Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo de fevereiro, 2013
6, fevereiro, 2013

O vírus Bicololo se espalha

Em outubro, nós escrevemos em nosso blog sobre um Cavalo-de-Tróia russo chamado Bicololo. Desde então, o malware continuou a se espalhar ainda mais em formas mutantes. Hoje em dia, o avast! protege milhões de PCs destas infecções.

Breve descrição

O Bicololo é caracterizado pelo seu exclusivo vetor de ataque, que permaneceu sempre o mesmo. O seu principal objetivo é injetar-se no arquivo etc/hosts da vítima e redirecionar o tráfego da internet da maioria dos sites das redes sociais utilizadas na Rússia para servidores falsos (phising). Os alvos mais frequentes são vk.com, odnoklassniki.ru e mail.ru. Uma vez que a vítima infectada digita estes endereços no navegador é apresentado um formulário de login falso. Como nenhum dos serviços atacados utiliza por padrão conexões seguras via HTTPS, não há uma forma simples para que o usuário saiba que está em perigo e informando a sua senha aos hackers.

Atualmente, o malware se espalha principalmente através de duas formas que sofreram drásticas mutações – e continuam sofrendo duas a quatro novas por semana – desde o nosso artigo prévio no blog. Isto pode ter sido causado pelo nosso esforço ativo de lutar com todas as nossas forças contra ele, forçando os autores a acrescentar uma alta randomização e remover do código do malware todas as rotinas desnecessárias.

Versões atuais

A versão “estável” mais comum vem através de um arquivo auto-extraível Cabinet. Uma vez executado, ele baixa quatro arquivos em uma estranha pasta chamada “Arquivos de programas” e se auto-executa. O primeiro arquivo baixado é um .bat obfuscado e aleatório que provoca a infecção do arquivo etc/hosts. Outros dois arquivos são scripts do Visual Basic. Um deles carrega um arquivo texto com um URL que efetua uma contagem e informa os autores da infecção. Desta maneira, os autores gerenciam suas atividades maliciosas. O outro script oculta o arquivo hosts infectado e cria um arquivo vazio etc/hOst onde o ‘O’ é uma letra cirílica. Esta forma de infecção permanece invisível se o Windows estiver em suas configurações padrão de não mostrar arquivos ocultos.

A segunda nova versão – que nós acreditamos ser ainda “experimental” – é um pouco mais avançada. Ela consiste em um arquivo auto-extraível .rar e baixa outro também em uma pasta chamada “Arquivos de programas”. Geralmente contém dois arquivos executáveis. Um deles costuma ser algum programa legítimo e gratuito disponível na internet. Por exemplo, na semana passada, nos encontramos o Filezilla FTP, o jogo Minecraft ou o ativador do Windows 8. O outro executável é compilado em Visual Basic e faz o trabalho sujo principal: infectar o arquivo hosts executando um arquivo .bat, ocultando-o e notificando o contador de infecções. Vale a pena notar que o arquivo .bat desta versão é ainda mais aleatório. Além disso, esta versão infecta o Registro do Windows e faz uma verificação na inicialização do sistema se o arquivo hosts continua no local.

obfuscated Bicololo BAT file

Arquivo .bat criptografado do Bicololo

Métodos de disseminação

As antigas versões se espalhavam através de download de sites hackeados, especialmente os que continham ferramentas WordPress ou Joomla!. Os links para baixar parecem-se com estes:

http://***estylehostel.ru/media/file/index.php?q=%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1+windows+8&zip=1

http://***enn.ru/blogs/file/?q=%FE%E0%F0+%F1%EB%E0%E9%E4%FB+%F0%E5%F4%E5%F0%E0%F2%2D55479%2D55479&zip=1

http://srv16499.***nkddns.com/download.php?q=asku_na_telefon_ldzhi.zip

A chave de busca pode conter o nome codificado do URL do arquivo infectado bem como comandos simples para a infecção. Desta forma, a aparência final do vírus depende do URL e também das diferentes versões que podem ser baixadas a partir de um único arquivo gerador, o que torna a detecção mais difícil.

