Em memória de Giordani Rodrigues

Publicado em Sexta - 21 de Setembro de 2007 | por Luiz Celso

Novo vírus ataca PC de usuários do Skype

Foi descoberto um novo vírus que se propaga por meio do aplicativo de mensagens Skype (VoIP). Segundo o TrendLabs, este vírus, chamado WORM_SKIPI.A, utiliza o Skype para enviar mensagens aos usuários registrados na lista de contatos, incluindo um link que descarrega uma cópia da mesma ameaça.

O vírus modifica o status do usuário do Skype de “Conectado” para “Ocupado” ou “Invisível”, impedindo que o aplicativo seja aberto. Dessa forma, evita que várias ferramentas antivírus sejam atualizadas a partir da Internet, envenenando o sistema com endereços falsos para diferentes sites de fabricantes de aplicativos de segurança.

A recomendação da Trend Micro é que as empresas implementem políticas de segurança para prevenir que os usuários descarreguem e rodem esse worm, e alerta a todos os usuários de Skype que fiquem atentos a convites de qualquer usuário (especialmente de desconhecidos) para clicar em algum link. A empresa acredita que, em função do grande número de usuários do Skype, que chega perto dos 220 milhões, esta ameaça pode prevalecer e propagar-se com muita rapidez.
Voltar Enviar para um amigo Imprimir
Comente
Leia mais...

Vírus Storm worm detem maior poder de processamento do mundo

Publicado em Sábado - 15 de Setembro de 2007 | por fgp

A alguns meses, o vírus storm worm vem preocupando os especialistas em segurança na internet, seu poder de infecção é tão grande que juntando os computadores já infectados, obtém-se mais poder de processamento que os 10 maiores computadores do mundo.
Leia mais...

Criminosos passam a operar malware como supermercado

Publicado em Segunda - 10 de Setembro de 2007 | por Luiz Celso

O mercado global de criminosos de malware agora opera como um supermercado, inclusive com ofertas especiais e descontos sobre grandes volumes, segundo anuncia a Panda Software.

A companhia diz em seu reporte trimestral que a taxa para um Trojan razoavelmente sofisticado mas genérico fica entre 175 libras (350 dólares) e 350 libras, enquanto uma lista de e-mails com o qual as vítimas alvo para o programa tem o custo de 50 libras por milhões de nomes.

O escritor do malware faz também ofertas especiais. Em um caso a empresa descobriu um site vendendo um Trojan de captura de pagamentos por 200 libras para os primeiros 100 clientes que comprassem, o que representa uma economia de 50 libras da taxa normal para o cliente.

A empresa está com receio de dar mais detalhes sobre os sites por onde as ofertas eram feitas, mas disse que considerou a Rússia, uma área com uma legislação pobre anti-malware, como a campeã para a indústria de malware.

“Recentemente testemunhamos o crescimento de crimes digitais”, afirmou o chefe de laboratório da Panda, Luis Corrons. “O primeiro passo contra isso foi quando começamos a procurar receitas a partir dessas atividades, ao invés de apenas fatos notórios. Agora eles estão criando um vasto mercado online, onde existem segmentos especializados e novos modelos de negócios em operação”, acredita.

Os criminosos, segundo a Panda, também podem alugar servidores de spam por 250 libras, um tempo para distribuir seu pacote de distribuição de malware.
Leia mais...

Top10: Agosto/2007

Publicado em Sexta - 31 de Agosto de 2007 | por Luiz Celso

Bots voltam para a segunda colocação depois de perdê-la no mês passado para o Vundo e queda de infecções do C2.LOP dá aos Backdoors uma posição acima no ranking.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

1. 54,1%: Banker

Bankers são vírus brasileiros que roubam senhas de bancos, MSN, Orkut e cartões de crédito. Alguns são também capazes de roubar senhas de provedores como Globo, Terra e UOL. Muitos são espalhados manualmente pelos seus criadores, que enviam e-mails fraudulentos (falsos) para milhares de pessoas que, caso abram a mensagem e o link nela presente, serão infectadas. Outros se espalham automaticamente por meio de mensagens de MSN e recados e depoimentos do Orkut.

Para evitar os Bankers é importante tomar extremo cuidado durante a abertura de links recebidos por meio de mensagens de e-mail, Orkut e MSN. Se você desconfia que está infectado, a ferramenta BankerFix, da Linha Defensiva, poderá lhe ajudar

Em junho estes trojans representaram 61,3% das infecções, sendo o número mais alto já registrado. Em julho caíram para 55,3% e este mês caíram mais um pouco para 54,1%.

