Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Virus Lab’
3, abril, 2014

Detecção de malware no Android. SecApk: um alerta aos desenvolvedores

O título deste artigo do blog tem algum significado misterioso? Não exatamente.

Nesta primeira parte sobre as detecções de malware no Android, vamos apresentar a Android:SecApk, uma detecção relacionada com o App Shield (Bangcle) e os aplicativos Android (.apk). Esta detecção abrange uma grande amostra de malwares e está em crescimento. Algumas amostras compactadas com o SecApk que já existiram ou ainda existem na loja Google Play e também em outras lojas podem ser vistas na tabela abaixo:

MD5

Nome – Informações

F1EF5B8C671B2146C2A2454ECF775E47

G锁屏冰雪奇缘之来自星星的你V1.0.apk

PUP: um aplicativo que promove um filme específico. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

Estado atual: removido do Google Play

10bd28d4f56aff83cb6d31b6db8fdbd2

Cut_the_bird.apk

PUP: um jogo que solicita permissões potencialmente indesejadas e pode levar à perda de dados pessoais.

05ffb6f34e40bb1cf8f9628e5647d5e3

aini1314langmanzhutisuoping_V2.5_mumayi_700e0.apk

PUP: um protetor de tela que solicita permissões não relacionadas à finalidade do aplicativo.

d6b40bbb79b54c09352a2e0824c0adba

3D职业乒乓球.apk

PUP: este aplicativo é um jogo de tênis. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

eefd2101e6a0b016e5a1e9859e9c443e

eefd2101e6a0b016e5a1e9859e9c443e.apk

\Malware: este aplicativo rouba dados pessoais e mensagens SMS do usuário.

O App Shield é um serviço online que, depois de receber um arquivo .apk que lhes foi enviado, o criptografam e adicionam algumas camadas de proteção. O procedimento de criptografar e proteger um arquivo .apk será discutido na segunda parte deste artigo.

Começando pelo processo de envio, um aplicativo limpo chamado AvstTest.apk foi enviado ao serviço. O arquivo .apk exportado foi renomeado para AvstTest[SecApk].apk. Além disso, o apktool e o dex2jar foram utilizados para decodificar as funções do .apk e converter os arquivos .dex em .jar.

Estrutura da pasta

A estrutura interna do arquivo convertido pode ser vista na figura acima. Aparecem as duas novas pastas: lib e assets. A pasta lib contém dois arquivos que são necessários pelas bibliotecas de compartilhamento na plataforma ARM.

3 armeabi folder

A pasta assets contém um arquivo jar criptografado chamado bangle_classes.jar. Este arquivo é uma versão criptografada do original classes.dex. Além disso, a pasta meta-data contém os arquivos necessários para a criptografia RSA.

4 assets folder

O arquivo manifest do Android também é alterado, mas somente para fazer o link com o novo arquivo dex. A classe com.secapk.wrapper.ApplicationWrapper será chamada sempre que o processo for iniciado.

6 manifest file

A estrutura interna do arquivo classes.dex também é alterada. No novo arquivo dex, podemos ver a nova classe ApplicationWrapper que é utilizada para carregar na memória a versão não-criptografada do arquivo classes.dex. A estrutura do arquivo dex original pode ser vista do lado direito da imagem abaixo.

1

A real preocupação deste artigo do nosso blog é que cada arquivo que utiliza esta proteção pode ser detectado como um PUP (Programa Potencialmente Indesejado). Muitos criadores de malware utilizam esta proteção para tornar indetectáveis as suas amostras maliciosas. Paralelamente, aplicativos legítimos utilizam a proteção para fugir da engenharia reversa, decompilação, injeção de código malicioso e outros usos ilegais.

É uma verdadeira terra de ninguém.

A empresa que criou esta proteção afirma que cada arquivo é verificado por várias definições de vírus. O problema é que os malwares dia-0 existem e alguns deles são realmente difíceis de detectar. No caso do malware protegido pelo SecApk penetrar no mercado oficial, será difícil de detectar. A escolha mais segura é detectar o compactador SecApk e informar o usuário que o aplicativo que ele está a ponto de executar é potencialmente indesejado (PUP).

