Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Analyses’
11, junho, 2014

As senhas dos hackers são mais fortes do que as dos usuários comuns?

Os hackers utilizam senhas fracas como nós.

librarian_dict_smQuase duas mil de senhas utilizadas por hackers vazaram esta semana, quando Antonín Hýža da AVAST estava decodificando strings PHP sem saber a chave de criptografia. Por não saber o conteúdo exato do arquivo criptografado e procurar a chave poderia levar anos, Antonín escolheu uma abordagem diferente. Ele decidiu saber quão fortes eram as senhas utilizadas pelos hackers e criou um dicionário. :)

Ao longo dos anos lutando contra malwares, o Laboratório de Vírus do avast! coletou muitas amostras de vários back-doors, bots e shells. Alguns deles são protegidos por uma senha codificada em MD5, SHA1 ou em texto comum, e por aí ele começou. Ele estudou as 40.000 amostras de senhas de hackers e encontrou quase 2.000 que eram únicas e 1.255 delas eram textos simples. Outras 346 senhas foram facilmente quebradas a partir dos códigos MD5, porque eram menores do que 9 caracteres. Isto lhe deu um total de 1.601 senhas e 300 hashes. Ele estudou as estatísticas destas palavras e encontrou o seguinte:

1Senhas que ninguém irá imaginar
Porcentagem de caracteres utilizadas nas senhas dos hackers
Cerca de 10% das senhas estavam além da capacidade normal de adivinhação ou cracking. Dentro destas, Antonín descobriu palavras muito longas de até 75 caracteres, provavelmente geradas por um computador. Algumas delas em longas frases misturadas com caracteres especiais como, por exemplo, lol dont try cracking 12 char+. Fácil porém pois foi armazenada como texto simples. ;)

Também havia senhas que não utilizavam caracteres dos teclados em inglês. Mas ainda havia 90% de chances de ser uma palavra normal, talvez com algum número intercalado. Não menos do que 9% das senhas podiam ser encontradas em um dicionário de inglês.

A tabela ao lado mostra quais caracteres são utilizados nas senhas dos hackers. A primeira linha significa que 58% das senhas continham apenas caracteres alfabéticos minúsculos. Uma senha não foi incluída nesta tabela porque o seu hash era: d41d8cd98f00b204e9800998ecf8427e. É o hash de um string vazio.

2O comprimento médio das senhas dos hackers é de 6 caracteresSenhas e caracteres mais utilizados

A tabela ao lado mostra o tamanho das senhas dos hackers. O comprimento médio das senhas dos hackers é de 6 caracteres. Houve somente 53 senhas mais longas do que 12 caracteres.

Geralmente, há muitas variações de palavras, desde o campo da informática a palavras em inglês, incluindo nomes e frases inteiras, mas quase nenhuma continha letras maiúsculas. Algumas das senhas são criadas com palavras em inglês, mas utilizando leet speak. É uma forma de escrever onde números são utilizados para parecer letras, por exemplo, A parece-se com 4, I com 1. Utilizando o leet speak uma senha com letras “o, i, e, a, s, t” é substituída pelo seu equivalente 0, 1, 3, 4, 5, 7.

Na tabela abaixo, é mostrada a ocorrência de letras minúsculas nas senhas. A mais utilizada é a letra a, e as letras f, j, v, w, y, z são raramente utilizadas. Na sequência mais longa de letras minúsculas, aparecerem 38 q, o que supera o caractere maiúsculo S com 28 ocorrências. No conjunto dos caracteres especiais, a letra minúscula q é quase tão utilizada como o ponto (“.”), com 42 ocorrências.

A ocorrência de letras minúsculas nas senhas dos hackers

As letras maiúsculas e suas ocorrências são mostradas na próxima tabela. Todas elas são muito raramente utilizadas e, quando são, ou são a primeira letra da senha, ou uma palavra inteira é escrita em maiúsculas. Somente poucas senhas utilizavam uma verdadeira combinação de letras maiúsculas e minúsculas.

A ocorrência de letras maiúsculas nas senhas dos hackers

A próxima tabela mostra quais os caracteres especiais preferidos dos hackers e quanto eles os utilizam para melhorar as suas senhas. O primeiro caractere da tabela é um espaço e isto revelou uma coisa interessante: um ou cinco espaços pode ser uma senha muito inteligente, mas não muito segura, pois são testadas logo no início. Nem todos os caracteres especiais estão listados abaixo porque ,  =  ~  |  [  ] não foram utilizados nenhuma vez.

