celso

Programas de televisão com grande repercussão nacional, como o Big Brother Brasil, são uma grande oportunidade para crackers propagarem suas ameaças no mundo virtual. O diretor de tecnologia da empresa de segurança F-Secure, Gabriel Menegatti, adverte que o usuário deve ficar ainda mais atento nessa época.

Segundo Menegatti, os ataques podem ser feitos das mais diversas formas e explorar assuntos variados do programa, principalmente quando há polêmicas envolvidas, como namoros. Na maioria das vezes, a ação maligna por parte dos invasores acontece de forma mais rápida do que se pensa. Se acontece uma discussão entre dois participantes em uma noite, é capaz que ameaças que abordem a briga já sejam propagadas na manhã seguinte, diz.

Isso pode ser feito por meio de emails com fotos ou arquivos de que alegam mostras imagens de personagens da casa nus ou em cenas mais picantes, por exemplo. Esses arquivos podem conter vírus ou trojans, e até mesmo transformar a máquina em um computador zumbi - que transmite automaticamente spans e mensagens contaminadas a contatos do usuário, sem que ele sequer perceba. Entretanto, Menegatti afirma que atualmente ameaças mais comuns são aquelas que apresentam um link maligno para ser acessado.

De acordo com ele, o internauta se infecta assim que entra na página, pois esse endereço maligno se aproveita de vulnerabilidades na máquina do usuário, que podem ser do navegador, de um plugin de Flash ou até mesmo de seu sistema operacional. Geralmente, essas páginas são muito parecidas com aquelas oficiais, justamente para confundir o usuário. Menegatti considera que esse tipo de ameaça deve aumentar à medida que o programa torna-se mais popular.
Leia mais...

E-mail que oferece download de software para TV Digital contém vírus

Publicado em Terça - 29 de Janeiro de 2008 | por Luiz Celso

Um e-mail que tem circulado na Web em nome do site Baixaqui contém vírus. A mensagem anuncia um suposto software gratuito que permite ao usuário assistir a canais TV digital diretor de seu computador depois de realizar o download.

Mas o e-mail é falso e ao clicar no link para baixar o programa o internauta pe direcionando para o site chama do Alvorada Contabilidade. “Este site está enviando para a máquina do usuário o arquivo vizualiza.scr. Este arquivo trata-se de um trojan”, explica Denny Roger, especialista em segurança da informação. Geralmente, esse tipo de praga instala outros vírus na máquina, como por exemplo, programas capazes de roubar informações bancárias.
Leia mais...

Cavalo-de-Tróia: Golpes envolvendo roubo de dados lideraram em 2007

Publicado em Terça - 15 de Janeiro de 2008 | por Luiz Celso

Os cavalos-de-tróia foram responsáveis por 25.83% dos registros de infecção realizados pelo ActiveScan, o scanner on-line da Panda Security, durante 2007. Este tipo de código malicioso totalizou 77.40% do novo malware surgido no ano passado. Isto significa um grande aumento em relação a 2006, quando os Trojans representaram 50% do novo código malicioso.

Segundo o PandaLabs, o surgimento de novos exemplares deste tipo quintuplicou a cada seis meses. A predominância do Cavalo-de-Tróia também continuou durante dezembro, quando foi responsável por 25.92% das infecções detectadas pelo ActiveScan.

“Os Trojans são peças fundamentais no modelo atual de cibercrime. Isto se deve ao fato de serem ideais para a exploração de infecções visando ganhos financeiros, o que agora é o principal objetivo dos criminosos da Internet”, explica Eduardo D’Antona, Diretor-executivo da Panda Security.

Com 25.39% das infecções detectadas pelo ActiveScan, o adware foi o segundo tipo de código malicioso mais ativo em 2007. Ele também foi o segundo em relação ao número de novos exemplares criados, contabilizando 11.20% do total.

Os worms, por outro lado, foram os culpados por 7.99% das infecções detectadas em 2007 pelo ActiveScan e 9.21% do novo malware criado. Isto representa a maior queda para uma categoria de malware com respeito a 2006, já que naquele ano eles representaram 23.21% do novo malware.

Com respeito as principais famílias de códigos maliciosos (grupos com características similares ou idênticas), em 2007, a protagonista foi a do Trojan Downloader, usado para baixar malware nos computadores. Especificamente, um Trojan desta família, Downloader.MDW, encabeçou a lista de exemplares de malware específicos mais ativos durante a última metade de of 2007.

O cavalo-de-tróia backdoor Hupigon, designado para oferecer controle remoto de computadores infectados, e os Bankers, Nabload e Banbra banker foram outras famílias que se destacaram em 2007.
Leia mais...