A segunda parte deste artigo explicará em mais detalhes o processo que o compactador utiliza para carregar o código original na memória do sistema.

O avast! protege os usuários do Android

O avast! Free Mobile Security detecta e avisa ao usuário sobre estes aplicativos (maliciosos ou não) que são compactados com o SecApk e podem ser potencialmente perigosos. No momento, não há outro meio de proteger eficientemente os nossos usuários. Se você é um desenvolvedor, uma boa dia é repensar o uso deste tipo de protetores em seus aplicativos.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

9, março, 2014

Google Play: qual é a última ameaça da loja oficial do Android?

As lojas oficiais são a fonte básica para encontrar e baixar aplicativos. Usuários experientes recomendam que todos utilizem apenas as lojas oficiais, pois são ecossistemas fechados, reconhecidos como seguros. Mas estas fontes são realmente confiáveis? Alguns técnicos, contudo, dizem que “Malwares para Android não existem e as empresas de segurança simplesmente tentam nos assustar. Tranquilo e não se preocupe.” Portanto, qual é a verdade?

Nós já publicamos em nosso blog inúmeros alertas de ameaças aos nossos aparelhos que vem de fontes confiáveis, mas aqui está uma novidade: uma que ainda não foi detectada pelas outras empresas de segurança. Um aplicativo chamado Cámara Visión Nocturna (nome do pacote: com.loriapps.nightcamera.apk), que ainda estava disponível no Google Play quando o artigo (em inglês) deste blog estava sendo escrito. É algo que você não quereria ter no seu aparelho Android.

Blg1

A começar pelas permissões solicitadas pelo aplicativo, você deveria perceber que há algumas que não são usuais para um aplicativo que deveria utilizar apenas a sua câmera.

    <uses-permission android:name=”android.permission.CAMERA” />
    <uses-feature android:name=”android.hardware.camera” />
    <uses-feature android:name=”android.hardware.camera.autofocus” />
    <uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE” />
    <uses-permission android:name=”android.permission.RECORD_VIDEO” />
    <uses-permission android:name=”android.permission.RECORD_AUDIO” />
    <uses-permission android:name=”android.permission.RECEIVE_SMS” />
    <uses-permission android:name=”android.permission.WRITE_SMS” />
    <uses-permission android:name=”android.permission.READ_SMS” />
    <uses-permission android:name=”android.permission.GET_ACCOUNTS” />
    <uses-permission android:name=”android.permission.INTERNET” />

“GET_ACCOUNTS” ou “WRITE_SMS” é algo suspeito para um aplicativo de gravação de vídeo. Por isso, o nosso colega Chrysaidos Nikolaos, que recentemente começou a fazer parte do Laboratório de Vírus do avast! (bem vindo colega, estamos orgulhosos de tê-lo a bordo) e Filip Chytry decidiram pesquisar um pouco e obter mais informações. O aplicativo tenta
enviar números de telefone pelos aplicativos Whatsapp ou ChatOn, por exemplo, para atrelá-los a um serviço de mensagens premium.

5_gets the phone number from whatsapp etc

Depois de obter estes números de telefone, o aplicativo os envia ao servidor para registrá-los a uma lista de SMS premium.

Url

E apertem os cintos, lá vai: você terá de pagar aproximadamente 2€ (2,8 dólares)! Para o quê, você deve se estar perguntando. Para nada. É isso mesmo! É assim que todos nós queríamos ganhar dinheiro, não é? Fácil e rápido. :) Mas isto não é tudo, infelizmente. O aplicativo também é capaz de enviar mais destes SMS até atingir 36€ (50 dólares) por mês. Então você recebe um SMS do número “797080″, que deve adiar o envio de SMS premium. Mas não fique preocupado(a), o avast! detecta este malware como Android:FakeCam. Por isso, os usuários do avast! Mobile Security estão seguros.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
8, janeiro, 2014

Aplicativos para adultos atraem malware

No ano passado, Filip Chytry descobriu e nos alertou que um falso aplicativo avast! estava infectando smartphones. Ele estava oculto dentro de aplicativos para adultos e era bastante problemático. Aqui estão algumas informações sobre ele.

