Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Virus Lab’
27, janeiro, 2013

Programa de premiação por bug de segurança encontrado no avast!

Olá fãs do avast!

No Bugs

É um prazer anunciar oficialmente o novo programa de premiação por bugs do avast!. Sendo uma companhia de segurança, nós sabemos que os bugs de segurança existem. Mas nós também sabemos que as companhias que são capazes de utilizar suas comunidades para descobrir e solucionar bugs têm geralmente mais sucesso do que aquelas que não conseguem este trunfo. Por isso, nós decidimos recompensar as pessoas que nos ajudarem a encontrar e solucionar bugs relacionados com a segurança do nosso próprio software. Isto provavelmente nos torna a primeira companhia de segurança com um programa desta natureza. Eu penso que na maioria dos casos as outras companhias adotam a seguinte posição: “Olha, nós somos uma companhia que oferece segurança. Portanto, nós sabemos o que é segurança e isto não vai acontecer conosco“. Mas, na realidade, não é isto o que está acontecendo. Olhe para os sites de rastreio de bugs ou as bases de dados CVE e você verá que o software de segurança não é mais imune a estes problemas do que qualquer outro programa. Um pouco irônico, já que, antes de mais nada, as pessoas instalam programas de segurança para combater os problemas de segurança, não é verdade?

Nós do avast! tomamos isto muito a sério. Nós sabemos que sendo um líder do mercado (o avast! tem mais usuários do que qualquer outra companhia de antivírus do mundo), nós somos um alvo muito atrativo. Portanto, aqui vai a nossa convocação: vamos nos unir, encontrar e solucionar estes bugs antes que os produtores de malware o façam!

O programa funcionará assim:

  • O programa de bonificação está pensado somente para bugs relacionados com a segurança. Desculpe, nós não estamos pagando por outro tipo de problemas como bugs na interface, tradução, etc. (ainda que, se você encontrar este tipo de bug, naturalmente nós agradecemos muito que você nos informe a respeito).
  • Em geral, nós somente estamos interessados nos seguintes tipos de bugs (em ordem de importância):
    • Execução de código remoto. Estes são os bugs mais críticos.
    • Obtenção de privilégios locais. Isto é, utilizar o avast! para obter direitos administrativos em uma conta não-administrativa.
    • Denial-of-service (DoS). No caso do avast!, seriam típicas BSODs ou falhas no processo avastSvc.exe.
    • Fugas da Sandbox do avast! (através de bugs no nosso código).
    • Alguma forma de bypassar o escâner. Isto inclui bypasses diretos e claros (isto é, cenários que levem a uma infecção direta, com nenhuma intervenção adicional do usuário), em oposição a outras deficências como o motor de descompactação, etc. Em outras palavras, nós apenas estamos interessados nos casos que não podem ser mitigados pela adição de uma definição de vírus (por favor, não informe malware não detectado).
    • Outros bugs com sérias implicações de segurança (que serão considerados caso a caso).
  • O pagamento mínimo é de 200 dólares por bug. Dependendo do grau de criticidade do bug (e da clareza como for encontrado) a recompensa poderá ser muito maior (cada bug será julgado independentemente por um comitê de experts). Bugs de execução de código remoto renderão de 3.000 a 5.000 dólares ou mais.
  • Nós podemos alterar estas faixas de acordo com o número e a qualidade das relatórios que recebermos. De maneira geral, quanto menos relatórios nós recebermos, maior será a recompensa.
  • Nós somente pagaremos por bugs no próprio avast!. Por exemplo, se você encontrar um bug em uma biblioteca da Microsoft (mesmo que ela seja utilizada pelo avast!), por favor, informe à Microsoft (ainda que seria legal que você também nos informasse, mas, infelizmente, nós não podemos oferecer nenhuma recompensa nestes casos).
  • O programa está atualmente limitado às versões do avast! de clientes Windows (isto é, avast! Free Antivírus, avast! Pro Antivírus e avast! Internet Security). Somente bugs das últimas versões lançadas destes produtos serão considerados.
  • O pagamento será feito preferivelmente através do PayPal. Se você não puder aceitar o PayPal (por exemplo, porque ele não funciona no seu país), por favor, entre em contato conosco e nós tentaremos pensar em outra solução.
  • Devido à certas restrições legais, nós não podemos aceitar relatórios vindos dos seguintes países: Irã, Síria, Cuba, Coréia do Norte e Sudão.
  • Cabe ao pesquisador a responsabilidade de pagar quaisquer taxas ou outros impostos do seu próprio país de residência.
  • Para ser candidato à recompensa, o bug deve ser original e não ter sido descoberto previamente.
  • Se dois ou mais pesquisadores encontrarem o mesmo bug, a recompensa somente será paga ao que informar primeiro.
  • Você não pode tornar público o bug até que for lançada uma versão atualizada do avast! que o resolva. Caso contrário, a recompensa não será paga.
  • A recompensa somente será paga depois que corrigirmos o problema (ou, em casos específicos, que nós decidamos não o corrigir).
  • Alguns bugs podem levar mais tempo para serem corrigidos. Nós faremos nosso melhor esforço para corrigir qualquer bug crítico assim que possível. Mas agradecemos a sua paciência.
  • Os empregados da AVAST e seus parentes próximos (irmãos, filhos ou esposa) e parceiros de negócios da AVAST, agências, distribuidores e seus empregados estão excluídos deste programa.
  • Nós nos reservamos o direito de alterar as regras do programa ou de cancelá-lo a qualquer momento.