A ocorrência de caracteres especiais nas senhas dos hackersA última tabela mostra a ocorrência de números. Os números foram utilizados em quase 30% das senhas e por isso a tabela só mostra os maiores números. O mais utilizado é o número 1 com 356 ocorrências.

graph_0-9

No momento, você deve estar imaginando qual a senha favorita dos hackers. Há muitas variações das palavras pass e root e também hax foi utilizada muitas vezes, mas se omitirmos uma palavra muito comum de 4 letras, a senha mais frequentemente utilizada pelos hackers é hack. Vale a pena mencionar que em muitos casos havia apenas uma senha padrão como r57, c99, password ou yourpass.

Quando comparamos todas as descobertas dos gráficos acima, podemos dizer que a senha média dos hackers terá no máximo 6 caracteres, contém letras minúsculas e números e deriva de palavras em inglês. Não foi tão difícil quanto Antonín pensava, e a maioria das senhas dos hackers é ainda mais fraca que a da maioria das pessoas normais, como, por exemplo, as que você encontra neste artigo. Mas se eu topar com um hacker que utiliza uma senha realmente forte e se preocupa com segurança? Então precisaremos de um conjunto de caracteres especiais, mas pequeno o suficiente para que com força bruta levemos alguns dias (em vez de meses) para quebrar a senha.

3

Melhores conjuntos de caracteres das senhas dos hackers

Utilizando apenas as estatísticas anteriores, podemos construir dois caracteres que devem cobrir a maioria das senhas utilizadas. Quando o dicionário falha, há outras formas de prosseguir, sempre há a força bruta.

1) acdehiklmnorstu01234579!-.@_ (28 caracteres)

2) acdehiklmnorstubgpxyw0123456789!-.@_#$+*{espaço} (41 caracteres)

Não são tão pequenos quanto gostaríamos que fossem, mas isto não é o mais importante, pois cada vez que precisamos quebrar uma senha com força bruta, ela tinha apenas 6 ou 7 caracteres e isto foi feito muito rapidamente.

onebit_24Para os pesquisadores de malware interessados no dicionário descrito neste artigo, por favor, escrevam a Antonín Hýža a partir de um endereço de email confiável: hyza at avast dot com para receber a sua cópia gratuita.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Analyses, Virus Lab Tags: , ,
Comments off
15, maio, 2014

Ataques ransomware estão ocorrendo em massa via sites: cuidado!

O infográfico do Laboratório de Vírus do avast! mostra a proliferação dos ataques ransomware via navegadores nos últimos três meses.

AtençãoSaindo da página de alertaDurante o mês de dezembro, publicamos em nosso blog sobre os truques e as táticas dos ransomwares via navegadores. Os ransomwares de navegadores são malwares que atacam através de vários navegadores para impedir que as pessoas continuem a utilizar os seus PCs. Para obter acesso novamente, a vítima desses malwares têm que pagar um resgate para desbloquear o computador. A chave do sucesso deste ataque é a tradução em várias línguas, dando aos cibercriminosos acesso a um maior número de potenciais vítimas.

Hoje gostaríamos de voltar a informar sobre os ataques de ransomwares via navegadores e compartilhar com você alguns dados da avast! CommunityIQ.

Detectamos os ataques de ransomwares através de vários métodos diferentes. As detecções que acompanhamos foram criadas no dia 30 de janeiro de 2014. Foi realmente uma surpresa o alto impacto deste ataque aos usuários do avast!

  • Em pouco menos de 3 meses, o avast! protegeu mais de meio milhão de usuários diferentes em todo mundo dos ataques ransomwares.
  • Nas últimas 6 semanas, os usuários avast! visitaram sem saber mais de 18 milhões de vezes um site com ransomware.
  • Em apenas 24 horas, o avast! impediu o redirecionamento de sites infectados para outros que hospedavam ransomware para mais de 18.000 usuários diferentes.

O Laboratório de Vírus do avast! acompanha os ransomwares

Os cibercriminosos por trás dos ataques alteram constantemente os domínios onde se hospeda o malware. A cada 10 minutos aproximadamente, um novo domínio é criado e estes números estão crescendo lentamente. Os usuários são então redirecionados para um novo domínio.