Se você procura por aplicativos para adultos, pode encontrar toneladas deles. Muitos destes aplicativos, especialmente aqueles oferecidos em lojas não-oficiais, estão infectados com malware. O mesmo cenário ocorre com bastante frequência: depois da instalação, quando você abre o aplicativo pela primeira vez, você se infecta e ele bloqueia o uso do seu telefone. O aplicativo cobra um resgate para desbloquear o seu aparelho. É o típico comportamento de um ransomware.

É fácil seguir as pistas

Você estava procurando por um aplicativo adulto e encontra algo chamado AVASTME.NOW. O que está acontecendo aqui?, você pensa. O fato de um aplicativo adulto ser chamado com o nome do antivírus mais popular do mundo devia ser a primeira pista de que algo está errado. Mas você instala o aplicativo, apesar do estranho nome para um aplicativo deste estilo. Felizmente, depois da instalação você vê um ícone no seu aparelho chamado Porn Hub e começa a se sentir satisfeito de que realmente conseguiu o que procurava. Vamos nos divertir!

icon

Mas o sentimento de satisfação não dura para sempre. Depois dos primeiros poucos cliques, o aplicativo anuncia que o seu telefone deve ser escaneado por vírus. Esta é a segunda grande pista de que algo devia estar errado. Aplicativos normais não escaneiam o seu aparelho em busca de vírus. Mas você não tem nenhuma chance, por isso, você segue adiante. É então que aparece a interface do falso avast! Mobile Security, quase idêntica ao original.

install 3

fakeAvast4install2

Leia mais…

Comments off
14, dezembro, 2013

Natal! Você deseja receber um malware de presente?

DHLspoof

O tempo do Natal está sempre conectado com a compra de presentes. Há muitas tarefas a serem feitas e muitas oportunidades de comprar um presente em uma loja online para poupar tempo. Quem é que não conhece alguém que compra seus presentes de Natal online?

Os criadores de malwares sabem disso e são muito espertos para tirar vantagem. Nossos sensores detectam muitos emails fraudulentos contendo detalhes da compra ou entrega todos os dias e, acreditem, eles têm muita coisa em comum. De fato, isto não é algo novo. Estes métodos são utilizados constantemente ao longo do ano, não é algo especialmente conectado com o tempo de Natal. No entanto, o Natal é a ocasião para que muitas pessoas possam ser enganadas. Vamos ver estas fraudes com mais detalhes.

Imagine que você é um cliente esperando pela entrega de um presente. Você está ansioso e verifica o seu email esperando pelos detalhes da ordem de compra. Provavelmente você está mais vulnerável nesta ocasião. Aí você recebe um email da DHL, o conhecido serviço de entregas, com uma informação dizendo que os detalhes do frete estão em anexo. Neste momento em que você relaxa a segurança, você clica no anexo do email. Ele é um arquivo zip contendo outro chamado DHL-parcel.exe. O estranho é que a extensão do arquivo parece ser um pdf por que tem o mesmo ícone. De fato, é um malware.

Cibercriminosos querem acabar com o seu Natal

Uma amostra que recebemos estes dias foi um email fingindo ter sido enviado pela Booking.com com uma invoice anexada. O nome do arquivo anexado é “Invoice 801490457278 PRINT pdf.zip” e surpreendentemente ele contém outro chamado “Invoice 801490457278 PRINT pdf.exe”.

O problema começa quando o usuário clica no anexo e executa o arquivo. Ele secretamente baixa e executa malwares através do comando %ALLUSERSPROFILE%\explorer.exe e permite a execução automática através da chave de registro HKLM\…\CurrentVersion\Run. A porta TCP 3232 é aberta e permite o acesso remoto ao computador infectado. Isto significa que o computar não está mais sobre o seu controle e que o hacker pode espionar você em segredo ou simplesmente pode instalar outros malwares para conseguir o seu dinheiro. Este não é um bom presente de Natal!

Nós também descobrimos alguns emails fraudulentos que se passavam como sendo do HSBC.com, Amazon.com, Amazon.co.uk, etc. como você pode ver na imagem abaixo.

Email scam subjects

Como eu me protejo?

Siga os seguintes conselhos para minimizar o risco de infecção.