Novo tipo de rootkit se esconde no setor de boot do Windows

Publicado em Quarta - 09 de Janeiro de 2008 | por Luiz Celso

O código malicioso, utilizado para mascarar um cavalo-de-tróia que rouba números de contas bancárias, infectou 5 mil PCs desde dezembro de 2007, segundo o diretor da VeriSign, Matthew Richards. O malware é invisível ao sistema operacional e a softwares de segurança.

O rootkit é instalado por cima do controle de gravação do setor de boot (da sigla em inglês MBR - Master Boot Record), o primeiro local onde o código é armazenado para iniciar o sistema operacional depois que o BIOS (do inglês Basic Input/Output System) começa seus check-ups.

O rootkit começa a atuar em sites comprometidos e segue para a instalação do vetor de ataque. Todas as vulnerabilidades exploradas, contudo, são de 2006 - então apenas os usuários que não atualizam seus softwares estão sujeitos a um ataque.

“Enquanto um rootkit tradicional é instalado como um driver, este instala a si próprio e é executado antes mesmo que o sistema operacional seja iniciado”, explica o diretor da equipe de respostas de segurança da Symantec, Oliver Friedrichs.

O código do rootkit é tão elaborado que ele afeta somente o Windows XP. Os usuários do Vista, contudo, podem aprovar a instalação do malware ao aceitar um alerta de “controle da conta do usuário”. Com o controle do MBR, é possível ter acesso a todo o computador.

A pesquisadora da Symantec, Elia Florio, afirma que os usuários podem usar o comando “fixmbr” para remover o rootkit. Ela explica ainda que, caso o BIOS tenha o recurso de proteção de gravações Master Boot Record, é aconselhável habilitá-lo.
Leia mais...

Praga Storm ganha terceira variante na semana e adiciona rootkit

Publicado em Terça - 01 de Janeiro de 2008 | por Luiz Celso

A praga virtual Storm, que iniciou ataques esta semana usando strippers natalinas, ganhou uma terceira variante, informaram especialistas em segurança, na quinta-feira (27/12). Além de ter trocado o tema do ataque para o ano novo, agora o Storm modificou os servidores de hospedagem de sites maliciosos e adiconou um código de rootkit para enganar os softwares antivírus.

Nesta nova tentativa de ludibriar os internautas, as mensagens de spam que direcionam a downloads do Storm usam links como happycards2008.com ou newyearcards2008.com. Segundo analistas de segurança do SANS Institute e da empresa britânica Prevx Ltd., o nome do arquivo com cavalos-de-tróia também foi modificado de happy2008.exe. para happynewyear.exe.

A mudança mais crítica, segundo os especialistas, é a adição de um rootkit, que felizmente não usa um código muito novo e pode ser detectado por alguns softwares de segurança. Segundo Marco Giuliani, da Prevx, os servidores que hospedam as variantes do Storm ainda não foram desativados porque devem estar em constante migração, o que torna a tarefa mais difícil.

Segundo buscas feitas no banco de dados de registro de domínios, WHOIS, tanto o endereço happycards2008.com como o newyearcards2008.com foram registrados somente ontem com informações da empresa russa especializada em registros, RUcenter. O contato cadastrado em ambos os registros é identificado como Bill Gudzon, de Los Angeles, na Califórnia (EUA), mas o telefone está constantemente ocupado. Desde o início dos ataques do Storm, Giuliani, da Prevx, informou ter detectado 400 novas variantes da praga virtual em circulação.
Leia mais...

Após malwares de Natal, botnet Storm enviam spams de Ano Novo

Publicado em Terça - 01 de Janeiro de 2008 | por Luiz Celso

O botnet Storm começou a enviar spams com o assunto “Happy 2008!” e “Happy New Year” nas últimas horas do Natal. As mensagens tentam persuadir os destinatários a acessar o site Uhavepostcard.com, fazer o download e instalar o arquivo “happy2008.exe”, afirmaram pesquisadores de ambas as empresas.

O arquivo, contudo, é uma nova variante do cavalo-de-tróia Storm.

Marco Giuliani, da Prevx, reportou que a empresa viu, de um modo geral, duas variantes, até a manhã desta quarta-feira (26/12). “A primeira ficou online por cerca de 10 horas, e vimos 166 versões desta”, afirmou o pesquisador.

O código Storm foi empacotado novamente em um período de poucos minutos, usando uma técnica polifórmica – de várias etapas - desde a segunda-feira (24/12), quando começou a espalhar o spam da stripper. O truque é utilizado por autores de malware para enganar softwares antivírus.

Também estão sendo utilizadas táticas de rápido fluxo de DNS para manter o site Uhavepostcard.com operante, segundo a Symantec. A estratégia também é frequentemente utilizada e envolve registro rápido e retirada de endereços de uma lista ou de um servidor ou uma área inteira DNS.

Em ambos os casos, as técnicas mascaram o endereço IP do site malicioso, escondendo-os por trás de uma estrutura de máquinas comprometidas que agem como proxies.
Leia mais...

