Português
English 
Français 
Deutsch 
Italiano 
日本語 
Русский 
Español 
Čeština 
polski 
Türkçe 
Ukrainian Arquivo
Malware em aparelhos móveis
Vários dias atrás nós recebemos uma reclamação sobre javascrpt.ru. Depois de pesquisar um pouco, nós descobrimos que o código tentava se passar por ajax.google.com e jquery, mas, na prática, era um pacote redirecionador criptografado.
Depois de remover duas camadas de ocultamento e criptografia, nós encontramos uma lista de condições e colocamos o nosso foco nos aparelhos móveis.
Tudo começa quando um usuário navega a partir do seu aparelho móvel visitando um site legítimo que foi alvo de hackers. Este site contém um link para o site do javascrpt.ru, para onde os dados do navegador do usuário são enviados. Se o script hospedado em javascrpt.ru reconhece o usuário como pertencente aos da lista de condições, o visitante é redirecionado para o site malicioso, geralmente hospedado legitimamente, mas que distribui arquivos maliciosos para os aparelhos móveis. Quando os usuários vão a este novo site, o download da infecção começa. Nós registramos comportamentos diferentes em distintos aparelhos.
Para aparelhos não-Android, um arquivo chamado load.php (2DECBD7C9D058A0BFC27AD446F8B474D99977A857B1403294C0D10078C2DB51D) é baixado, ainda que, na prática, seja um arquivo Java. Mas, como vocês podem ver, nossos usuários estão protegidos:
Mas a questão é o que realmente está acontecendo com os usuários desprotegidos.
Depois de executar este arquivo, o usuário espera que o aplicativo executado seja iniciado, mas, neste caso, uma lista de condições aparece. E a primeira linha é “Para ter acesso ao conteúdo, você deve concordar com os termos apresentados abaixo”. E quais são estes termos?
1. Para ter acesso ao conteúdo do serviço wa**y.ru/ é preciso efetuar o pagamento enviando 3 mensagens SMS.
2. Para ter uma informação completa dos preços, visite o site: www.mo****1.ru/ (No momento, este site não está no ar).
Tanto os aparelhos Android como os outros estão enviando SMS a números premium russos.
NUMBER = “7255″
NUMBER = “7151″
NUMBER = “9151″
NUMBER = “2855″
Depois de enviar os SMS, um simples aplicativo ICQ é baixado do mesmo site: *REMOVIDO*/land_paysites/files/icq.jar
Para mostrar melhor o que acontece quando este site é visitado em um aparelho Android, veja as próximas três figuras:
Primeiro, um arquivo chamado, por exemplo, browser.apk (94FDC9CFD801E79A45209BFDC30711CB393E39E6BF2DD43CE805318E80123C14) é baixado sem o consentimento do usuário.
Você pode ver na primeira janela de instalação que o aplicativo solicita acesso a serviços pagos suspeitos. Já nas permissões do aplicativo você pode encontrar itens suspeitos como acessar suas mensagens e também efetuar chamadas diretas a números de telefone pagos. Mas, felizmente, o avast! bloqueia o aplicativo antes que ele custe dinheiro para você.
Se um usuário instalar este aplicativo, o comportamento é muito similar ao encontrado nos aparelhos não-Android. O aparelho envia mensagens de texto pagas àqueles números e depois baixa e instala um navegador Dolphin básico do link h***t.ru/land_browsers/files/dolphin.apk
Os usuários devem estar realmente atentos caso encontrem algum aplicativo desconhecido em seus aparelhos móveis. Felizmente, todos podem ler o que o aplicativo solicita como permissão, mas, infelizmente, a maioria dos usuários não presta atenção às permissões solicitadas e isto pode custar muito dinheiro. Utilizar um bom antivírus pode ajudar a se manter protegido.
Os legendários malwares bancários brasileiros
Queremos apresentar uma análise de longo prazo de um malware que foi projetado para roubar dados bancários dos maiores 25 bancos e sistemas de pagamento no Brazil. As funções únicas deste malware bancário incluem o uso de certificados digitais válidos, além de três anos de experiência no roubo de credenciais de páginas de administração de sistemas de pagamento online. Estas funções abrem as portas para os ladrões que podem então ter acesso aos sistemas e-commerce e roubar as informações sobre os clientes e seus pagamentos.