1) Utilize um antivírus com as definições de vírus atualizadas (p.ex., o avast! 2014 :) )

2) Se você receber um email parecido com os mencionados acima, pergunte a você mesmo: “Eu comprei algo desta empresa?”

3) Se sim, não abra o anexo. A maioria dos serviços não envia emails com anexos, especialmente não em arquivos zip.

4) Nunca JAMAIS rode executáveis enviados por email.

SHA: C669E7E9E9A6FA4E321670E8237AEFDE73991425B8320C23F3A9F9FACA61B7C3

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
9, dezembro, 2013

Infecções via Facebook: você vai me curtir?

FB_meme“Quem não deseja ser curtido na sua página do Facebook?” Esta é a motivação de um código muito trivial para obter mais “curtir”, mas enquanto outros métodos geralmente se limitam a acrescentar conteúdo ou propaganda, este é mais simples… e muito mais sujo. Por que não mostrar um botão curtir diretamente sobre o seu mouse quando você navega em um site, torná-lo invisível e movê-lo junto com o seu mouse?

A única coisa que a vítima tem que fazer é clicar. Se elas estiveram logadas no Facebook, curtirão automaticamente a página do Facebook. E, naturalmente, não é apenas o número de curtições que está em jogo, mas cada curtir significa que a vítima irá receber todas as informações sobre esta página no seu feed de notícias (até que elas descurtam a página), e todos os seus amigos também verão que você curtiu a página.

FB_clickjack_Like_ButtonEste método é possível devido ao botão Curtir, um plugin social para o Facebook, desenvolvido pelo próprio Facebook. Ele é utilizado corretamente em muitos sites legítimos, mas quando combinado com o ocultamento CSS e a movimentação do JavaScript, a vítima não tem chance. Se você deseja saber como minimizar o impacto destas táticas ou quer mais detalhes técnicos, continue lendo.

No começo, um elemento envoltório (wrapper) é criado. Nele há um link (às vezes, um iframe) para o botão curtir do Facebook.

FB_clickjack_HTML

Quando você move o seu mouse sobre o elemento <div id=”wrapper”> (que é, na maioria dos casos, o <corpo> de um tag), uma função JavaScript anônima é iniciada, e ela altera move o elemento para baixo do seu mouse.

FB_clickjack_JS

O envoltório com o botão curtir é, como é lógico, tornado transparente por estas propriedades CSS, por isso ele fica invisível para você:

  • opacity: 0;
  • filter: alpha(opacity = 0);
  • -ms-filter: ‘progid:DXImageTransform.Microsoft.Alpha(Opacity=0)’;

Aqui está o que você vê em uma das amostras da infecção que está disseminada na internet:

FB_clickjack_orig

Estamos surpresos de ver que ela utiliza pouco obfuscamento, o código é muito legível e quase autoexplicativo: contém funções como ClickJackFBShow();. É provável que o código se torne mais obfuscado e mais e mais antivírus comecem a detectar este código malicioso no futuro.

É provável que esta técnica seja utilizada junto com outras de engenharia social. Os cibercriminosos podem postar links para kits infectados em feeds de notícias de outras pessoas e convencer as vítimas a clicar neles. Contudo, o que vemos atualmente é somente um grande grupo de adolescentes utilizando este código nos seus sites para chamar a atenção no Facebook.

Para se livrar destas propagandas indesejadas, abra o seu Facebook e clique no seu nome na parte superior direita, depois selecione “Registro de atividades”. FB_clickjack_Profile_PageEntão você poderá ver a sua atividade no Facebook. Se houver algo suspeito, algo que você não clicou realmente em curtir, simplesmente clique em Curtir (desfazer) e você não será mais incomodado.

O avast! detecta este comportamento malicioso como JS:Clickjack-*.

Amostras no Virustotal:

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Social Media, Virus Lab Tags:
Comments off
22, novembro, 2013

Três formas de o seu site ser hackeado

Esta pergunta que veio de um proprietário de um pequeno site com centenas ou milhares de visitantes por dia é, infelizmente, muito comum.