Novo vírus apaga todos os arquivos e desabilita o mouse

Publicado em Quarta - 05 de Dezembro de 2007 | por Luiz Celso

Praga virtual LiveDeath.A faz várias perguntas à vitima antes destruir os dados

Um vírus “à moda antiga” foi identificado pela empresa de segurança Panda. Trata-se da praga virtual LiveDeath. A ameaça lembra os antigos vírus, que tinham como objetivo atormentar os usuários de computador, contaminando e apagando arquivos.

O invasor, que infecta máquinas com sistema operacional Windows, da versão 3.X ao XP, chega ao computador em arquivos anexados a e-mails, programas camuflados em serviços de compartilhamento de arquivos e downloads em sites infectados, entre outros.

Ao executar o arquivo, a vítima é convidada a participar de um game de perguntas (imagem abaixo), no estilo “qual é a sua cor preferida?”, até o momento em que o software nocivo diz que a resposta está incorreta e apaga todos os arquivos do drive C:. Quem não tiver backup verá seus dados desaparecerem...
Leia mais...

Saiba quais são os dez vírus mais perigosos do mundo

Publicado em Terça - 04 de Dezembro de 2007 | por Luiz Celso

Com mais de 837 mil registros, o vírus POSSIBLE_VUNDO-1 é o campeão na lista das dez pragas que mais infectaram computadores em todo o mundo no mês de outubro, segundo a Trend Micro, líder em antivírus de rede e software e serviços de segurança de conteúdo da Internet.

Confira a lista geral:

1. POSSIBLE_VUNDO-1
2. WORM_SPYBOT.IS
3. WORM_GAOBOT.DF
4. TROJ_AGENT.ACSF
5. HTML_INFRAME.KQ
6. PE PARTIRE.A
7. EXPL_WMF.GEN
8. WORM_RONTKBR.GEN
9. PE_LUDER.CH
10. TROJ_VB.AML

O POSSIBLE_VUNDO-1 é um vírus detectado em arquivos por manifestar comportamentos e características similares as variantes conhecidas como VUNDO.


Dados regionais

Na América do Sul, o vírus mais ativo em novembro também foi o POSSIBLE_VUNDO-1 e o Brasil foi o único País infectado, já que as 34,3 mil infecções registradas no continente são provenientes de computadores do País. Confira o ranking da América do Sul:

1. POSSIBLE_VUNDO-1
2. POSSIBLE_MLWR-7
3. PE_PARITE.A
4. PE_VALLA.A
5. SPYW_RASERV.A
6. WORM_NETSKY.X
7. WORM_KNIGHT.AB
8. PEE_LOOKED.MI
9. WORM_RJUMP.A
10. PE_JEEFO.A
Leia mais...

Vírus brasileiro se espalha por programas P2P

Publicado em Sexta - 30 de Novembro de 2007 | por Luiz Celso

A Linha Defensiva obteve acesso a uma praga digital brasileira da família Banker — conhecida por roubar dados bancárias das vítimas — que tenta se espalhar por redes P2P. Criando cópias de si mesma dentro de pastas comumente usadas por programas de troca de arquivos, internautas infectados compartilharão o vírus com os demais usuários da rede.

O vírus é o primeiro entre os brasileiros que se espalha por P2P de que a Linha Defensiva tem conhecimento. Embora a prática possa ser mais antiga, o fato de só ter aparecido agora significa que, se não for algo novo, ainda é pelo menos incomum.

Por se espalhar usando ferramentas da rede, o código malicioso pode ser chamado também de worm. A tática empregada, no entanto, é pouco refinada e provavelmente pouco eficaz. O Banker cria cópias de si mesmo em pastas utilizadas pelos programas de compartilhamento KaZaA (e suas várias versões), Bearshare, Morpheus, eMule, Warez P2P e, estranhamente, também pelo extinto Grokster. Três arquivos idênticos são criados em todas as pastas:

* Emule_Acelerator.exe
* DCUtoPAS_Visualizardor_DCU.exe
* Kazaa_auto_downloads.exe

Os nomes pouco convincentes e com erros de digitação tornarão o componente de disseminação via P2P pouco eficaz. Worms que utilizam este tipo de recurso de forma mais eficiente geralmente fazem uso de nomes que sugerem que o conteúdo do arquivo seria um programa ou até uma foto popular, ou ainda algo ilegal como um crack. É possível, no entanto, que ao utilizar nomes únicos — nenhum deles retorna resultados no Google –, os criminosos tenham outro propósito por trás deste mecanismo.

As pragas brasileiras comumente enviam a si mesmas para outras pessoas por meio de mensagens no Orkut e no MSN. Algumas também enviam e-mails para contatos da vítima, embora o uso de e-mail seja mais comum no processo inicial da infecção para fazer as primeiras vítimas do golpe.
Leia mais...