Caso você receba e-mails suspeitos que podem estar espalhando um Banker, você pode encaminhá-los para a Linha Defensiva.
2. 7,9%: Bot

Bot é um tipo de código malicioso que torna cada computador infectado um “zumbi” a serviço do criador da praga. A rede de computadores infectados por um mesmo bot é chamada de botnet (rede zumbi). Os controladores das Botnets as utilizam para enviar spam, atacar websites e exigir dinheiro de seus donos para parar o ataque, roubar dados dos sistemas infectados, hospedar códigos maliciosos e sites falsos para roubo de senha, entre outros usos.

Botnets podem ser formadas por milhares de máquinas. A maioria dos bots se espalha utilizando falhas no Windows, portanto manter o sistema atualizado é recomendado. Outros bots se espalham por meio de arquivos falsos em redes Peer-to-Peer (P2P).

Em junho, o número de bots era de 10,2%. Ele era maior em maio, quando atingiu 12,3%. No mês passado, um baixo número de infecções (5,6%) fez com que os bots perdessem a segunda posição para o Vundo. Este mês o grupo voltou para o segundo lugar.
3. 5,7%: Vundo

O Vundo é uma praga semelhante ao Wareout e ao Smitfraud. Ao invés de instalar um software de segurança falso imediatamente, ele cria pop-ups e mensagens de alerta no computador até que o usuário autorize a instalação do programa de segurança.

O Vundo (também conhecido como Virtumonde) geralmente instala programas da WinSoftware, tais como o WinAntivirus e WinFixer. A WinSoftware é conhecida por práticas publicitárias enganosas, como no caso do vírus Backtera.

Remover o Vundo é uma tarefa complexa. O programa VundoFix pode ajudar, mas algumas das versões mais novas do Vundo conseguem se esconder no sistema e ainda não são detectadas pelo VundoFix.

Com 6,6%, o Vundo havia atingido a segunda colocação no mês passado, graças a uma baixa dos Bots. Em junho, Vundo representou apenas 3,9% das infecções.
4. 3,5%: Backdoor

Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um cracker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

Nessa classe estão os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin. Um exemplo de Backdoor malicioso é o BiFrost (também chamado de BiFrose).

Apesar de uma alta pouco significa em relação ao mês passado, quando estavam com 3,2%, um menor número de infecções do C2.LOP garantiu que os Backdoors subissem uma posição neste mês.
5. 3,2%: C2.LOP

C2.Lop é a praga instalada pelo Messenger Plus!. O C2.Lop é capaz de redirecionar o Internet Explorer, instalar ícones na área de trabalho e exibir pop-ups que levam o usuário a outras pragas digitais, como o Vundo. Um sintoma conhecido é o aparecimento de uma barra azul que divulga cassinos e outros sites pouco confiáveis.

A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível instalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). No tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona. Você pode usar o fórum caso ainda tenha problemas.

Com uma queda de 1,1 ponto percentual em relação ao mês passado, o C2.LOP perdeu uma colocação para os Backdoors.
6. 2,7%: Dialer

Dialers são códigos maliciosos que tentam usar o modem para conexões discadas para acessar números 900 (premium), onde, além de pagar a tarifa da ligação, o consumidor também deve pagar um “serviço” para o dono da linha. Dialers geralmente acessam números 900 que permitem acesso a sites pornográfico

Muitos dos dialers são intrusivos e criam conexões extras na máquina sem a permissão do usuário. Alguns modificam o número a ser discado toda vez que o internauta tentar abrir uma conexão com o provedor. A dificuldade para se remover um dialer varia muito e, na maioria das vezes, ele foi instalado na máquina sem a autorização do internauta. Em outras palavras, os dialers são criados para tentar obrigar o usuário a dar dinheiro para o criador da praga por meio da conta telefônica.

Um dialer muito comum é o Trojan.Zonebac. O Zonebac é capaz de substituir todos os arquivos iniciados com o sistema com uma cópia de si mesmo. Ele cria uma pasta “bak” na mesma pasta de cada arquivo e insere ali o arquivo verdadeiro original do software que está sendo infectado.

Para remover o Zonebac é necessário remover o arquivo principal da infecção e substituir todos os demais arquivos dos programas iniciados pelo Windows pelas cópias inseridas dentro de pastas “bak”.

O número de dialers subiu apenas 0,3 ponto percentual e não resultou em mudanças na colocação da praga no ranking.
7. 2,4%: Wareout

Wareout é uma praga semelhante ao Smitfraud. Ele instala aplicativos de segurança que não funcionam de forma correta. Apesar do objetivo ser o mesmo (convencer o usuário a gastar dinheiro com um software que não funciona), o Wareout opera de modo diferente no sistema, portanto sua remoção é complicada. O anti-spyware Wareout hoje é pouco comum. Outras variantes mais novas como o UnSpyPC é que são responsáveis pelos casos atuais de Wareout.