Um dia eu comecei a receber emails dos meus clientes reclamando que os seus antivírus alertaram que o meu site estava infectado e não os deixavam entrar. Deve ser algum engano porque eu não tenho um loja virtual. Só há um formulário de contato e informações aos clientes. É possível que alguém esteja atacando o meu negócio?

codeAA resposta é, na maioria dos casos, que “você se tornou parte de uma rede que envia automaticamente aos usuários um kit infectado” (ver explicação abaixo).

Por que os hackers atacam pequenos sites quando há alvos muito maiores?

Os pequenos sites têm uma frequência de atualizações muito menor e a possibilidade de que alguém encontre e corrija o código malicioso também é pequena, o que os torna atrativos aos hackers. Os hackers procuram por páginas não atualizadas que utilizam ferramentas de construção gratuitas porque podem atacá-las de forma rápida e fácil. Estas páginas são depois utilizadas para separar os usuários que possuem aplicativos vulneráveis nos seu computador daqueles que não podem ser atacados ou, simplesmente, para esconder a sua verdadeira identidade. Os hackers “fecham a porta” atrás de si “corrigindo” a vulnerabilidade que os permitiu entrar e, simultaneamente, criando outra passagem somente para eles, de forma que a página não aparece como suspeita quando for testada pelo computador.

Em geral, há três tipos comuns de ações de hackers que um administrador da página deve estar atento:

1. Deface, defacement ou pichações

Este tipo de ataque é reconhecido à primeira vista porque o site é alterado para mostrar uma mensagem dos hackers provando a sua capacidade e caçoando do administrador do site.
Geralmente é o ataque menos perigoso e, a menos que a sua página for excluída, você não terá nenhum prejuízo financeiro porque a motivação do ataque era apenas mostrar o baixo nível da segurança das suas páginas e ganhar credibilidade diante dos outros hackers. As pessoas que fazem estes ataques geralmente seguem a regra não aprenda a hackear, hackeie para aprender.

Por exemplo, há estruturas PHP que permitem que você escolha o método e o motivo da pichação e o publique online. A imagem abaixo mostra parte do PHP que envia estatísticas.

phpshellB

shellstatDe acordo com as estatísticas da Zone-H, houve 1,5 milhões de sites pichados em 2010 e a figura à direita mostra as razões dos ataques. Um milhão e meio parece um grande número, mas estes são apenas os ataques documentados e o número real pode ser muito maior.

Nos últimos anos, as pichações foram utilizadas para mostrar opiniões políticas ou éticas atacando sites com milhares de visitantes diários. Isto atrai a mídia e ganha toda a atenção possível. Mesmo companhias antivírus, como você pode ver no recente artigo sobre a tentativa de hackers contra o avast!.

2. Data Mining ou mineração de dados

O objetivo do ataque de mineração de dados é roubar dados pessoais dos usuários e suas credenciais armazenadas em vários serviços, geralmente de lojas online, fóruns e portais de jogos. Os dados roubados são vendidos, no melhor dos casos, para redes de propaganda ou, no pior dos casos, para fraudes bancárias. A mineração de dados é de difícil detecção porque ocorre rapidamente e o único rastro é um alto tráfego de dados saindo do sistema quando o banco de dados é baixado.

A técnica básica para evitar a perda de dados pessoais dos usuários é a criptografia. Se dados sensíveis como senhas, números de cartão de crédito e telefones são criptografados com códigos aleatórios e pelo menos 10 caracteres, o hacker terá de ter acesso diretamente ao código fonte para obter os códigos aleatórios e por isso a probabilidade de sucesso do ataque é menor.

Utilizando diferentes bancos de dados de usuário em cada loja ou fórum, força os usuários a criar muitas senhas fáceis de guardas ou utilizar a mesma senha todas as vezes. A solução para isto é utilizar um serviço de autenticação que forneça um nível de segurança e proteção dos dados dos usuários maior do que as soluções gratuitas. Mas nenhuma empresa está 100% protegida contra hackers: um dos maiores vazamentos de dados este ano foi na rede Adobe, onde 38 milhões de contas de usuários foram comprometidas. Ainda pior foi o fato de que alguns dos seus códigos fonte caíram nas mãos erradas. Outra grande invasão foi permitida por vulnerabilidades no servidor da ColdFusion que resultou em um roubo de dados da NW3C.