Nos dias de hoje, os domínios maliciosos são hospedados em 117 IPs diferentes. Estes IPs estão distribuídos em todo o mundo, da Áustria ao Brasil ou Canadá. Estes são os endereços em Montreal (Canadá) e Denver (Colorado).

Ransomware via navegadores utilizam domínios maliciosos em 117 IPs.Este exemplo mostra os domínios hospedados em um IP.

Sites hospedados

Este mapa mostra a localização dos usuários que entraram em sites infectados nos últimos 5 dias. Os ransomwares via navegadores estão tendo um enorme impacto nos usuários do avast! na França, na maioria da América do Norte, em alguns países nórdicos e na Austrália.

Ransomware

Ao examinar os dados desde que a detecção foi criada vemos a enorme quantidade de usuários que visitam domínios infectados por ransomware na América do Norte, mas um número ainda maior de usuários da Polônia. Outros pontos críticos com números consideráveis estão na Itália, Canadá, alguns países da África, América do Sul e Rússia.

Ransomware

Os usuários do avast! Antivírus estão protegidos ao visitarem sites com ransomwares, mas não se esqueça de que cada computador pode ser vítima de uma nova tática destes criminosos. Neste caso, somente o bom senso poderá ajudar a proteger os seus dados, o seu dinheiro e o seu computador.

Versão francesa do ransomware via navegadores:
SHA256  a39ef2658b72bc0966a92f80329d276ea27344d7d62b9021475630d29397a7cb

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
9, março, 2014

Google Play: qual é a última ameaça da loja oficial do Android?

As lojas oficiais são a fonte básica para encontrar e baixar aplicativos. Usuários experientes recomendam que todos utilizem apenas as lojas oficiais, pois são ecossistemas fechados, reconhecidos como seguros. Mas estas fontes são realmente confiáveis? Alguns técnicos, contudo, dizem que “Malwares para Android não existem e as empresas de segurança simplesmente tentam nos assustar. Tranquilo e não se preocupe.” Portanto, qual é a verdade?

Nós já publicamos em nosso blog inúmeros alertas de ameaças aos nossos aparelhos que vem de fontes confiáveis, mas aqui está uma novidade: uma que ainda não foi detectada pelas outras empresas de segurança. Um aplicativo chamado Cámara Visión Nocturna (nome do pacote: com.loriapps.nightcamera.apk), que ainda estava disponível no Google Play quando o artigo (em inglês) deste blog estava sendo escrito. É algo que você não quereria ter no seu aparelho Android.

Blg1

A começar pelas permissões solicitadas pelo aplicativo, você deveria perceber que há algumas que não são usuais para um aplicativo que deveria utilizar apenas a sua câmera.

    <uses-permission android:name=”android.permission.CAMERA” />
    <uses-feature android:name=”android.hardware.camera” />
    <uses-feature android:name=”android.hardware.camera.autofocus” />
    <uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE” />
    <uses-permission android:name=”android.permission.RECORD_VIDEO” />
    <uses-permission android:name=”android.permission.RECORD_AUDIO” />
    <uses-permission android:name=”android.permission.RECEIVE_SMS” />
    <uses-permission android:name=”android.permission.WRITE_SMS” />
    <uses-permission android:name=”android.permission.READ_SMS” />
    <uses-permission android:name=”android.permission.GET_ACCOUNTS” />
    <uses-permission android:name=”android.permission.INTERNET” />

“GET_ACCOUNTS” ou “WRITE_SMS” é algo suspeito para um aplicativo de gravação de vídeo. Por isso, o nosso colega Chrysaidos Nikolaos, que recentemente começou a fazer parte do Laboratório de Vírus do avast! (bem vindo colega, estamos orgulhosos de tê-lo a bordo) e Filip Chytry decidiram pesquisar um pouco e obter mais informações. O aplicativo tenta
enviar números de telefone pelos aplicativos Whatsapp ou ChatOn, por exemplo, para atrelá-los a um serviço de mensagens premium.

5_gets the phone number from whatsapp etc

Depois de obter estes números de telefone, o aplicativo os envia ao servidor para registrá-los a uma lista de SMS premium.