Esta família de malwares combina todo este poder e serve como uma ferramenta multifuncional para o roubo de recursos e dados pessoais sigilosos com uma eficiência apavorante.
Baixe aqui o artigo completo (em inglês) no formato PDF.
avast! Antivirus 2012 Trial? Não, apenas um scam
Eu não sei que tipo de curiosidade leva as pessoas para cantos obscuros da internet quando desejam obter uma nova versão de um programa antivírus. É algo irracional tentar encontrar um software de segurança em locais inseguros. Mas… acontece.
Informe de falso positivo
Como você pode ver, o nome do arquivo é Avast_Antivirus_2012_Trial_Verion.exe, mas definitivamente não é um programa que lançado por nós. Aqui estão alguns fatos que valem a pena ser lembrados:
- Nós não distribuímos novas versões através de portais alternativos/suspeitos. A melhor forma de baixar a versão mais recente é visitar www.avast.com
- Nossos instaladores originais são assinados digitalmente com um certificado válido
- Nossos instaladores tem o típico ícone com a letra “a”
O arquivo mencionado no informe de falso positivo acima não foi baixado de nenhuma fonte oficial. Ele não tem a assinatura digital e não possui ícone. De fato, é um perigoso vírus (bootkit dropper) – Sirefef/ZeroAccess – que ninguém deseja no seu computador.
Análise VirusTotal: https://www.virustotal.com/en-gb/file/990974a2a557796c8ad2a8fbd1cd59a1867a8557f7a5fe7fb9e508f52874ce3f/analysis/1360768918/
O vírus Bicololo se espalha
Em outubro, nós escrevemos em nosso blog sobre um Cavalo-de-Tróia russo chamado Bicololo. Desde então, o malware continuou a se espalhar ainda mais em formas mutantes. Hoje em dia, o avast! protege milhões de PCs destas infecções.
Breve descrição
O Bicololo é caracterizado pelo seu exclusivo vetor de ataque, que permaneceu sempre o mesmo. O seu principal objetivo é injetar-se no arquivo etc/hosts da vítima e redirecionar o tráfego da internet da maioria dos sites das redes sociais utilizadas na Rússia para servidores falsos (phising). Os alvos mais frequentes são vk.com, odnoklassniki.ru e mail.ru. Uma vez que a vítima infectada digita estes endereços no navegador é apresentado um formulário de login falso. Como nenhum dos serviços atacados utiliza por padrão conexões seguras via HTTPS, não há uma forma simples para que o usuário saiba que está em perigo e informando a sua senha aos hackers.
Atualmente, o malware se espalha principalmente através de duas formas que sofreram drásticas mutações – e continuam sofrendo duas a quatro novas por semana – desde o nosso artigo prévio no blog. Isto pode ter sido causado pelo nosso esforço ativo de lutar com todas as nossas forças contra ele, forçando os autores a acrescentar uma alta randomização e remover do código do malware todas as rotinas desnecessárias.
Versões atuais
A versão “estável” mais comum vem através de um arquivo auto-extraível Cabinet. Uma vez executado, ele baixa quatro arquivos em uma estranha pasta chamada “Arquivos de programas” e se auto-executa. O primeiro arquivo baixado é um .bat obfuscado e aleatório que provoca a infecção do arquivo etc/hosts. Outros dois arquivos são scripts do Visual Basic. Um deles carrega um arquivo texto com um URL que efetua uma contagem e informa os autores da infecção. Desta maneira, os autores gerenciam suas atividades maliciosas. O outro script oculta o arquivo hosts infectado e cria um arquivo vazio etc/hOst onde o ‘O’ é uma letra cirílica. Esta forma de infecção permanece invisível se o Windows estiver em suas configurações padrão de não mostrar arquivos ocultos.
A segunda nova versão – que nós acreditamos ser ainda “experimental” – é um pouco mais avançada. Ela consiste em um arquivo auto-extraível .rar e baixa outro também em uma pasta chamada “Arquivos de programas”. Geralmente contém dois arquivos executáveis. Um deles costuma ser algum programa legítimo e gratuito disponível na internet. Por exemplo, na semana passada, nos encontramos o Filezilla FTP, o jogo Minecraft ou o ativador do Windows 8. O outro executável é compilado em Visual Basic e faz o trabalho sujo principal: infectar o arquivo hosts executando um arquivo .bat, ocultando-o e notificando o contador de infecções. Vale a pena notar que o arquivo .bat desta versão é ainda mais aleatório. Além disso, esta versão infecta o Registro do Windows e faz uma verificação na inicialização do sistema se o arquivo hosts continua no local.