A coisa mais interessante sobre esta nova versão é o uso de uma forma de disseminação muito efetiva. Ela utitliza também sites hackeados, mas de uma forma diferente. Se um simples endereço URL for utilizado para disseminar o vírus, ele poderia ser facilmente bloqueado. O problema aparece quando há muitos deles. Os desenvolvedores de malware descobriram este ponto fraco e utilizam a seu favor. Eles modificam o site padrão de erro HTTP 404 (Não encontrado) para enviar o vírus. Isto dá a eles um número virtualmente infinito de possíveis URL para baixar o vírus! Tudo o que eles precisam fazer é postar alguns links quebrados. Aqui estão alguns exemplos de sites infectados.

http://***smeigh.com
http://***sgrisparlour.com

Resta uma questão a ser respondida. O que atrai os usuários a estes URLs infectados? O que nós percebemos é que os autores destes malwares apresentam os URLs como sendo links para baixar jogos, cracks e keygens em diferentes sites sociais e forums. Nós também detectamos o vírus sendo enviado como anexo a emails e também em serviços de compartilhamento de arquivos. A seguir estão algumas capturas de tela que mostram os links de download do vírus em um vídeo do YouTube sobre a rede social russa.

youtube

Proteção do avast!

Esta família de malware russo sofre mutação e se espalha rapidamente. Não há nenhum indício de que esta tendência mude. Para proteger o seu sistema contra o Bicololo, nós recomendamos que você use a versão mais atualizada do avast! com a Autosandbox habilitada, uma vez que ela detecta mesmo as mais novas variantes do Bicololo.

Categories: Analyses, Lab Tags:
Comments off
5, fevereiro, 2013

Ransomware: o vírus que exige resgate

O Ransomware é um tipo de malware (vírus) que exige um resgate. Normalmente, sequestra arquivos do usuário e os mantém criptografados até que, geralmente, o usuário execute uma compra e receba uma senha para abrir os arquivos. Na prática, mesmo pagando o “resgate”, não receberá senha nenhuma e terá de recorrer a métodos avançados para tentar recuperar os seus arquivos.

Reveton malwareA técnica de assustar os usuários não é nova. A família de malware chamada Reveton acusa o usuário de estar baixando conteúdo ilegal, pornografia infantil, etc. e ameaça com denúncias a menos que se efetue o pagamento. Caso contrário, o usuário pode ter o acesso ao seu computador completamente bloqueado.

O malware mostra em sua apresentação logotipos de órgãos oficiais de polícia e/ou vigilância na internet no mundo inteiro.

Recomenda-se sempre manter o antivírus atualizado e, no caso do avast! Antivírus manter a Autosandbox habilitada, pois a maioria destes malwares sofre mutações e são detectados por análise heurística e de comportamento.

Categories: Não categorizado Tags:
Comments off
3, fevereiro, 2013

Sua casa está atualizada?

A digitalização de nossas casas continua a crescer e com ela também o número das vulnerabilidades que os nossos aparelhos domésticos podem sofrer. Nós estamos rodeados por muitos minicomputadores especializados (que nós geralmente não consideramos computadores) que estão sujeitos aos mesmos problemas dos desktops e laptops. Mas, devido a uma barreira psicológica, nós somos incapazes de ver as coisas assim. Quase ninguém pensa na sua TV como um computador e o mesmo ocorre com os telefones, mas há equipamentos ainda menores, quase invisíveis como os discos inteligentes (NAS) e os roteadores, que nada mais são do que “computadores sem teclado”. Já foi publicado no passado que é possível hackear/explorar/alterar tais dispositivos, pois há vulnerabilidades nas impressoras, telefones de mesa, TVs Samsung, etc. Todos estes aparelhos contém bugs que, quando explorados pelos fabricantes de malware, podem executar códigos que se ajustam às necessidades malignas deles.

Antes de iniciarmos com a descrição de uma nova vulnerabilidade encontrada, por favor, preencha este questionário, sério, siga-o antes de ler o restante do blog!

Questionário SurveyMonkey.

Ok, obrigado. Os pontos de acesso do tipo modem via cabo, roteadores e WiFi são típicos exemplos de computadores invisíveis. A configuração de uma rede não é algo fácil de fazer, por isso, os fabricantes buscam várias tecnologias para facilitar a vida das pessoas, mas isto também traz simplificações e permite que as pessoas simplesmente “liguem o aparelho”, testem se ele funciona e pronto. Se tal aparelho recebe dados em uma interface padrão, os hackers podem efetuar login com uma senha também padrão (por que os usuários simplesmente conectam o aparelho, sem alterar a senha padrão) e, então, podem fazer o que quiserem com o aparelho. Inclusive de forma automática.