Url

E apertem os cintos, lá vai: você terá de pagar aproximadamente 2€ (2,8 dólares)! Para o quê, você deve se estar perguntando. Para nada. É isso mesmo! É assim que todos nós queríamos ganhar dinheiro, não é? Fácil e rápido. :) Mas isto não é tudo, infelizmente. O aplicativo também é capaz de enviar mais destes SMS até atingir 36€ (50 dólares) por mês. Então você recebe um SMS do número “797080″, que deve adiar o envio de SMS premium. Mas não fique preocupado(a), o avast! detecta este malware como Android:FakeCam. Por isso, os usuários do avast! Mobile Security estão seguros.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
31, outubro, 2013

Cuidado com a maçã enfeitiçada

loginTodo mundo sabe a história da linda Branca de Neve. Uma rainha má dá a uma jovem uma maçã enfeitiçada. Pobre Branca de Neve. Tudo o que ela queria era uma mordida nesta maçã suculenta. Mas acho que esta mordida não a deixou muito feliz. De qualquer forma, ela aparentemente cometeu certos erros. Eu posso dizer alguns, por exemplo, se ela queria uma maçã, deveria ter buscado em uma macieira. Ou poderia ter dado a maçã para que alguém a provasse antes, como um bravo cavaleiro que sempre estaria a seu lado, protegendo-a a todo instante.

Sim, de fato, faz tempo desde que o famoso incidente da maçã aconteceu. Hoje em dia, uma adolescente não iria aceitar uma maçã de um estranho e dar-lhe imediatamente uma mordida. Ela iria pelo menos lavá-la primeiro! Se fosse suficientemente esperta, ela obteria mais informações sobre a maçã.

Com uma varinha mágica e efeitos especiais, vamos traduzir esta história para o mundo da segurança móvel.

Aplicativos envenenados (Poisoned APPles)

O conto de Branca de Neve se tornou realidade alguns dias atrás quando encontramos um falso aplicativo Apple iMessage para Android. Há muitos aplicativos para Apple iOS que não foram lançados em outras plataformas. Por exemplo, quando duas pessoas têm um iPhone, podem enviar mensagens gratuitas através do serviço de iMessage da Apple. A alternativa para Android seria provavelmente o Google Hangouts. O problema surge quando você quer enviar mensagens gratuitas do iOS para o Android. Sim, há o WhatsApp, o Viber e outros aplicativos semelhantes, mas não há maneira de enviar uma iMessage para um Android, nem um aplicativo iMessage para Android. Este problema parece chatear algumas pessoas e elas aguardam ansiosamente por uma solução. Sim, estamos falando sobre falsos aplicativos que tentam se passar por aplicativos da Apple para Android.

imsgNós descobrimos que um falso aplicativo iMessage em alguns sites para download junto com outros aplicativos Android. Ele também esteve na Google Play, mas o Google já o removeu. Quando você instala o aplicativo e o executa, ele o faz pensar que está com um iOS por que sua interface está pensada para isto. O aplicativo parece se comunicar com os servidores da Apple, mas não de uma forma direta. A comunicação passa através de outro servidor e aí está a pegadinha.

Você fornece o seu Apple ID a este aplicativo e ele o envia àquele servidor e, talvez, também à Apple. Suas mensagens são gerenciadas da mesma forma. Por isso, quando você pensa que você e seu amigo são os únicos que ouvem aquela conversa, saiba que está muito enganado. É óbvio que este aplicativo está tentando se passar por um legítimo aplicativo Apple, mas não há um acordo de licença com a Apple e, portanto, não é um aplicativo oficial e não se pode imaginar o que irá acontecer com o seu Apple ID.

gplayOutro aplicativo que encontramos é também chamado iMessage e está no Google Play. Quando você vê a sua página, você pensa que é algo da Apple, mas não é. Há imagens de iPhones e na descrição está dito que “o i.Message é completamente compatível com o iPhone 4! Retina Display e Multitasking também são suportadas”, o que é, obviamente, uma mentira. Este aplicativo não envia iMessages, simplesmente mostra as mensagens na tela. Este aplicativo provavelmente foi criado simplesmente para obter dinheiro das propagandas e claramente tira vantagens das pessoas que procuram por um verdadeiro aplicativo iMessage. Este aplicativo em particular não fará nenhum mal ao seu telefone, mas é enganoso. Outros aplicativos podem ser mais perigosos, por isso, tenha cuidado.

imsg2

Estes dois aplicativos são somente uma amostra das maçãs podres e falsas que estão por aí. Não faz muito tempo descobrimos que a mesma coisa estava acontecendo com o aplicativo Blackberry Messenger. Por isso, se você quiser saber se há uma versão para Android do seu aplicativo favorito para iOS ou Blackberry, verifique o site oficial do fabricante e não procure em páginas de terceiros e mercados obscuros que estão cheios de macieiras enfeitiçadas.