Como informar um bug e candidatar-se à recompensa:

  • Por favor, envie as informações do bug para bugs@avast.com.
  • Se você quiser criptografar o seu email (recomendado), por favor, utilize esta chave PGP.
  • Um bom relatório de bug deve conter informações suficientes para reproduzi-lo em nossos laboratórios. Por favor, inclua todas as informações que possam ser relevantes, os dados exatos do seu sistema, uma descrição detalhada do bug, exemplos de código (se for o caso), etc. Ele também precisa conter certa análise pertinente: este é um programa pensado para pesquisadores de segurança e desenvolvedores de software e nós esperamos certo nível de qualidade nestes relatórios.
  • Você receberá uma resposta de um membro do avast! confirmando o recebimento do seu email, geralmente em 24 horas. Se você não receber uma resposta, por favor, não pense que nós o estamos ignorando, pois estamos fazendo o possível para dar seguimento ao processo com urgência. Também neste caso, é possível que o seu email não tenha passado através do nosso filtro de spam.

Por fim, eu gostaria de agradecer a todos os que ajudarem a encontrar e corrigir bugs em nossos produtos. Torcemos para que este novo programa de recompensas valorize este tipo de iniciativas.

Feliz caça aos bugs!

Categories: Não categorizado, Technology, Virus Lab Tags:
Comments off
8, dezembro, 2012

O novo brinquedo do Laboratório de Pesquisa do avast!

O Laboratório de Pesquisa do avast! é onde alguns dos mais brilhantes gênios do avast! criam novas formas de detectar malware. Elas podem ser funções dentro do produto (como o FileRep e a AutoSandbox, incluindo todos os seus recentes desenvolvimentos) assim como componentes que estão do nosso lado da empresa, isto é, coisas que os usuários não necessariamente vêem, mas que são igualmente importantes para a qualidade do produto final.

De fato, nos dias que correm, cada vez dedicamos mais tempo aos temas de infraestrutura, pois cada vez mais a inteligência do avast! se move para as nuvens e/ou é distribuída em tempo real através da tecnologia das atualizações streaming.

Os motores de classificação do avast! utilizam várias técnicas, mas as duas mais importantes às quais nossa equipe trabalha arduamente são as que chamamos de Malware Similarity Search e Evo-Gen.

A Malware Similarity Search é uma importante função que nos permite quase instantaneamente categorizar uma grande quantidade de amostras que nos chegam. Ou seja, para cada arquivo, é possível dizer se se parece a outro infectado já conhecido (ou a um conjunto de malwares) ou se, por outro lado, é semelhante a um arquivo limpo (ou a um conjunto deles). Isto pode parecer um problema fácil de resolver, mas, na prática, é bastante difícil. Naturalmente, o segredo está em como você define os padrões (já que estamos falando de semelhança) e o que você leva em conta quando analisa um arquivo. No avast!, nós consideramos tanto as propriedades estáticas do arquivo quanto o resultado de uma análise dinâmica (em outras palavras, as informações coletadas durante a execução do arquivo).