3. Exploit Kits e suas redes

Um Exploit Kit é um conjunto de testes de vulnerabilidade e possibilidades de hackear que são carregadas no navegador do usuário para executar códigos maliciosos sem o seu consentimento. Sites com código malicioso são chamados de “páginas de destino” e frequentemente estão localizados em serviços de host gratuitos. Para obter o tráfego dos usuários, os proprietários dos Exploit Kits criam redes a partir de pequenas páginas hackeadas, como a daquele usuário que nos fazia a pergunta por email. O objetivo é redirecionar o navegador sem serem detectados e, portanto, as páginas infectadas não mostram nenhum sinal de alteração. Eles verificam o navegador em segundo plano e enviam o usuário silenciosamente para a página de destino se a vulnerabilidade tiver sido explorada.

A imagem abaixo mostra um script de redirecionamento de uma recente campanha em servidores de propaganda.

redirector

O criador de uma rede infectada procura por sites com conhecidos problemas de segurança e quando ele obtém acesso ao FTP, vários modelos e aplicativos podem ser infectados para conseguir o redirecionamento.

As páginas que são partes de uma rede de Exploit Kits sofrem sérias consequências:

  • O ranking em mecanismos de busca cai rapidamente
  • Sites de reputação e de companhias de antivírus as colocam na lista negra
  • Os usuários sem proteção são infectados com malwares
  • Os usuários sem antivírus perdem a confiança no site

Para evitar a infecção de robôs automáticos, aqui estão algumas sugestões:

  • Atualize o seu CMS e plugins todas as vezes em que uma nova versão estiver disponível
  • Altere o nome padrão do administrador e escolha uma senha forte
  • Utilize o antivírus no computador onde você gerencia o site
  • Atualize os arquivos com o protocolo SFTP em vez do FTP

Amostras dos malwares utilizados neste artigo podem ser encontradas no Vírus Total sob os seguintes SHA256:

[php-shell] - 3fad3437e7684bae0381a963f0461f647766a13d28fd36201a85172c1d56da6c
[redirector] - d4d20acc0069d55e31a6f94baf83523057e0d0add09c1953e070b6e1aeb09102

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
19, novembro, 2013

O avast! consegue me proteger do vírus CryptoLocker?

howto2_ptPergunta da semana: eu li histórias assustadores sobre o CryptoLocker bloqueando computadores. Eu não tenho 200 dólares para pagar aos hackers pelos meus próprios arquivos. Como eu me protejo e evito ser atacado? O avast! me protege contra o CryptoLocker?

“O avast! Antivírus detecta todas as variantes conhecidas do CryptoLocker graças ao nosso processamento automatizado e à CommunityIQ”, disse Pavel Sramek, pesquisador e analista do Laboratório de Vírus do avast!. ”Há menos de uma dúzia de variantes. Não parece ser o caso de um malware de rápida mutação”.

CryptoLocker_PT

O que é CryptoLocker?

O CryptoLocker é um malware conhecido como “ransomware” que criptografa os arquivos do computador Windows da vítima. Isto inclui as fotos, vídeos e músicas, documentos, além de certos arquivos nas mídias de armazenamento local ou de rede. Um resgate, pago através de Bitcoin ou MoneyPak, é exigido como pagamento para receber uma chave que desbloqueia os arquivos criptografados. A vítima tem 72 horas para pagar cerca de 200 dólares. Depois deste prazo, o resgate sobe para mais de 2.200 dólares.

Como é a infecção pelo CryptoLocker?

O vírus CryptoLocker é frequentemente anexado a um arquivo executável disfarçado de PDF enviado por email e que também parece como se viesse oficialmente de um banco ou notificação de rastreamento de envios UPS ou FedEx. Quando alguém abre o email, é pedido para baixar um arquivo ZIP que contém o arquivo executável (EXE) que então dispara o vírus. Também há evidências que o CryptoLocker começou através de trojans bancários ZeuS ou Zbot e esteve circulando através das redes zumbis e instalando o CryptoLocker.

Como proteger o seu computador do CryptoLocker?

Os usuários do avast! deviam estar seguros contra a infecção durante o curto período de tempo em que o malware era novo e “não-detectado” desde que a AutoSandbox e a DeepScreen estivessem ativas. “A infecção é evitada graças a uma detecção dinâmica”, disse Sramek.