Da mesma forma, tais aparelhos podem ser explorados remotamente, há um caso conhecido no Brasil onde milhões de roteadores ADSL são vulneráveis porque o hardware contém um bug que permite aos hackers alterar a sua configuração, redirecionar o tráfego da rede para os seus servidores e instalar programas nas máquinas dos usuários e fazer tudo parecer como se estivisse vindo de fontes legítimas como o Google ou o Facebook.

Esta semana, um estudo da companhia de segurança Rapid7 mostrou uma nova vulnerabilidade, ou melhor, um conjunto de vulnerabilidades. Os bugs estão ocultos em uma biblioteca chamada libupnp da Intel, que muitos fabricantes de roteadores utilizam sem nenhum outro teste de segurança. O arquivo permite o uso do protocolo de rede Universal Plug and Play (UPnP), uma tecnologia que permite que aparelhos de rede encontrem outros aparelhos na mesma rede e, novamente, simplificando a tarefa de configurar uma rede.

Portanto, como este arquivo vulnerável está presente em milhões de aparelhos em todo o mundo, especialmente em roteadores, e o protocolo utilizado está normalmente habilitado, há uma alta probabilidade de que o seu aparelho também possa ser alvo de ataques.

Você pode verificar o seu aparelho com as ferramentas disponibilizadas pela Rapid7: desde o ScanNow da rede interna até o Router Security Check da rede externa.

E como sugerem as perguntas do nosso teste:

  • Quando foi a última vez que você verificou as atualizações existentes para os seus aparelhos “tipo computador”, especialmente aqueles que se conectam à internet?
  • Você desligou tudo o que não precisa (e, geralmente, se você não sabe se precisa de algo, você provavelmente não precisa)?
  • Você alterou as senhas de todos os dispositivos? (e eu estou dizendo trocar por senhas reais e não admin/admin)

Você nunca deveria pensar que é um alvo pouco interessante para um hacker, já que é muito fácil que um deles encontre um dispositivo seu, abuse dele, e então faça o que quiser com o tráfego da sua rede.

Categories: Technology Tags:
Comments off
2, fevereiro, 2013

avast! Mobile Security fez um usuário feliz!

Celebrar! avast! Mobile Security made an user happy!A gente fica extremamente feliz e gratificado quando o nosso trabalho ajuda os demais. Há alguns dias, o avast! Mobile Security fez um usuário feliz. Antonio Fagner Ramos perdeu o seu celular e conseguiu recuperá-lo. Trabalhando no suporte a um software de segurança, nós enfrentamos problemas continuamente: ataques de vírus, informações pessoais roubadas, perda de dados e prejuízos financeiros. Com a tecnologia móvel tomando conta dos nossos dias, perder o celular é uma dor de cabeça: dados pessoais, tempo, dinheiro, cancelar o plano de telefonia, alterar as senhas gravadas no navegador… Quando nos deparamos com uma história de sucesso, isto é tudo o que nos faz feliz e dá sentido ao nosso trabalho.

Vamos passar a palavra ao nosso herói Antonio.

1. Fagner, como você entrou em contato com o avast! antivírus pela primeira vez?

Desde cedo no mundo da informática, sempre gostei de computadores e, enfim, utilizei várias ferramentas de proteção e segurança, antivírus gratuitos aos montes e sempre tive problemas. No entanto, encontrei o avast! em um site de downloads diversos, desses bem conhecidos e respeitados… Instalei o avast! Free Antivírus em meu desktop e a primeira coisa que me atraiu foi a interface e a voz daquela senhora dizendo que o meu avast! foi atualizado… De lá para cá nunca mais tive problemas com vírus, spyware e afins, todas as vezes que formato o meu computador prontamente instalo o avast!.

2. Você poderia nos contar como foi a experiência de perder o seu telefone?

Deprimente… Tinha adquirido o meu aparelho há dois meses, um LG Optimus. Como todo bom brasileiro dividi em suaves prestações a perder de vista. Utilizava-o não só para fazer ligações, mas dependia dele para muitas coisas. Meu trabalho exige GPS e conexão remota, pois trabalho na rua o tempo todo, dando suporte. Por isso fiquei muito deprimido… Tinha me dado o aparelho de presente, e não sou daqueles que adquirem algo para si com facilidade, penso mais na familia.

