Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Lab’
22, novembro, 2013

Três formas de o seu site ser hackeado

Esta pergunta que veio de um proprietário de um pequeno site com centenas ou milhares de visitantes por dia é, infelizmente, muito comum.

Um dia eu comecei a receber emails dos meus clientes reclamando que os seus antivírus alertaram que o meu site estava infectado e não os deixavam entrar. Deve ser algum engano porque eu não tenho um loja virtual. Só há um formulário de contato e informações aos clientes. É possível que alguém esteja atacando o meu negócio?

codeAA resposta é, na maioria dos casos, que “você se tornou parte de uma rede que envia automaticamente aos usuários um kit infectado” (ver explicação abaixo).

Por que os hackers atacam pequenos sites quando há alvos muito maiores?

Os pequenos sites têm uma frequência de atualizações muito menor e a possibilidade de que alguém encontre e corrija o código malicioso também é pequena, o que os torna atrativos aos hackers. Os hackers procuram por páginas não atualizadas que utilizam ferramentas de construção gratuitas porque podem atacá-las de forma rápida e fácil. Estas páginas são depois utilizadas para separar os usuários que possuem aplicativos vulneráveis nos seu computador daqueles que não podem ser atacados ou, simplesmente, para esconder a sua verdadeira identidade. Os hackers “fecham a porta” atrás de si “corrigindo” a vulnerabilidade que os permitiu entrar e, simultaneamente, criando outra passagem somente para eles, de forma que a página não aparece como suspeita quando for testada pelo computador.

Em geral, há três tipos comuns de ações de hackers que um administrador da página deve estar atento:

1. Deface, defacement ou pichações

Este tipo de ataque é reconhecido à primeira vista porque o site é alterado para mostrar uma mensagem dos hackers provando a sua capacidade e caçoando do administrador do site.
Geralmente é o ataque menos perigoso e, a menos que a sua página for excluída, você não terá nenhum prejuízo financeiro porque a motivação do ataque era apenas mostrar o baixo nível da segurança das suas páginas e ganhar credibilidade diante dos outros hackers. As pessoas que fazem estes ataques geralmente seguem a regra não aprenda a hackear, hackeie para aprender.

Por exemplo, há estruturas PHP que permitem que você escolha o método e o motivo da pichação e o publique online. A imagem abaixo mostra parte do PHP que envia estatísticas.

phpshellB

shellstatDe acordo com as estatísticas da Zone-H, houve 1,5 milhões de sites pichados em 2010 e a figura à direita mostra as razões dos ataques. Um milhão e meio parece um grande número, mas estes são apenas os ataques documentados e o número real pode ser muito maior.

Nos últimos anos, as pichações foram utilizadas para mostrar opiniões políticas ou éticas atacando sites com milhares de visitantes diários. Isto atrai a mídia e ganha toda a atenção possível. Mesmo companhias antivírus, como você pode ver no recente artigo sobre a tentativa de hackers contra o avast!.

2. Data Mining ou mineração de dados

O objetivo do ataque de mineração de dados é roubar dados pessoais dos usuários e suas credenciais armazenadas em vários serviços, geralmente de lojas online, fóruns e portais de jogos. Os dados roubados são vendidos, no melhor dos casos, para redes de propaganda ou, no pior dos casos, para fraudes bancárias. A mineração de dados é de difícil detecção porque ocorre rapidamente e o único rastro é um alto tráfego de dados saindo do sistema quando o banco de dados é baixado.

A técnica básica para evitar a perda de dados pessoais dos usuários é a criptografia. Se dados sensíveis como senhas, números de cartão de crédito e telefones são criptografados com códigos aleatórios e pelo menos 10 caracteres, o hacker terá de ter acesso diretamente ao código fonte para obter os códigos aleatórios e por isso a probabilidade de sucesso do ataque é menor.

Utilizando diferentes bancos de dados de usuário em cada loja ou fórum, força os usuários a criar muitas senhas fáceis de guardas ou utilizar a mesma senha todas as vezes. A solução para isto é utilizar um serviço de autenticação que forneça um nível de segurança e proteção dos dados dos usuários maior do que as soluções gratuitas. Mas nenhuma empresa está 100% protegida contra hackers: um dos maiores vazamentos de dados este ano foi na rede Adobe, onde 38 milhões de contas de usuários foram comprometidas. Ainda pior foi o fato de que alguns dos seus códigos fonte caíram nas mãos erradas. Outra grande invasão foi permitida por vulnerabilidades no servidor da ColdFusion que resultou em um roubo de dados da NW3C.