Mas assim como a inocente Branca de Neve escolheu a pessoa errada de quem aceitar uma maçã, às vezes, você procura a fonte errada de aplicativos Android. Sabemos disso e temos a solução para estes casos. O avast! Mobile Security está aqui para proteger você por onde quer que você vá. Imaginamos que Branca de Neve teria sido mais feliz se não tivesse que ficar dentro de uma caixa de vidro. Tudo o que ela precisa é um cavaleiro da terra do avast! a seu lado.

O avast! Mobile Security detecta estes falsos aplicativos com o nome de Android:Fapple-A [Trj]

SHA:

248513CA09C450D0709773AF089C28CB3D1EB613DA65D44152F6AC440E567664
72A682CBEC6D545BC275CDD331E001E2E6CA86E38C8B986852099A61605B40AF

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
18, junho, 2013

Android:Obad – malwares ficam mais inteligentes… O avast! também.

det

Se você teve o privilégio de topar com o Android:Obad, descrito previamente pelo laboratório Kaspersky como sendo o “mais sofisticado malware para Android”, você está agora em uma situação muito difícil e provavelmente este é o momento em que você deveria ter pensado: “Aprendi do jeito mais duro o que significa que é melhor estar seguro do que arrependido”. Alguns dias atrás nós identificamos uma nova variante desta ameaça. Há uma chance de você ter topado com estes caras antes que começássemos a detectá-lo, porque se as nossas definições de vírus genéricas não identificam o malware, sempre há um pequeno período de tempo antes de que consigamos detectá-lo. Na maioria dos casos isto não é um problema, pois é possível desinstalar o aplicativo malicioso. Desta vez, isto não funciona…

O problema que estamos enfrentando agora é chamado “Administrador do dispositivo“. Depois que você executou o aplicativo infectado com Android:Obad, você será perguntado se deseja tornar o aplicativo um “Administrador do dispositivo”, o que requer apenas mais alguns cliques e não é difícil de fazer. Depois disso, não há nenhum retorno porque este malware utiliza uma vulnerabilidade previamente desconhecida que o permite chegar às profundezas do sistema e até ocultar-se da lista de “Administradores do sistema”, único lugar onde poderíamos gerenciá-lo. Você não poderá desinstalá-lo a partir da aba de Aplicativos das Configurações porque todos os botões estarão desabilitados e não irão funcionar.

scr

Sorte sua: o avast! Mobile Security irá salvá-lo de ter de fazer uma reconfiguração de fábrica no aparelho, o que certamente seria uma das soluções. Mas não se preocupe, você está seguro conosco. Com a última atualização do avast! Mobile Security, garantimos que os mais poderosos Trojans como o Android:Obad serão bloqueados com chumbo grosso, se necessário. Portanto, quando você se deparar com malwares que utilizam as funções de “Administrador do dispositivo”, lembre-se que o avast! Mobile Security consegue limpá-lo. Primeiro, você verá o bom e velho aviso de que algum aplicativo é um malware (primeira figura) ou você verá o relatório do escaneamento que informará que alguns aplicativos são maliciosos.

screenX

Siga em frente e clique “Resolver todos” os problemas ou clique em algum deles especificamente e depois escolha “Desinstalar“. Depois, você verá uma janela com o título “Administrador do dispositivo” e será perguntado se deseja Desativar o “administrador do dispositivo” para o aplicativo malicioso que está tentando desinstalar.

screen2

Clique em “Desativar” e deixe que o avast! Mobile Security faça o resto, utilizando técnicas que irão envolver chumbo grosso no malware. Não se preocupe, a única coisa que irá morrer é o aplicativo malicioso, que realmente merece este fim.

screen3

A última coisa que precisa ser feita é clicar OK na próxima tela e outro OK depois que o aplicativo for desinstalado. Pronto, está tudo feito e você está seguro novamente.

Os hackers tentam cada dia criar malwares ainda mais daninhos e estão avançando, mas também nós estamos tornando a nossa proteção ainda mais poderosa. Acreditamos que o avast! Mobile Security é provavelmente o único aplicativo antimalware que consegue limpar o Android:Obad e outros malwares semelhantes. Portanto, como sempre, o mais importante aqui é que você deve utilizar somente o Google Play quando procurar por aplicativos.