3. E depois, como você conseguiu recuperar o seu aparelho?

Na noite em que perdi o aparelho acessei o portal do avast! com o meu login e senha para ter acesso aos dados do celular, principalmente a localização pelo GPS. No primeiro momento, senti a frustração de o celular não responder a nenhum comando. Achei que tinha feito alguma configuração errada e fiquei cético quanto à recuperação… Foi depois de duas semanas que recebi a mensagem do aplicativo avast! Mobile Security com o número do chip SIM que foi substituído no celular, junto com as coordenadas GPS. Então reuni os dados, o boletim de ocorrência e outras evidências que pudessem me ajudar a ter o meu aparelho de volta. Resolvi ligar para o bendito número. Ele atendeu. Lidamos educadamente um com o outro. Expliquei que o celular estava sendo rastreado e para evitar maiores problemas sugeria que ele devolvesse o aparelho. Depois nos encontramos em um local público e ele me devolveu.

4. Onde você procura por suporte do avast!: forum, Facebook, FAQ…

Na verdade, por seu um usuário avançado e tentar estar sempre bem informado, até o momento não precisei de auxílio com o avast! O aplicativo é intuitivo e não tenho muitas dificuldades. Acredito que, se um dia eu precisar, vou estar bem acompanhado pela equipe do avast! onde quer que for…

5. Como você descreveria o teu dia perfeito?

Bem… um dia perfeito… Para quem rala o ano todo buscando felicidade, saúde e prosperidade, estar ao lado da minha esposa e minha filha é um dia perfeito para mim… Portanto, na minha vida, não há apenas um dia perfeito… São vários!

Participe desta história feliz você também. Baixe o avast! Mobile Security nos seus aparelhos Android.

Categories: Android corner, General Tags:
Comments off
1, fevereiro, 2013

Foi lançado o avast! 8 beta

Estamos exultantes em informar que a versão 8 beta do avast! foi lançada (8.0.1476). De cara você vai notar a nova interface. Nós aguardamos o seu feedback em nosso fórum.

Uma nova ferramenta é o Software Updater que ajudará você a manter os seus aplicativos atualizados e, por isso, menos susceptíveis a falhas e infecções.

Uma nova linha de produtos chamada Premier inclui novas funções: Data Shredder para apagamento completo de arquivos, discos e partições; Software Updater no modo automático; AccessAnywhere para conexão remota com o seu computador em qualquer lugar onde você esteja.

Todas as edições do avast! incluem agora uma ferramenta de limpeza do navegador (o Browser Cleanup): uma ferramenta independente para livrar-se de barras de ferramentas intrusivas.

Tudo isto somado a grandes melhoramentos em nossos FileRep e WebRep que identificam a reputação e a confiabilidade de arquivos e sites em tempo real. E, como é lógico, contando com os nossos Streaming Updates, atualizações ultra-rápidas das definições de vírus.

No momento, infelizmente, a versão beta não da suporte ao Windows 8. Mas em breve será plenamente compatível. Fique ligado.

Queremos ouvir as suas opiniões e sugestões. Por favor, utilize o nosso novo site de feedback. Clique em ‘Login’, depois ‘Single Sign-On’ e, se você já estiver logado em nosso fórum, entrará automaticamente ou então, basta fornecer seus dados (login/senha).

Para baixar as versões beta:

avast! Free Antivirus
avast! Pro Antivirus
avast! Internet Security
avast! Premier Antivirus

Problemas conhecidos nesta versão:

  • Ainda não é compatível com Windows 8
  • Eu ainda não terminei a tradução para o Português (Brasil) :) ou seja, há pendências de tradução exceto na língua inglesa
  • A detecção de perfil automático no firewall não funciona no Windows 7
  • Ainda não é mostrado um popup informativo no computador cliente controlado pelo avast! AccessAnywhere
  • A lista dos computadores mostra sistemas offline e também os que não têm o AccessAnywhere ativado
  • A janela do módulo de auto-proteção aparece quando a versão beta é reinstalada sobre outras versões
  • Depois do registro via Facebook, o instalador pode falhar e torna-se necessário reiniciar o computador
  • Durante o período de testes, a interface não é corretamente atualizada
  • O Data Shredder não apaga arquivos e partições (bug na interface)
  • Pode haver problemas de estabilidade com os plugins do Outlook
  • A interface pode travar em algumas situações ao se conectar com a conta do avast!
  • Alguns conteúdos online podem não encaixar na interface ou não estão traduzidos

É possível instalar esta versão sobre a sua pré-existente do avast! (todas as configurações serão preservadas).

Categories: Não categorizado Tags:
Comments off