Agora, naturalmente, uma tecnologia como está é muito valiosa, pois nos permite tomar rápidas decisões sobre arquivos que nós nunca vimos antes. Por exemço, se um arquivo é muito semelhante a um conjunto de amostras infectadas conhecidas e, ao mesmo tempo, não é semelhante a nenhum dos arquivos limpos, nós o classificamos imediatamente como malware. Acredite ou não, nós estamos vendo milhares de arquivos como este todos os dias.

A segunda tecnologia que mencionei, Evo-Gen, é parecida, mas um pouco mais engenhosa. Trata-se de encontrar o mais próximo possível uma descrição curta e genérica de grandes conjuntos de amostras de malware. Se você tomar uma amostra de 1.000.000 de malwares (e 1.000.000 de arquivos limpos) e der ao algoritmo a seguinte tarefa: encontre as menores descrições possíveis para o maior número de amostras do conjunto, sem descrever nenhum dos arquivos limpos. Evo-Gen é um algoritmo genético que nós desenvolvemos exclusivamente para isto. Ele geralmente encontra alguns gens reais para nós, por exemplo, uma descrição de um aparente conjunto aleatório de dezenas de milhares de arquivos infectados escolhidos ao acaso do conjunto dos vírus que conhecemos. Qual o tamanho da descrição? 8 bytes.

Agora, se você pensar um pouco sobre isto, você irá descobrir que ambos os algoritmos têm algo em comum. Quero dizer, para ambos é preciso ter um acesso superrápido ao nosso gigantesco conjunto de arquivos limpos e de malwares. Esqueça se for um acesso sequencial (ou que envolva qualquer processamento destes arquivos um por um). Mesmo a leitura destas amostras a partir dos discos levaria horas.

Por isso, nosso time desenvolveu outra grande peça tecnológica que nós chamamos de MDE. É basicamente um banco de dados carregado na memória que trabalha sobre estes dados indexados e que permite um altíssimo acesso paralelo.

Tradicionalmente, nós rodamos estas coisas em um hardware de servidor clássico. Para a maioria do trabalho, nós utilizamos servidores Dell padrão baseados em CPUs Intel Xeon. Contudo, o desempenho nunca foi tão alto e nós sempre pensamos que deveríamos fazer algo melhor.

One of the Intel CPU-based racks used by the Avast virus lab.

Um dos racks com CPU Intel utilizados pelo Laboratório de Vírus do avast!.


A quebra de paradigma veio quando nós começamos a fazer experiências com as GPUs. Para os iniciantes, as modernas GPUs (tanto da NVidia quando da AMD) não estão limitadas a processadores gráficos ou para jogos. O bom delas é que podem ser massivamente paralelizadas: enquanto as atuais CPUs Intel podem conter 6, 8 ou talvez 10 núcleos, as GPUs para jogos podem conter centenas de núcleos. Verdade que cada um deles não é tão poderoso, mas se você soltar o seu potencial com alguns bons algoritmos de paralelização, o desempenho final é maluco!

Por isso, com o MDE, nós agora estamos no processo de transição para uma plantação de “supercomputadores” baseados em GPUs. O ambiente que nós estamos agora testando se parece com este:

GPU Power

Como você pode ver, não é um servidor montado em racks, mas uma estação de trabalho. Uma infernal estação de trabalho diria eu. Com um Intel i7 E3820 4C 3,6GHz e 32 GB DDR3 RAM, que não é um mau começo, mas o legal nesta caixinha são as quatro placas gráficas GPU da NVidia, cada uma com 3 GB de RAM e conectadas uma à outra e com resfriamento externo por água. O monstro é alimentado por uma fonte de 1.500 W, mas caso seja preciso mais, nós podemos acrescentar mais uma.

Ainda que nós não colocamos estes sistemas na linha de produção, nós o faremos em breve. E eu estou seguro que funcionarão, permitindo que entreguemos a vocês, usuários, um produto ainda melhor. Você nunca sabe… Se isto se provar tão útil quando nós pensamos que será, nós acabaremos construindo um dia algo parecido com o Titã

(Enquanto isso, o meu trabalho é manter os jogadores longe da sala do servidor… :-)).

Comments off
18, outubro, 2012

Windows XP é infectado duas vezes mais que o Windows 7

No primeiro semestre de 2012, a Microsoft teve de remover o dobro malwares de computadores com Windows XP do que dos que rodam Windows 7 ou Vista. Esta foi a conclusão do Microsoft Security Intelligence Report.