3. Exploit Kits e suas redes

Um Exploit Kit é um conjunto de testes de vulnerabilidade e possibilidades de hackear que são carregadas no navegador do usuário para executar códigos maliciosos sem o seu consentimento. Sites com código malicioso são chamados de “páginas de destino” e frequentemente estão localizados em serviços de host gratuitos. Para obter o tráfego dos usuários, os proprietários dos Exploit Kits criam redes a partir de pequenas páginas hackeadas, como a daquele usuário que nos fazia a pergunta por email. O objetivo é redirecionar o navegador sem serem detectados e, portanto, as páginas infectadas não mostram nenhum sinal de alteração. Eles verificam o navegador em segundo plano e enviam o usuário silenciosamente para a página de destino se a vulnerabilidade tiver sido explorada.

A imagem abaixo mostra um script de redirecionamento de uma recente campanha em servidores de propaganda.

redirector

O criador de uma rede infectada procura por sites com conhecidos problemas de segurança e quando ele obtém acesso ao FTP, vários modelos e aplicativos podem ser infectados para conseguir o redirecionamento.

As páginas que são partes de uma rede de Exploit Kits sofrem sérias consequências:

  • O ranking em mecanismos de busca cai rapidamente
  • Sites de reputação e de companhias de antivírus as colocam na lista negra
  • Os usuários sem proteção são infectados com malwares
  • Os usuários sem antivírus perdem a confiança no site

Para evitar a infecção de robôs automáticos, aqui estão algumas sugestões:

  • Atualize o seu CMS e plugins todas as vezes em que uma nova versão estiver disponível
  • Altere o nome padrão do administrador e escolha uma senha forte
  • Utilize o antivírus no computador onde você gerencia o site
  • Atualize os arquivos com o protocolo SFTP em vez do FTP

Amostras dos malwares utilizados neste artigo podem ser encontradas no Vírus Total sob os seguintes SHA256:

[php-shell] - 3fad3437e7684bae0381a963f0461f647766a13d28fd36201a85172c1d56da6c
[redirector] - d4d20acc0069d55e31a6f94baf83523057e0d0add09c1953e070b6e1aeb09102

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
31, outubro, 2013

Cuidado com a maçã enfeitiçada

loginTodo mundo sabe a história da linda Branca de Neve. Uma rainha má dá a uma jovem uma maçã enfeitiçada. Pobre Branca de Neve. Tudo o que ela queria era uma mordida nesta maçã suculenta. Mas acho que esta mordida não a deixou muito feliz. De qualquer forma, ela aparentemente cometeu certos erros. Eu posso dizer alguns, por exemplo, se ela queria uma maçã, deveria ter buscado em uma macieira. Ou poderia ter dado a maçã para que alguém a provasse antes, como um bravo cavaleiro que sempre estaria a seu lado, protegendo-a a todo instante.

Sim, de fato, faz tempo desde que o famoso incidente da maçã aconteceu. Hoje em dia, uma adolescente não iria aceitar uma maçã de um estranho e dar-lhe imediatamente uma mordida. Ela iria pelo menos lavá-la primeiro! Se fosse suficientemente esperta, ela obteria mais informações sobre a maçã.

Com uma varinha mágica e efeitos especiais, vamos traduzir esta história para o mundo da segurança móvel.

Aplicativos envenenados (Poisoned APPles)

O conto de Branca de Neve se tornou realidade alguns dias atrás quando encontramos um falso aplicativo Apple iMessage para Android. Há muitos aplicativos para Apple iOS que não foram lançados em outras plataformas. Por exemplo, quando duas pessoas têm um iPhone, podem enviar mensagens gratuitas através do serviço de iMessage da Apple. A alternativa para Android seria provavelmente o Google Hangouts. O problema surge quando você quer enviar mensagens gratuitas do iOS para o Android. Sim, há o WhatsApp, o Viber e outros aplicativos semelhantes, mas não há maneira de enviar uma iMessage para um Android, nem um aplicativo iMessage para Android. Este problema parece chatear algumas pessoas e elas aguardam ansiosamente por uma solução. Sim, estamos falando sobre falsos aplicativos que tentam se passar por aplicativos da Apple para Android.

imsgNós descobrimos que um falso aplicativo iMessage em alguns sites para download junto com outros aplicativos Android. Ele também esteve na Google Play, mas o Google já o removeu. Quando você instala o aplicativo e o executa, ele o faz pensar que está com um iOS por que sua interface está pensada para isto. O aplicativo parece se comunicar com os servidores da Apple, mas não de uma forma direta. A comunicação passa através de outro servidor e aí está a pegadinha.