Este é o veredito: É melhor estar seguro do que se arrepender.

Informação adicional:

Virustotal report for newly identified sample (9/47)

Virustotal report for previously discovered sample (16/46)

28, março, 2013

Malware em aparelhos móveis

Vários dias atrás nós recebemos uma reclamação sobre javascrpt.ru. Depois de pesquisar um pouco, nós descobrimos que o código tentava se passar por ajax.google.com e jquery, mas, na prática, era um pacote redirecionador criptografado.

Depois de remover duas camadas de ocultamento e criptografia, nós encontramos uma lista de condições e colocamos o nosso foco nos aparelhos móveis.

conditions

Tudo começa quando um usuário navega a partir do seu aparelho móvel visitando um site legítimo que foi alvo de hackers. Este site contém um link para o site do javascrpt.ru, para onde os dados do navegador do usuário são enviados. Se o script hospedado em javascrpt.ru reconhece o usuário como pertencente aos da lista de condições, o visitante é redirecionado para o site malicioso, geralmente hospedado legitimamente, mas que distribui arquivos maliciosos para os aparelhos móveis. Quando os usuários vão a este novo site, o download da infecção começa. Nós registramos comportamentos diferentes em distintos aparelhos.

Para aparelhos não-Android, um arquivo chamado load.php (2DECBD7C9D058A0BFC27AD446F8B474D99977A857B1403294C0D10078C2DB51D) é baixado, ainda que, na prática, seja um arquivo Java. Mas, como vocês podem ver, nossos usuários estão protegidos:

java

Mas a questão é o que realmente está acontecendo com os usuários desprotegidos.

Depois de executar este arquivo, o usuário espera que o aplicativo executado seja iniciado, mas, neste caso, uma lista de condições aparece. E a primeira linha é “Para ter acesso ao conteúdo, você deve concordar com os termos apresentados abaixo”. E quais são estes termos?

1. Para ter acesso ao conteúdo do serviço wa**y.ru/ é preciso efetuar o pagamento enviando 3 mensagens SMS.

2. Para ter uma informação completa dos preços, visite o site: www.mo****1.ru/ (No momento, este site não está no ar).

Tanto os aparelhos Android como os outros estão enviando SMS a números premium russos.

NUMBER = “7255″
NUMBER = “7151″
NUMBER = “9151″
NUMBER = “2855″

Depois de enviar os SMS, um simples aplicativo ICQ é baixado do mesmo site: *REMOVIDO*/land_paysites/files/icq.jar

Para mostrar melhor o que acontece quando este site é visitado em um aparelho Android, veja as próximas três figuras:

Primeiro, um arquivo chamado, por exemplo, browser.apk (94FDC9CFD801E79A45209BFDC30711CB393E39E6BF2DD43CE805318E80123C14) é baixado sem o consentimento do usuário.

Você pode ver na primeira janela de instalação que o aplicativo solicita acesso a serviços pagos suspeitos. Já nas permissões do aplicativo você pode encontrar itens suspeitos como acessar suas mensagens e também efetuar chamadas diretas a números de telefone pagos. Mas, felizmente, o avast! bloqueia o aplicativo antes que ele custe dinheiro para você.

browser2

Se um usuário instalar este aplicativo, o comportamento é muito similar ao encontrado nos aparelhos não-Android. O aparelho envia mensagens de texto pagas àqueles números e depois baixa e instala um navegador Dolphin básico do link h***t.ru/land_browsers/files/dolphin.apk

Os usuários devem estar realmente atentos caso encontrem algum aplicativo desconhecido em seus aparelhos móveis. Felizmente, todos podem ler o que o aplicativo solicita como permissão, mas, infelizmente, a maioria dos usuários não presta atenção às permissões solicitadas e isto pode custar muito dinheiro. Utilizar um bom antivírus pode ajudar a se manter protegido.

Comments off
25, março, 2013

Os legendários malwares bancários brasileiros

Alguns dos sistemas afetados

Queremos apresentar uma análise de longo prazo de um malware que foi projetado para roubar dados bancários dos maiores 25 bancos e sistemas de pagamento no Brazil. As funções únicas deste malware bancário incluem o uso de certificados digitais válidos, além de três anos de experiência no roubo de credenciais de páginas de administração de sistemas de pagamento online. Estas funções abrem as portas para os ladrões que podem então ter acesso aos sistemas e-commerce e roubar as informações sobre os clientes e seus pagamentos.