Um por cento dos escaneamentos em Windows XP da Ferramenta de Remoção de Software Mal-intencionado descobre uma infecção. Este valor cai para 0,5% nas últimas versões do Windows.

Ainda que a Ferramenta de Remoção de Software Mal-intencionado não detecte todos os tipos de malware, concentra-se naqueles mais espalhados pelo mundo. A infecção mais comum é com Win32/Keygen, muito utilizada em keygens (geradores de chaves ilegais de ativação de programas).

O Brazil é o segundo país com mais detecções, perdendo apenas para os Estados Unidos. As infecções mais comuns são o TrojanDownloader:Win32/Banload e a família de cavalos-de-tróia Win32/Bancos. Ambas capturam senhas bancárias e as enviam por email ou através da internet, geralmente tentando desativar os softwares de segurança (antivírus e firewall) do usuário.

A família Adware:JS/Pornpop também é bastante comum. Trata-se de scripts Java que mostram propagandas popup. As primeiras versões eram exclusivas de sites pornográficos, depois se estendeu a outros.

Comments off
21, setembro, 2012

Se você utiliza o Microsoft Internet Explorer, você pode estar vulnerável – continuação

Enquanto nós estávamos pesquisando os sites utilizados pela nova ameaça do dia-0 do Microsoft Internet Explorer (IE), nós descobrimos que o novo ataque estava baseado em outro um pouco mais antigo em sites de companhias industriais.

Os sites legítimos que foram hackeados contém em suas páginas principais um iframe oculto.


A página July.html contém um código para carregar um arquivo flash, que por sua vez explora uma recente vulnerabilidade no objeto Matrix3D, permitindo explorar e executar silenciosamente um arquivo binário no computador do visitante do site. Em nossa análise, este ataque não possui um código CVE atribuído, nem ele foi relatado estar espalhado na rede (ITW). Ainda que ele tenha sido corrigido silenciosamente no APSB12-19 da Adobe, aproximadamente 40% de vocês, usuários do nosso avast!, ainda dispõem da versão 11.3.x instalada, que é vulnerável. Sem mencionar que outros 40% possuem uma versão ainda mais antiga. A correção foi lançada pela Adobe no dia 21 de agosto, e no dia 24 de agosto nós começamos a receber relatórios da nossa Comunidade IQ com essa vulnerabilidade, o que nos faz pensar que aqueles três dias foram suficientes para que os hackers decodificassem a atualização e descobrissem uma forma de explorar a vulnerabilidade. Nós também fomos alertados do código prova de conceito do dia 4 de agosto, que descrevia a mesma vulnerabilidade.

O executável ocultava em seu interior um arquivo flash com todos as ferramentas de acesso remoto (RATs). Uma delas era o PlugX, as outras eram provavelmente versões antigas do Poison Ivy. Estas ferramentas abriam o computador do visitante aos hackers, quem podiam então fazer livremente o que quisessem: roubar dados, senhas, etc. Todos eles estavam conectados a servidores remotos em serviços de hospedagem muito baratos nos Estados Unidos e no Reino Unido, utilizando domínios anônimos gratuitos (exceto um deles que estava registrado na China).

Mas, com o surgimento da nova vulnerabilidade, nós percebemos a mudança em um dos sites, que utiliza várias bibliotecas Javascript, incluindo a Thickbox.js. Ferramentas especiais mostraram-nos que havia algo suspeito no final do arquivo:

Trata-se do July.swf – ataque flash Matrix3d – que o avast! detecta tanto genérica como diretamente.

O applet.jar com o novo ataque JAVA CVE-2012-4681 e o loading.html com um novo ataque MSIE, que o avast! também detecta.

Com a combinação destes três ataques, os hackers cobriram muitíssimos usuários, pois existe uma grande probabilidade de que pelo menos uma das vulnerabilidades esteja presente no computador do usuário.

Entre os sites hackeados estão o de grandes companhias industriais. Uma vez que os seus sites não são visitados pelo público em geral, mas principalmente por outras pessoas de negócios, nós podemos especular que existe uma correlação com a gangue Nitro, que estava mandando emails para aquelas empresas com ferramentas de acesso remoto (RATs) ocultas, com o objeto de extrair dados dos seus alvos. Portanto, espionagem industrial parece ser o motivo destes ataques.