Você fornece o seu Apple ID a este aplicativo e ele o envia àquele servidor e, talvez, também à Apple. Suas mensagens são gerenciadas da mesma forma. Por isso, quando você pensa que você e seu amigo são os únicos que ouvem aquela conversa, saiba que está muito enganado. É óbvio que este aplicativo está tentando se passar por um legítimo aplicativo Apple, mas não há um acordo de licença com a Apple e, portanto, não é um aplicativo oficial e não se pode imaginar o que irá acontecer com o seu Apple ID.

gplayOutro aplicativo que encontramos é também chamado iMessage e está no Google Play. Quando você vê a sua página, você pensa que é algo da Apple, mas não é. Há imagens de iPhones e na descrição está dito que “o i.Message é completamente compatível com o iPhone 4! Retina Display e Multitasking também são suportadas”, o que é, obviamente, uma mentira. Este aplicativo não envia iMessages, simplesmente mostra as mensagens na tela. Este aplicativo provavelmente foi criado simplesmente para obter dinheiro das propagandas e claramente tira vantagens das pessoas que procuram por um verdadeiro aplicativo iMessage. Este aplicativo em particular não fará nenhum mal ao seu telefone, mas é enganoso. Outros aplicativos podem ser mais perigosos, por isso, tenha cuidado.

imsg2

Estes dois aplicativos são somente uma amostra das maçãs podres e falsas que estão por aí. Não faz muito tempo descobrimos que a mesma coisa estava acontecendo com o aplicativo Blackberry Messenger. Por isso, se você quiser saber se há uma versão para Android do seu aplicativo favorito para iOS ou Blackberry, verifique o site oficial do fabricante e não procure em páginas de terceiros e mercados obscuros que estão cheios de macieiras enfeitiçadas.

Mas assim como a inocente Branca de Neve escolheu a pessoa errada de quem aceitar uma maçã, às vezes, você procura a fonte errada de aplicativos Android. Sabemos disso e temos a solução para estes casos. O avast! Mobile Security está aqui para proteger você por onde quer que você vá. Imaginamos que Branca de Neve teria sido mais feliz se não tivesse que ficar dentro de uma caixa de vidro. Tudo o que ela precisa é um cavaleiro da terra do avast! a seu lado.

O avast! Mobile Security detecta estes falsos aplicativos com o nome de Android:Fapple-A [Trj]

SHA:

248513CA09C450D0709773AF089C28CB3D1EB613DA65D44152F6AC440E567664
72A682CBEC6D545BC275CDD331E001E2E6CA86E38C8B986852099A61605B40AF

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
17, setembro, 2013

Laboratório de vírus: trabalho em equipe

Muitos de vocês devem se perguntar como trabalha o pessoal do Laboratório de vírus. Quem são os caras sentados atrás dos computadores que analisam arquivos maliciosos. Nós vamos revelar alguns segredos do nosso Laboratório de vírus e quebrar alguns tabus:

1. O pessoal do Laboratório de vírus não trabalha em um laboratório :)

2. Os analistas de vírus são reais, pessoas legais, não robôs :)

3. Sim, também há meninas no time (ainda que estas fotos não provem este fato) :)

4. Eles gostam de se divertir e da vida social! :)

Abaixo está a prova de que eles realmente existem.

A primeira pessoa que descobrir em qual foto está o Diretor do Laboratório de vírus irá receber gratuitamente uma licença do avast! Premier por um ano! Por favor, responda nos comentários a este blog.