“Nós também acrescentamos automaticamente a proteção contra cada nova amostra que atingiu a nossa rede mundial de sensores”, disse said Jiri Sejtko, colega de Sramek no Laboratório de Vírus do avast!.

“Contra futuras ameaças como esta, ter um backup é sempre uma boa ideia: quem sabe quando um CryptoLocker 2.0 será lançado? Todas as soluções antivírus são reativas por sua própria natureza”, disse Sramek. “A criptografia utilizada é virtualmente indecifrável e a chance de recuperar os arquivos após a infecção é nula”.

O avast! Backup é um serviço de backup e recuperação online que permite que você escolha um conjunto de arquivos que deseja efetuar backup. Experimente gratuitamente o avast! Backup por 30 dias. Depois disso, você pode escolher uma licença de acordo com as suas necessidades de armazenamento.

Leia o alerta da US-CERT ou da NCA’s National Cyber Crime Unit para outros detalhes.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
31, outubro, 2013

Cuidado com a maçã enfeitiçada

loginTodo mundo sabe a história da linda Branca de Neve. Uma rainha má dá a uma jovem uma maçã enfeitiçada. Pobre Branca de Neve. Tudo o que ela queria era uma mordida nesta maçã suculenta. Mas acho que esta mordida não a deixou muito feliz. De qualquer forma, ela aparentemente cometeu certos erros. Eu posso dizer alguns, por exemplo, se ela queria uma maçã, deveria ter buscado em uma macieira. Ou poderia ter dado a maçã para que alguém a provasse antes, como um bravo cavaleiro que sempre estaria a seu lado, protegendo-a a todo instante.

Sim, de fato, faz tempo desde que o famoso incidente da maçã aconteceu. Hoje em dia, uma adolescente não iria aceitar uma maçã de um estranho e dar-lhe imediatamente uma mordida. Ela iria pelo menos lavá-la primeiro! Se fosse suficientemente esperta, ela obteria mais informações sobre a maçã.

Com uma varinha mágica e efeitos especiais, vamos traduzir esta história para o mundo da segurança móvel.

Aplicativos envenenados (Poisoned APPles)

O conto de Branca de Neve se tornou realidade alguns dias atrás quando encontramos um falso aplicativo Apple iMessage para Android. Há muitos aplicativos para Apple iOS que não foram lançados em outras plataformas. Por exemplo, quando duas pessoas têm um iPhone, podem enviar mensagens gratuitas através do serviço de iMessage da Apple. A alternativa para Android seria provavelmente o Google Hangouts. O problema surge quando você quer enviar mensagens gratuitas do iOS para o Android. Sim, há o WhatsApp, o Viber e outros aplicativos semelhantes, mas não há maneira de enviar uma iMessage para um Android, nem um aplicativo iMessage para Android. Este problema parece chatear algumas pessoas e elas aguardam ansiosamente por uma solução. Sim, estamos falando sobre falsos aplicativos que tentam se passar por aplicativos da Apple para Android.

imsgNós descobrimos que um falso aplicativo iMessage em alguns sites para download junto com outros aplicativos Android. Ele também esteve na Google Play, mas o Google já o removeu. Quando você instala o aplicativo e o executa, ele o faz pensar que está com um iOS por que sua interface está pensada para isto. O aplicativo parece se comunicar com os servidores da Apple, mas não de uma forma direta. A comunicação passa através de outro servidor e aí está a pegadinha.

Você fornece o seu Apple ID a este aplicativo e ele o envia àquele servidor e, talvez, também à Apple. Suas mensagens são gerenciadas da mesma forma. Por isso, quando você pensa que você e seu amigo são os únicos que ouvem aquela conversa, saiba que está muito enganado. É óbvio que este aplicativo está tentando se passar por um legítimo aplicativo Apple, mas não há um acordo de licença com a Apple e, portanto, não é um aplicativo oficial e não se pode imaginar o que irá acontecer com o seu Apple ID.