O FixWareout é útil para remover infecções de Wareout.

No mês passado, o Wareout estava empatado com os dialers em 2,4%. O aumento dos dialers eliminou o desempate, mas não é uma diferença significativa.
8. 2,3%: Adware

Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

Com o aumento da pressão sob os adwares mais conhecidos, os adwares genéricos — que são instalados ilegalmente sem qualquer punição — se tornaram mais viáveis para donos de botnet que querem ganhar dinheiro instalando adwares nos computadores que infectam.

No mês passado, Adwares eram 1,8% das infecções e se encontravam uma posição abaixo. O aumentou de meio ponto percentual garantiu uma posição acima no ranking.
9. 2,2%: Smitfraud

Smitfraud é um conjunto de infecções que instala no computador afetado um anti-spyware fraudulento que tenta remover a própria infecção que o instalou. Em outras palavras, os criadores do Smitfraud vendem a solução para o problema que eles mesmos criaram. Esses anti-spywares são geralmente caros e ruins — muitas vezes detectam pragas que nem sequer existem no sistema e deixam passar casos reais de infecção.

A Linha Defensiva disponibiliza um tutorial para remover a versão SpyAxe do Smitfraud. O tutorial também serve para remover outras infecções mais novas do mesmo gênero. Se você está recebendo mensagens partindo da bandeja do relógio com o título “Your computer is infected”, tente seguir o tutorial do Smitfraud para resolver o problema.

Apesar do aumentou de 0,1 ponto percentual em relação ao mês passado, o Smitfraud não conseguiu segurar sua posição devido ao leve aumento dos adwares.
10. 1,5%: MyWebSearch

MyWebSearch/MyBar é um adware geralmente instalado por programas da FunWebProducts. O objetivo deles é direcionar tráfego para o portal MyWay.com (daí o seu nome). Tanto o portal MyWay como a Fun Web Products pertencem à IAC Search & Media, que também gerencia o portal de buscas Ask.com.

Os produtos da FunWebProducts são muito divulgados na web por meio de banners que prometem “novos emoticons” e cursores animados (que levam o internauta aos programas Smiley Central e Cursor Mania, respectivamente).

Apesar de não ser um software malicioso, muitos usuários não sabem que o MyWay foi instalado no PC por estes programas e, em alguns casos, estes programas podem causar problemas com o navegador, visto que são instalados como plug-ins.

Com 1,8% das infecções, o MyWay estava também na última colocação no mês passado.
Leia mais...

Morra, spyware, morra!

Publicado em Quinta - 30 de Agosto de 2007 | por Luiz Celso

Antes, os programas antivírus combatiam vírus e worms e os anti-spyware lutavam contra os spywares e adwares. Esta clara distinção há muito desapareceu.

A redução dos vírus de macro e de worms enviados por e-mail fizeram com que as empresas que criam as soluções se segurança voltassem sua atenção para outro tipo de embate; e a complexidades dos spywares os tornaram inimigos formidáveis.

Em uma análise recente das soluções antivírus, constatamos que muitos são eficazes na luta contra cavalos-de-tróia e programas backdoors, bem como no combate a adware.

Então surge uma questão: as ferramentas específicas contra spywares são eficazes contra as ameaças existentes atualmente?

Os combatentes
Para buscar uma resposta, verificamos seis conhecidos programas. Testamos cinco deles: AVG Anti-Spyware 7.5 (AVG); Windows Defender 1.1 (Microsoft); Spyware Doctor 5.0 (PC Tools); Spybot Search & Destroy (Safer Networking); e Spy Seeper 5.5 (Webroots), todos compatíveis com o Windows Vista.

O sexto programa, Ad-Aware 2007 Plus (Lavasoft), não estava disponível para o Vista quando este teste foi realizado. Por isso, testamos seu desempenho em um PC rodando Windows XP SP2, e os resultados não foram comparados diretamente com os obtidos com as demais aplicações.

A empresa de pesquisa alemã AV-Test.org conduziu a parte dos testes referentes a malware, bombardeando os aplicativos com amostras de spywares e adwares atuais.

O objetivo era verificar a capacidade dos aplicativos para reconhecer cerca de 110 mil amostras inativas de adwares, spyware e rootkits.

Uma amostra inativa é como uma aplicação que é baixada mas ainda não foi instalada. Tudo o que se procura é descobrir se o software anti-spyware é capaz de reconhecê-la – baseado em um banco de assinaturas de ameaças conhecidas – antes que a amostra seja desempacotada e ataque diversas áreas do PC.