IMG_20130913_135645

IMG_20130913_140433

IMG_20130913_140546

IMG_20130913_140000

IMG_20130913_135744

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

18, junho, 2013

Android:Obad – malwares ficam mais inteligentes… O avast! também.

det

Se você teve o privilégio de topar com o Android:Obad, descrito previamente pelo laboratório Kaspersky como sendo o “mais sofisticado malware para Android”, você está agora em uma situação muito difícil e provavelmente este é o momento em que você deveria ter pensado: “Aprendi do jeito mais duro o que significa que é melhor estar seguro do que arrependido”. Alguns dias atrás nós identificamos uma nova variante desta ameaça. Há uma chance de você ter topado com estes caras antes que começássemos a detectá-lo, porque se as nossas definições de vírus genéricas não identificam o malware, sempre há um pequeno período de tempo antes de que consigamos detectá-lo. Na maioria dos casos isto não é um problema, pois é possível desinstalar o aplicativo malicioso. Desta vez, isto não funciona…

O problema que estamos enfrentando agora é chamado “Administrador do dispositivo“. Depois que você executou o aplicativo infectado com Android:Obad, você será perguntado se deseja tornar o aplicativo um “Administrador do dispositivo”, o que requer apenas mais alguns cliques e não é difícil de fazer. Depois disso, não há nenhum retorno porque este malware utiliza uma vulnerabilidade previamente desconhecida que o permite chegar às profundezas do sistema e até ocultar-se da lista de “Administradores do sistema”, único lugar onde poderíamos gerenciá-lo. Você não poderá desinstalá-lo a partir da aba de Aplicativos das Configurações porque todos os botões estarão desabilitados e não irão funcionar.

scr

Sorte sua: o avast! Mobile Security irá salvá-lo de ter de fazer uma reconfiguração de fábrica no aparelho, o que certamente seria uma das soluções. Mas não se preocupe, você está seguro conosco. Com a última atualização do avast! Mobile Security, garantimos que os mais poderosos Trojans como o Android:Obad serão bloqueados com chumbo grosso, se necessário. Portanto, quando você se deparar com malwares que utilizam as funções de “Administrador do dispositivo”, lembre-se que o avast! Mobile Security consegue limpá-lo. Primeiro, você verá o bom e velho aviso de que algum aplicativo é um malware (primeira figura) ou você verá o relatório do escaneamento que informará que alguns aplicativos são maliciosos.

screenX

Siga em frente e clique “Resolver todos” os problemas ou clique em algum deles especificamente e depois escolha “Desinstalar“. Depois, você verá uma janela com o título “Administrador do dispositivo” e será perguntado se deseja Desativar o “administrador do dispositivo” para o aplicativo malicioso que está tentando desinstalar.

screen2

Clique em “Desativar” e deixe que o avast! Mobile Security faça o resto, utilizando técnicas que irão envolver chumbo grosso no malware. Não se preocupe, a única coisa que irá morrer é o aplicativo malicioso, que realmente merece este fim.

screen3

A última coisa que precisa ser feita é clicar OK na próxima tela e outro OK depois que o aplicativo for desinstalado. Pronto, está tudo feito e você está seguro novamente.

Os hackers tentam cada dia criar malwares ainda mais daninhos e estão avançando, mas também nós estamos tornando a nossa proteção ainda mais poderosa. Acreditamos que o avast! Mobile Security é provavelmente o único aplicativo antimalware que consegue limpar o Android:Obad e outros malwares semelhantes. Portanto, como sempre, o mais importante aqui é que você deve utilizar somente o Google Play quando procurar por aplicativos.

Este é o veredito: É melhor estar seguro do que se arrepender.

Informação adicional:

Virustotal report for newly identified sample (9/47)

Virustotal report for previously discovered sample (16/46)

6, fevereiro, 2013

O vírus Bicololo se espalha

Em outubro, nós escrevemos em nosso blog sobre um Cavalo-de-Tróia russo chamado Bicololo. Desde então, o malware continuou a se espalhar ainda mais em formas mutantes. Hoje em dia, o avast! protege milhões de PCs destas infecções.

Breve descrição

O Bicololo é caracterizado pelo seu exclusivo vetor de ataque, que permaneceu sempre o mesmo. O seu principal objetivo é injetar-se no arquivo etc/hosts da vítima e redirecionar o tráfego da internet da maioria dos sites das redes sociais utilizadas na Rússia para servidores falsos (phising). Os alvos mais frequentes são vk.com, odnoklassniki.ru e mail.ru. Uma vez que a vítima infectada digita estes endereços no navegador é apresentado um formulário de login falso. Como nenhum dos serviços atacados utiliza por padrão conexões seguras via HTTPS, não há uma forma simples para que o usuário saiba que está em perigo e informando a sua senha aos hackers.

Atualmente, o malware se espalha principalmente através de duas formas que sofreram drásticas mutações – e continuam sofrendo duas a quatro novas por semana – desde o nosso artigo prévio no blog. Isto pode ter sido causado pelo nosso esforço ativo de lutar com todas as nossas forças contra ele, forçando os autores a acrescentar uma alta randomização e remover do código do malware todas as rotinas desnecessárias.