gplayOutro aplicativo que encontramos é também chamado iMessage e está no Google Play. Quando você vê a sua página, você pensa que é algo da Apple, mas não é. Há imagens de iPhones e na descrição está dito que “o i.Message é completamente compatível com o iPhone 4! Retina Display e Multitasking também são suportadas”, o que é, obviamente, uma mentira. Este aplicativo não envia iMessages, simplesmente mostra as mensagens na tela. Este aplicativo provavelmente foi criado simplesmente para obter dinheiro das propagandas e claramente tira vantagens das pessoas que procuram por um verdadeiro aplicativo iMessage. Este aplicativo em particular não fará nenhum mal ao seu telefone, mas é enganoso. Outros aplicativos podem ser mais perigosos, por isso, tenha cuidado.

imsg2

Estes dois aplicativos são somente uma amostra das maçãs podres e falsas que estão por aí. Não faz muito tempo descobrimos que a mesma coisa estava acontecendo com o aplicativo Blackberry Messenger. Por isso, se você quiser saber se há uma versão para Android do seu aplicativo favorito para iOS ou Blackberry, verifique o site oficial do fabricante e não procure em páginas de terceiros e mercados obscuros que estão cheios de macieiras enfeitiçadas.

Mas assim como a inocente Branca de Neve escolheu a pessoa errada de quem aceitar uma maçã, às vezes, você procura a fonte errada de aplicativos Android. Sabemos disso e temos a solução para estes casos. O avast! Mobile Security está aqui para proteger você por onde quer que você vá. Imaginamos que Branca de Neve teria sido mais feliz se não tivesse que ficar dentro de uma caixa de vidro. Tudo o que ela precisa é um cavaleiro da terra do avast! a seu lado.

O avast! Mobile Security detecta estes falsos aplicativos com o nome de Android:Fapple-A [Trj]

SHA:

248513CA09C450D0709773AF089C28CB3D1EB613DA65D44152F6AC440E567664
72A682CBEC6D545BC275CDD331E001E2E6CA86E38C8B986852099A61605B40AF

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
23, outubro, 2013

Falsos emails imitando o avast!

Amostras de malwares foram recebidas no laboratório de Vírus na semana passada que mostravam falsos emails que aparentavam ter sido enviados pelo avast! e se proliferaram rapidamente. Felizmente, o avast! detecta este malware como Win32:Malware[Gen] e foi bloqueado.

O assunto do email dizia: “Your Order details and Additional information” (Detalhes do seu pedido e outras informações). O corpo do email continha o texto padrão que é enviado quando uma pessoa compra uma licença do avast!. A mensagem incluía um número de pedido que não é autenticado pelo avast! e que não existe em nosso banco de dados.

O endereço do remetente do email era noreply@avast.com. Este é um email falso e não foi criado pelo avast! O email continha um anexo entitulado avast-Antivirus-Order-Details.zip. O anexo incluía um arquivo infectado com duas extensões *.PDF.EXE.

Os nossos sensores mundiais da CommunityIQ detectaram automaticamente e forneceram informações ao Laboratório de Vírus sobre aqueles arquivos suspeitos, permitido que a nova ameaça fosse imediatamente detectada e neutralizada. Na semana passada, o nosso Laboratório de Vírus já havia recebido mais de 12.500 amostras deste malware.

Evite este ataque baixando gratuitamente o novo avast! Antivírus 2014.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
17, setembro, 2013

Laboratório de vírus: trabalho em equipe

Muitos de vocês devem se perguntar como trabalha o pessoal do Laboratório de vírus. Quem são os caras sentados atrás dos computadores que analisam arquivos maliciosos. Nós vamos revelar alguns segredos do nosso Laboratório de vírus e quebrar alguns tabus:

1. O pessoal do Laboratório de vírus não trabalha em um laboratório :)

2. Os analistas de vírus são reais, pessoas legais, não robôs :)

3. Sim, também há meninas no time (ainda que estas fotos não provem este fato) :)

4. Eles gostam de se divertir e da vida social! :)

Abaixo está a prova de que eles realmente existem.

A primeira pessoa que descobrir em qual foto está o Diretor do Laboratório de vírus irá receber gratuitamente uma licença do avast! Premier por um ano! Por favor, responda nos comentários a este blog.

IMG_20130913_135645

IMG_20130913_140433

IMG_20130913_140546

IMG_20130913_140000

IMG_20130913_135744

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.