O AV-Test também mediu a capacidade de cada solução em reconhecer o comportamento e, conseqüentemente remover, 20 spywares e adwares ativos.

Como cada um deles pode se dividir em mais de 100 componentes diferentes, o trabalho de desinfecção do sistema torna-se uma grande tarefa. Também verificamos como esses programas tratam arquivos grandes e mudanças no registro do Windows.

Verificamos ainda a capacidade das soluções em avaliar o comportamento das ameaças para detectar e bloquear alterações em áreas-chave de um sistema infectado sem que seja necessário identificar um invasor específico.
Os construtores de spywares lançam continuamente novas ameaças, e as empresas de segurança levam algum tempo para liberar assinaturas capazes de identificá-las. O objetivo é verificar como as soluções se compartam frente a essas ameaças de “dia zero”.

Também avaliamos o comportamento frente a ameaças falso-positivas e a rapidez com que esses utilitários trabalham, levando em conta, ainda, o projeto do software, o preço e a facilidade de uso.

Os resultados
O Spyware Doctor 5.0 foi o melhor dentre os competidores com o Vista, e recebe o nosso título de Best Buy. O AVG Anti-Spyware 7.5 e o Spy Sweeper 5.5 vieram logo atrás.

Nem o Spybot Search & Destroy nem o Windows Defender atuaram adequadamente na proteção contra as ameaças atuais. No ambiente do XP, em muitos aspectos, o Ad-Aware não impressionou.

Leia mais...

Trojan usa YouTube como isca para enganar internautas

Publicado em Terça - 28 de Agosto de 2007 | por Luiz Celso

Um alerta da consultoria de segurança da informação Websense chama a atenção para um trojan que utiliza o YouTube como isca para enganar internautas. Em geral, trojans, ou cavalos-de-tróia, são usados para roubar dados confidenciais do usuário.

O golpe, enviado por e-mail, tenta convencer internautas a clicarem em um link que, supostamente, levaria para um vídeo do YouTube. A URL, no entanto, é um IP Storm. Se o usuário estiver protegido, aparecerá uma mensagem solicitando que o código seja executado manualmente.

A armadilha chega às caixas de mensagem dos usuários ucom diversas versões de subjet (assunto) e mensagens. Para se proteger do golpe, o usuário não deve clicar no link.
Leia mais...

Trojan Storm ressurge e se espalha como spam que pede confirmação de cadastro

Publicado em Quarta - 22 de Agosto de 2007 | por Luiz Celso

O trojan Storm, que surgiu pela primeira vez em janeiro deste ano, se reinventou e, esta semana, apareceu como uma mensagem de confirmação do cadastro em um site.

A vida deste malware começou como um anexo em e-mails com notícias provocativas, depois se passando por notificações falsas de cartões online e até propagandas de fotografias pornográficas.

As campanhas anteriores duraram semanas, mas as últimas formas de spam relacionadas ao Storm estão mudando com velocidade muito maior. O sistema binário do Storm muda a cada 30 minutos.

Os mais recentes e-mails se passam por mensagens para confirmar a criação de uma conta que o usuário supostamente criou em um site. O spam varia os sites apresentados, como “CoolPics”, “Joke-A-Day” e “Web Players”, segundo o SANS Institute.

Os e-mails pedem que o usuário faça o login no site - cujo endereço é um número de IP - para mudar seus detalhes temporários de login.

O site envia códigos maliciosos ao sistema do usuário por meio de uma exploração no Winamp, além de pedir que o usuário faça o download do trojan, com o nome “applet.exe”.

Série Segurança Digital:
> Diário de um vítima online
> Entenda o que são worms e vírus e proteja-se
> Aprenda a identificar um phishing
> Descubra como ignorar os spams
> Feche a guarda aos cavalos-de-tróia
> Saiba como desmascarar os rootkits
> Proteja-se dos softwares espiões

De acordo com o SANS, as empresas que oferecem soluções de segurança estão atualizando seus programas para reconhecer e bloquear esta recente fraude do Storm.

Segundo Johannes Ullrich, do Internet Storm Center da SANS, a prevalência do Storm pode significar que o bombardeio atual de spams é uma “causa perdida”.
Leia mais...

Vírus levam usuários a trocar de PC

Publicado em Segunda - 13 de Agosto de 2007 | por Luiz Celso

As pragas virtuais atormentam os usuários de computador de tal forma que muita gente chega a trocar de máquina por conta do volume de infecções (e suas conseqüências no funcionamento do aparelho).