Esta família de malwares combina todo este poder e serve como uma ferramenta multifuncional para o roubo de recursos e dados pessoais sigilosos com uma eficiência apavorante.
Baixe aqui o artigo completo (em inglês) no formato PDF.

Comments off
14, fevereiro, 2013

avast! Antivirus 2012 Trial? Não, apenas um scam

Eu não sei que tipo de curiosidade leva as pessoas para cantos obscuros da internet quando desejam obter uma nova versão de um programa antivírus. É algo irracional tentar encontrar um software de segurança em locais inseguros. Mas… acontece.

FP submission

Informe de falso positivo

Como você pode ver, o nome do arquivo é Avast_Antivirus_2012_Trial_Verion.exe, mas definitivamente não é um programa que lançado por nós. Aqui estão alguns fatos que valem a pena ser lembrados:

  • Nós não distribuímos novas versões através de portais alternativos/suspeitos. A melhor forma de baixar a versão mais recente é visitar www.avast.com
  • Nossos instaladores originais são assinados digitalmente com um certificado válido
  • Nossos instaladores tem o típico ícone com a letra “a”

O arquivo mencionado no informe de falso positivo acima não foi baixado de nenhuma fonte oficial. Ele não tem a assinatura digital e não possui ícone. De fato, é um perigoso vírus (bootkit dropper) – Sirefef/ZeroAccess – que ninguém deseja no seu computador.

Análise VirusTotal: https://www.virustotal.com/en-gb/file/990974a2a557796c8ad2a8fbd1cd59a1867a8557f7a5fe7fb9e508f52874ce3f/analysis/1360768918/

Categories: Analyses, Virus Lab Tags:
Comments off
6, fevereiro, 2013

O vírus Bicololo se espalha

Em outubro, nós escrevemos em nosso blog sobre um Cavalo-de-Tróia russo chamado Bicololo. Desde então, o malware continuou a se espalhar ainda mais em formas mutantes. Hoje em dia, o avast! protege milhões de PCs destas infecções.

Breve descrição

O Bicololo é caracterizado pelo seu exclusivo vetor de ataque, que permaneceu sempre o mesmo. O seu principal objetivo é injetar-se no arquivo etc/hosts da vítima e redirecionar o tráfego da internet da maioria dos sites das redes sociais utilizadas na Rússia para servidores falsos (phising). Os alvos mais frequentes são vk.com, odnoklassniki.ru e mail.ru. Uma vez que a vítima infectada digita estes endereços no navegador é apresentado um formulário de login falso. Como nenhum dos serviços atacados utiliza por padrão conexões seguras via HTTPS, não há uma forma simples para que o usuário saiba que está em perigo e informando a sua senha aos hackers.

Atualmente, o malware se espalha principalmente através de duas formas que sofreram drásticas mutações – e continuam sofrendo duas a quatro novas por semana – desde o nosso artigo prévio no blog. Isto pode ter sido causado pelo nosso esforço ativo de lutar com todas as nossas forças contra ele, forçando os autores a acrescentar uma alta randomização e remover do código do malware todas as rotinas desnecessárias.

Versões atuais

A versão “estável” mais comum vem através de um arquivo auto-extraível Cabinet. Uma vez executado, ele baixa quatro arquivos em uma estranha pasta chamada “Arquivos de programas” e se auto-executa. O primeiro arquivo baixado é um .bat obfuscado e aleatório que provoca a infecção do arquivo etc/hosts. Outros dois arquivos são scripts do Visual Basic. Um deles carrega um arquivo texto com um URL que efetua uma contagem e informa os autores da infecção. Desta maneira, os autores gerenciam suas atividades maliciosas. O outro script oculta o arquivo hosts infectado e cria um arquivo vazio etc/hOst onde o ‘O’ é uma letra cirílica. Esta forma de infecção permanece invisível se o Windows estiver em suas configurações padrão de não mostrar arquivos ocultos.