Arquivo .bat criptografado do Bicololo
Métodos de disseminação
As antigas versões se espalhavam através de download de sites hackeados, especialmente os que continham ferramentas WordPress ou Joomla!. Os links para baixar parecem-se com estes:
http://***estylehostel.ru/media/file/index.php?q=%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1+windows+8&zip=1
http://***enn.ru/blogs/file/?q=%FE%E0%F0+%F1%EB%E0%E9%E4%FB+%F0%E5%F4%E5%F0%E0%F2%2D55479%2D55479&zip=1
http://srv16499.***nkddns.com/download.php?q=asku_na_telefon_ldzhi.zip
A chave de busca pode conter o nome codificado do URL do arquivo infectado bem como comandos simples para a infecção. Desta forma, a aparência final do vírus depende do URL e também das diferentes versões que podem ser baixadas a partir de um único arquivo gerador, o que torna a detecção mais difícil.
A coisa mais interessante sobre esta nova versão é o uso de uma forma de disseminação muito efetiva. Ela utitliza também sites hackeados, mas de uma forma diferente. Se um simples endereço URL for utilizado para disseminar o vírus, ele poderia ser facilmente bloqueado. O problema aparece quando há muitos deles. Os desenvolvedores de malware descobriram este ponto fraco e utilizam a seu favor. Eles modificam o site padrão de erro HTTP 404 (Não encontrado) para enviar o vírus. Isto dá a eles um número virtualmente infinito de possíveis URL para baixar o vírus! Tudo o que eles precisam fazer é postar alguns links quebrados. Aqui estão alguns exemplos de sites infectados.
http://***smeigh.com
http://***sgrisparlour.com
Resta uma questão a ser respondida. O que atrai os usuários a estes URLs infectados? O que nós percebemos é que os autores destes malwares apresentam os URLs como sendo links para baixar jogos, cracks e keygens em diferentes sites sociais e forums. Nós também detectamos o vírus sendo enviado como anexo a emails e também em serviços de compartilhamento de arquivos. A seguir estão algumas capturas de tela que mostram os links de download do vírus em um vídeo do YouTube sobre a rede social russa.
Proteção do avast!
Esta família de malware russo sofre mutação e se espalha rapidamente. Não há nenhum indício de que esta tendência mude. Para proteger o seu sistema contra o Bicololo, nós recomendamos que você use a versão mais atualizada do avast! com a Autosandbox habilitada, uma vez que ela detecta mesmo as mais novas variantes do Bicololo.
Windows XP é infectado duas vezes mais que o Windows 7
No primeiro semestre de 2012, a Microsoft teve de remover o dobro malwares de computadores com Windows XP do que dos que rodam Windows 7 ou Vista. Esta foi a conclusão do Microsoft Security Intelligence Report.
Um por cento dos escaneamentos em Windows XP da Ferramenta de Remoção de Software Mal-intencionado descobre uma infecção. Este valor cai para 0,5% nas últimas versões do Windows.
Ainda que a Ferramenta de Remoção de Software Mal-intencionado não detecte todos os tipos de malware, concentra-se naqueles mais espalhados pelo mundo. A infecção mais comum é com Win32/Keygen, muito utilizada em keygens (geradores de chaves ilegais de ativação de programas).
O Brazil é o segundo país com mais detecções, perdendo apenas para os Estados Unidos. As infecções mais comuns são o TrojanDownloader:Win32/Banload e a família de cavalos-de-tróia Win32/Bancos. Ambas capturam senhas bancárias e as enviam por email ou através da internet, geralmente tentando desativar os softwares de segurança (antivírus e firewall) do usuário.
A família Adware:JS/Pornpop também é bastante comum. Trata-se de scripts Java que mostram propagandas popup. As primeiras versões eram exclusivas de sites pornográficos, depois se estendeu a outros.
avast! on Twitter
avast! on Facebook