Segundo uma estimativa feita pela Consumer Reports, tendo como base uma pesquisa realizada com mais de 2 mil pessoas nos Estados Unidos, 1,8 milhão de usuários trocaram seus computadores nos últimos dois anos por conta da ação de vírus.

O levatamento Consumer Reports State of the Net 2007 foi realizado com 2.030 usuários domésticos nos Estados Unidos aponta que 34% dos respondentes teve suas máquinas infectadas por programas espiões só nos últimos seis meses. Além disso, estima que 3,7 milhões de PCs domésticos com banda larga não possuem firewall e que a chance de se tornar uma vítima de crimes de virtuais é de uma em quatro.
Leia mais...

Após infecção, malware deleta todas as canções em MP3 no PC da vítima

Publicado em Quinta - 02 de Agosto de 2007 | por Luiz Celso

W32.Deletemusic apaga todas as músicas do PC do usuário, o que, mesmo com seu baixo risco, pode trazer surpresas desagradáveis para vítima

Analistas de segurança descobriram um worm que pode ser o malware dos sonhos da indústria fonográfica: a praga descobre e deleta todos os MP3 dentro do PC infectado.

Empresas de segurança afirmam que o worm é de baixo risco, mesmo que sua incomum conseqüência possa surpreender os fãs de música. A motivação dos crackers que criaram o malware é incerta.

Os autores deste worm parecem ser mais adolescentes do que gangues criminosas que normalmente produzem os malwares atualmente para roubar dinheiro, afirma Graham Cluley, consultor sênior de tecnologia da consultoria Sophos.

Como tal, não é algo que perderíamos nosso sono por, mas existem algumas lições que podemos reiterar para minimizar as chances de infecção, afirmou ele.

O worm se espalha por pen drives, o que indica uma provável tentativa dos autores enganarem filtros de e-mails e gateways online que bloqueiam malwares, afirmou Cluley.

A Symantec, que chama o worm de W32.Deletemusic, afirma em alerta que o malware se copia em todos os drives do PC e também cria um arquivo autorun que é acionado sempre que alguém acessa o drive.

O worm afeta PCs rodando o sistema operacional Windows, segundo a Symantec, e usuários podem desabilitar a função autorun para que programas não sejam carregados automaticamente na inserção de CDs ou drives USB.
Leia mais...

EXPL_ANICMOO.GEN, o vírus mais ativo do mundo

Publicado em Quarta - 01 de Agosto de 2007 | por Luiz Celso

Com mais de 27 mil registros, o vírus EXPL_ANICMOO.GEN foi, pela quarta vez consecutiva, o campeão na lista das dez pragas que mais infectaram computadores em todo o mundo no mês de julho, segundo a Trend Micro, empresa de segurança de conteúdo e gerenciamento de ameaças.

Confira a lista geral:

1. EXPL_ANICMOO.GEN
2. JS_DLOADER.NUF
3. HTML_NETSKY.P
4. WORM_NETSKY.P
5. POSSIBLE_MLWR-5
6. WORM_NYXEM.E
7. POSSIBLE_INFOSTIL
8. PE_PARITE.A-O
9. POSSIBLE_NUCRP-3
10. ADW_AGENT.VJS

O EXPL_ANICMOO.GEN é uma ameaça web que atua por meio de um cursor especialmente habilitado e animado (.ANI), em formato de ícones, que se aproveita da vulnerabilidade na forma como o sistema operacional Windows utiliza seus arquivos. Essa vulnerabilidade é explorada pelo vírus TROJ_ANICMOO.AXA. Através dele o hacker poderá criar um arquivo para execução de um código malicioso quando o internauta acessa determinados sites e, consequentemente, poderá assumir totalmente o controle do sistema infectado.

Dados regionais

Na América do Sul, o vírus que aparece como o mais ativo de julho é o PE_PARITE.A-O e o Brasil foi o único país infectado. As 1.288 infecções ocorridas no continente são provenientes de computadores do Brasil, o que corresponde a 100% dos registros. Este vírus infecta o EXPLORER.EXE para se instalar na memória do computador, após esse processo, o PE_PARITE.A-0 começa a danificar todos os arquivos com extensão .EXE e SCR, prejudicando o funcionamento de aplicativos e de arquivos de compartilhamento . Confira o ranking da América do Sul:

1. PE_PARITE.A-O
2. SPYW_RASERV.A
3. WORM_NETSKY.X
4. PE_PARITE.A
5. HKTL_REMOTEANY.A
6. SPYWARE_KEYL_PERFE
7. WORM_RJUMP.A
8. WORM_NETSKY.AF
9. VBS_AUTORUN.A
10. BAT_AUTORUN.A
Leia mais...