A segunda nova versão – que nós acreditamos ser ainda “experimental” – é um pouco mais avançada. Ela consiste em um arquivo auto-extraível .rar e baixa outro também em uma pasta chamada “Arquivos de programas”. Geralmente contém dois arquivos executáveis. Um deles costuma ser algum programa legítimo e gratuito disponível na internet. Por exemplo, na semana passada, nos encontramos o Filezilla FTP, o jogo Minecraft ou o ativador do Windows 8. O outro executável é compilado em Visual Basic e faz o trabalho sujo principal: infectar o arquivo hosts executando um arquivo .bat, ocultando-o e notificando o contador de infecções. Vale a pena notar que o arquivo .bat desta versão é ainda mais aleatório. Além disso, esta versão infecta o Registro do Windows e faz uma verificação na inicialização do sistema se o arquivo hosts continua no local.

obfuscated Bicololo BAT file

Arquivo .bat criptografado do Bicololo

Métodos de disseminação

As antigas versões se espalhavam através de download de sites hackeados, especialmente os que continham ferramentas WordPress ou Joomla!. Os links para baixar parecem-se com estes:

http://***estylehostel.ru/media/file/index.php?q=%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1+windows+8&zip=1

http://***enn.ru/blogs/file/?q=%FE%E0%F0+%F1%EB%E0%E9%E4%FB+%F0%E5%F4%E5%F0%E0%F2%2D55479%2D55479&zip=1

http://srv16499.***nkddns.com/download.php?q=asku_na_telefon_ldzhi.zip

A chave de busca pode conter o nome codificado do URL do arquivo infectado bem como comandos simples para a infecção. Desta forma, a aparência final do vírus depende do URL e também das diferentes versões que podem ser baixadas a partir de um único arquivo gerador, o que torna a detecção mais difícil.

A coisa mais interessante sobre esta nova versão é o uso de uma forma de disseminação muito efetiva. Ela utitliza também sites hackeados, mas de uma forma diferente. Se um simples endereço URL for utilizado para disseminar o vírus, ele poderia ser facilmente bloqueado. O problema aparece quando há muitos deles. Os desenvolvedores de malware descobriram este ponto fraco e utilizam a seu favor. Eles modificam o site padrão de erro HTTP 404 (Não encontrado) para enviar o vírus. Isto dá a eles um número virtualmente infinito de possíveis URL para baixar o vírus! Tudo o que eles precisam fazer é postar alguns links quebrados. Aqui estão alguns exemplos de sites infectados.

http://***smeigh.com
http://***sgrisparlour.com

Resta uma questão a ser respondida. O que atrai os usuários a estes URLs infectados? O que nós percebemos é que os autores destes malwares apresentam os URLs como sendo links para baixar jogos, cracks e keygens em diferentes sites sociais e forums. Nós também detectamos o vírus sendo enviado como anexo a emails e também em serviços de compartilhamento de arquivos. A seguir estão algumas capturas de tela que mostram os links de download do vírus em um vídeo do YouTube sobre a rede social russa.

youtube

Proteção do avast!

Esta família de malware russo sofre mutação e se espalha rapidamente. Não há nenhum indício de que esta tendência mude. Para proteger o seu sistema contra o Bicololo, nós recomendamos que você use a versão mais atualizada do avast! com a Autosandbox habilitada, uma vez que ela detecta mesmo as mais novas variantes do Bicololo.

Categories: Analyses, Lab Tags:
Comments off
18, outubro, 2012

Windows XP é infectado duas vezes mais que o Windows 7

No primeiro semestre de 2012, a Microsoft teve de remover o dobro malwares de computadores com Windows XP do que dos que rodam Windows 7 ou Vista. Esta foi a conclusão do Microsoft Security Intelligence Report.

Um por cento dos escaneamentos em Windows XP da Ferramenta de Remoção de Software Mal-intencionado descobre uma infecção. Este valor cai para 0,5% nas últimas versões do Windows.

Ainda que a Ferramenta de Remoção de Software Mal-intencionado não detecte todos os tipos de malware, concentra-se naqueles mais espalhados pelo mundo. A infecção mais comum é com Win32/Keygen, muito utilizada em keygens (geradores de chaves ilegais de ativação de programas).

O Brazil é o segundo país com mais detecções, perdendo apenas para os Estados Unidos. As infecções mais comuns são o TrojanDownloader:Win32/Banload e a família de cavalos-de-tróia Win32/Bancos. Ambas capturam senhas bancárias e as enviam por email ou através da internet, geralmente tentando desativar os softwares de segurança (antivírus e firewall) do usuário.

A família Adware:JS/Pornpop também é bastante comum. Trata-se de scripts Java que mostram propagandas popup. As primeiras versões eram exclusivas de sites pornográficos, depois se estendeu a outros.

Comments off