Versões atuais

A versão “estável” mais comum vem através de um arquivo auto-extraível Cabinet. Uma vez executado, ele baixa quatro arquivos em uma estranha pasta chamada “Arquivos de programas” e se auto-executa. O primeiro arquivo baixado é um .bat obfuscado e aleatório que provoca a infecção do arquivo etc/hosts. Outros dois arquivos são scripts do Visual Basic. Um deles carrega um arquivo texto com um URL que efetua uma contagem e informa os autores da infecção. Desta maneira, os autores gerenciam suas atividades maliciosas. O outro script oculta o arquivo hosts infectado e cria um arquivo vazio etc/hOst onde o ‘O’ é uma letra cirílica. Esta forma de infecção permanece invisível se o Windows estiver em suas configurações padrão de não mostrar arquivos ocultos.

A segunda nova versão – que nós acreditamos ser ainda “experimental” – é um pouco mais avançada. Ela consiste em um arquivo auto-extraível .rar e baixa outro também em uma pasta chamada “Arquivos de programas”. Geralmente contém dois arquivos executáveis. Um deles costuma ser algum programa legítimo e gratuito disponível na internet. Por exemplo, na semana passada, nos encontramos o Filezilla FTP, o jogo Minecraft ou o ativador do Windows 8. O outro executável é compilado em Visual Basic e faz o trabalho sujo principal: infectar o arquivo hosts executando um arquivo .bat, ocultando-o e notificando o contador de infecções. Vale a pena notar que o arquivo .bat desta versão é ainda mais aleatório. Além disso, esta versão infecta o Registro do Windows e faz uma verificação na inicialização do sistema se o arquivo hosts continua no local.

obfuscated Bicololo BAT file

Arquivo .bat criptografado do Bicololo

Métodos de disseminação

As antigas versões se espalhavam através de download de sites hackeados, especialmente os que continham ferramentas WordPress ou Joomla!. Os links para baixar parecem-se com estes:

http://***estylehostel.ru/media/file/index.php?q=%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1+windows+8&zip=1

http://***enn.ru/blogs/file/?q=%FE%E0%F0+%F1%EB%E0%E9%E4%FB+%F0%E5%F4%E5%F0%E0%F2%2D55479%2D55479&zip=1

http://srv16499.***nkddns.com/download.php?q=asku_na_telefon_ldzhi.zip

A chave de busca pode conter o nome codificado do URL do arquivo infectado bem como comandos simples para a infecção. Desta forma, a aparência final do vírus depende do URL e também das diferentes versões que podem ser baixadas a partir de um único arquivo gerador, o que torna a detecção mais difícil.

A coisa mais interessante sobre esta nova versão é o uso de uma forma de disseminação muito efetiva. Ela utitliza também sites hackeados, mas de uma forma diferente. Se um simples endereço URL for utilizado para disseminar o vírus, ele poderia ser facilmente bloqueado. O problema aparece quando há muitos deles. Os desenvolvedores de malware descobriram este ponto fraco e utilizam a seu favor. Eles modificam o site padrão de erro HTTP 404 (Não encontrado) para enviar o vírus. Isto dá a eles um número virtualmente infinito de possíveis URL para baixar o vírus! Tudo o que eles precisam fazer é postar alguns links quebrados. Aqui estão alguns exemplos de sites infectados.

http://***smeigh.com
http://***sgrisparlour.com

Resta uma questão a ser respondida. O que atrai os usuários a estes URLs infectados? O que nós percebemos é que os autores destes malwares apresentam os URLs como sendo links para baixar jogos, cracks e keygens em diferentes sites sociais e forums. Nós também detectamos o vírus sendo enviado como anexo a emails e também em serviços de compartilhamento de arquivos. A seguir estão algumas capturas de tela que mostram os links de download do vírus em um vídeo do YouTube sobre a rede social russa.

youtube

Proteção do avast!

Esta família de malware russo sofre mutação e se espalha rapidamente. Não há nenhum indício de que esta tendência mude. Para proteger o seu sistema contra o Bicololo, nós recomendamos que você use a versão mais atualizada do avast! com a Autosandbox habilitada, uma vez que ela detecta mesmo as mais novas variantes do Bicololo.

Categories: Analyses, Lab Tags:
Comments off