Aqui está uma visão geral dos sites que nós encontramos utilizando os ataques descritos:

Website Industry Date active Exploit Status
a***.com 120824-120827 Flash não resolvido
a***.com 120824-120905 Flash não resolvido
d***.com óleo de perfuração 120827-120829 Flash 404
c***.***.com.br óleo industrial 120827-120911 Flash site fora do ar
s***.***.com indústria química 120829- Flash ainda ativo
i***.org direitos dos trabalhadores 120829- Flash não resolvido
k***.com.au artigos esportivos 120830-120830 Flash 404
a***.com.au vendas 120905- Flash ainda ativo
d***.in informação militar 120906- Flash, Java, MSIE ainda ativo
g***.com informação aeroespacial 120906-120906 Flash 404
l***.de indústria de iluminação 120910- Flash ainda ativo
c***.com turbinas a gás 120918- MSIE ainda ativo

Ontem, nós decidimos entrar em contato com as companhias desta lista. Até agora, somente uma respondeu e removeu a ameaça, duas removeram a ameaça sem dizer nada e duas ainda mantêm o malware ativo. Nós também solicitamos às companhias que continuassem cooperando para detectar estas ameaças, avaliar o número de pessoas que baixaram os arquivos infectados e outras informações interessantes. Ainda que nós estamos um pouco céticos, nós continuamos seguindo o assunto.

Repetir não faz mal a ninguém, portanto: o avast! protege você contra esta ameaça. Como mostrado acima, nós fornecemos detecção em múltiplas camadas. No entanto, ainda é prudente atualizar os seus programas para a última versão disponível e, se possível, abandonar os programas que lhe trazem mais risco do que benefícios.

PS: Eu (Jindřich Kubec) escrevi que dois sites haviam removido a ameaça, mas isto é parcialmente verdadeiro. Talvez eles o fizeram, mas foram reinfectados ou eles não limparam o site corretamente e… foram reinfectados, mas o Thickbox.js mencionado acima foi atualizado pela segunda vez, agora apenas com o código da ameaça IE:

.

Sem ulteriores pesquisas e sem que os administradores dos sites fechem todas as portas, os criadores de malware ainda têm chance de fazer o que quiserem naqueles sites.

Comments off
21, setembro, 2012

Se você utiliza o Microsoft Internet Explorer, você pode estar vulnerável

No artigo de Eric Romang chamou-nos a atenção que uma nova vulnerabilidade dia-0 (uma brecha vastamente utilizada ativamente por cibercriminosos) explorava um bug no Microsoft Internet Explorer (IE) 7 e 8, e, com alguma cumplicidade do Java, poderia inclusive abusar do IE 9, como foi confirmado mais tarde pela Metasploit. No momento, ainda não há uma atualização de correção por parte da Microsoft. O que você pode fazer para se proteger?

A Microsoft lançou um relatório de segurança e um post em seu blog prometendo uma correção rápida nos próximos dias, e sugerindo que os usuários do IE baixassem e instalassem o EMET. Por outro lado, nós não encontramos recomendações de segurança além de desinstalar o Java ou desativando o Flash, ainda que isto tenha o seu mérito. Na verdade, se você puder, siga estas indicações porque isto só pode te beneficiar. O Firefox e o Chrome são navegadores mais modernos e mais seguros para o dia a dia. Há mais vozes que se levantam para defender esta mudança de navegadores – por exemplo, o Google anunciou que irá abandonar a compatibilidade com o IE8 em breve, e uma agência alemã de segurança cibernética também recomendou que os usuários partam para algo mais seguro.

Na mesma linha, um terço da nossa base de usuários ainda utiliza o IE e, destes, mais da metade deles está rodando uma versão vulnerável ou, todos eles, se considerarmos a vulnerabilidade do IE 9. No momento, o IE 10 ainda está em uma versão beta, mas não sofre desta vulnerabilidade.

Se você mantiver o seu avast! atualizado, nós protegemos você desta ameaça, e você pode navegar com segurança. Nós a detectamos como JS:Fload-A/B. Mas nós continuamos a recomendar que você considere a sua política de atualização, porque assim como você, um número assustador de pessoas continua vulnerável por escolher mal o seu navegador.

Investigando sites infectados por esta vulnerabilidade nós encontramos detalhes muito interessantes, fique ligado pois publicaremos outras coisas interessantes.

Categories: Virus Lab Tags:
Comments off