Questão da semana: Eu sou um professor universitário que recebo trabalhos dos meus alunos em pendrives. Eu estou preocupado com o meu próprio computador. Como eu escaneio um pendrive utilizando o avast!?

Boa pergunta. Todas as vezes que você conecta um pendrive desconhecido no seu computador você está correndo um risco, porque um pendrive pode disseminar malware junto com os dados, bem como infectar-se se o seu computador já estiver comprometido. Alguma vez você já ouviu “o meu pendrive comeu o meu trabalho” como uma desculpa? Pode ser verdade. Aqui está como o avast! pode ajudar.

O antivírus avast! vem com alguns escaneamentos pré-definidos, incluindo a capacidade de escanear qualquer dispositivo removível que for conectado ao seu computador, como pendrives, cartões de memória, discos rígidos externos, etc. Ele irá escanear o drive para detectar potenciais programas autoexecutáveis que tentarem ser iniciados quando o dispositivo for conectado.

Para executar manualmente o “Escaneamento da Mídia removível”, selecione a aba de “Escaneamentos” na interface de usuário do avast! Isto irá abrir a janela “Escanear” como mostrado na figura.

Um “Escaneamento rápido” irá verificar o disco C:\ do seu computador, o que normalmente é suficiente para detectar a maioria dos malwares. Somente arquivos com extensões “perigosas” serão escaneados, por exemplo, “exe”, “com”, “bat”, etc. Somente as áreas do início e do fim do arquivo – onde normalmente são encontradas as infecções – serão verificadas.

Um “Escaneamento completo do sistema” executa uma verificação detalhada de todos os discos rígidos do seu computador. O avast! escaneia dentro de cada arquivo para verificar qual o seu tipo e se deve ser escaneado. Todo o arquivo é verificado, o que pode ser útil se você suspeita que alguma infecção não foi detectada pelo escaneamento rápido.

Se você deseja escanear uma ou várias pastas específicas, escolha “Selecionar uma pasta para escanear”.

Para executar um dos escaneamentos pré-definidos, simplesmente clique em “Iniciar”.

Como mencionamos anteriormente, se você utiliza o Internet Explorer 7 ou 8 (e mesmo o 9 em alguns casos) deveria atualizá-los imediatamente. A versão 10 do Internet Explorer que vem pré-instalada no Windows 8 não é afetada. Uma explicação técnica também já foi colocada no blog.

Enquanto a Microsoft não lança uma atualização, você poderia:

1. Atualizar e manter o seu avast! sempre ligado. O avast! protege você contra estas infecções.

2. Se possível, passar a utilizar um navegador mais seguro (como o Firefox, o Google Chrome ou o Opera).

3. Utilizar a correção (Fix-it) da Microsoft até que esteja disponível uma atualização através do Windows Update (prometida para hoje mesmo, 21 de setembro).

Enquanto nós estávamos pesquisando os sites utilizados pela nova ameaça do dia-0 do Microsoft Internet Explorer (IE), nós descobrimos que o novo ataque estava baseado em outro um pouco mais antigo em sites de companhias industriais.

Os sites legítimos que foram hackeados contém em suas páginas principais um iframe oculto.

A página July.html contém um código para carregar um arquivo flash, que por sua vez explora uma recente vulnerabilidade no objeto Matrix3D, permitindo explorar e executar silenciosamente um arquivo binário no computador do visitante do site. Em nossa análise, este ataque não possui um código CVE atribuído, nem ele foi relatado estar espalhado na rede (ITW). Ainda que ele tenha sido corrigido silenciosamente no APSB12-19 da Adobe, aproximadamente 40% de vocês, usuários do nosso avast!, ainda dispõem da versão 11.3.x instalada, que é vulnerável. Sem mencionar que outros 40% possuem uma versão ainda mais antiga. A correção foi lançada pela Adobe no dia 21 de agosto, e no dia 24 de agosto nós começamos a receber relatórios da nossa Comunidade IQ com essa vulnerabilidade, o que nos faz pensar que aqueles três dias foram suficientes para que os hackers decodificassem a atualização e descobrissem uma forma de explorar a vulnerabilidade. Nós também fomos alertados do código prova de conceito do dia 4 de agosto, que descrevia a mesma vulnerabilidade.

O executável ocultava em seu interior um arquivo flash com todos as ferramentas de acesso remoto (RATs). Uma delas era o PlugX, as outras eram provavelmente versões antigas do Poison Ivy. Estas ferramentas abriam o computador do visitante aos hackers, quem podiam então fazer livremente o que quisessem: roubar dados, senhas, etc. Todos eles estavam conectados a servidores remotos em serviços de hospedagem muito baratos nos Estados Unidos e no Reino Unido, utilizando domínios anônimos gratuitos (exceto um deles que estava registrado na China).

Mas, com o surgimento da nova vulnerabilidade, nós percebemos a mudança em um dos sites, que utiliza várias bibliotecas Javascript, incluindo a Thickbox.js. Ferramentas especiais mostraram-nos que havia algo suspeito no final do arquivo:

Trata-se do July.swf – ataque flash Matrix3d – que o avast! detecta tanto genérica como diretamente.

O applet.jar com o novo ataque JAVA CVE-2012-4681 e o loading.html com um novo ataque MSIE, que o avast! também detecta.

Com a combinação destes três ataques, os hackers cobriram muitíssimos usuários, pois existe uma grande probabilidade de que pelo menos uma das vulnerabilidades esteja presente no computador do usuário.

Entre os sites hackeados estão o de grandes companhias industriais. Uma vez que os seus sites não são visitados pelo público em geral, mas principalmente por outras pessoas de negócios, nós podemos especular que existe uma correlação com a gangue Nitro, que estava mandando emails para aquelas empresas com ferramentas de acesso remoto (RATs) ocultas, com o objeto de extrair dados dos seus alvos. Portanto, espionagem industrial parece ser o motivo destes ataques.

Aqui está uma visão geral dos sites que nós encontramos utilizando os ataques descritos:

Ontem, nós decidimos entrar em contato com as companhias desta lista. Até agora, somente uma respondeu e removeu a ameaça, duas removeram a ameaça sem dizer nada e duas ainda mantêm o malware ativo. Nós também solicitamos às companhias que continuassem cooperando para detectar estas ameaças, avaliar o número de pessoas que baixaram os arquivos infectados e outras informações interessantes. Ainda que nós estamos um pouco céticos, nós continuamos seguindo o assunto.

Repetir não faz mal a ninguém, portanto: o avast! protege você contra esta ameaça. Como mostrado acima, nós fornecemos detecção em múltiplas camadas. No entanto, ainda é prudente atualizar os seus programas para a última versão disponível e, se possível, abandonar os programas que lhe trazem mais risco do que benefícios.

PS: Eu (Jindřich Kubec) escrevi que dois sites haviam removido a ameaça, mas isto é parcialmente verdadeiro. Talvez eles o fizeram, mas foram reinfectados ou eles não limparam o site corretamente e… foram reinfectados, mas o Thickbox.js mencionado acima foi atualizado pela segunda vez, agora apenas com o código da ameaça IE:

.

Sem ulteriores pesquisas e sem que os administradores dos sites fechem todas as portas, os criadores de malware ainda têm chance de fazer o que quiserem naqueles sites.

O avast! Free Antivírus para Mac – assim como a versão Windows equivalente, o avast! Free Antivírus 7 – protege o seu Mac contra o crescente número de ameaças que surgiram especificamente para este sistema operacional.

• O Módulo Internet escaneia de forma transparente todas as páginas visitadas, os arquivos baixados e os scripts Java. Suporta conexões IPv6 e o escaneamento inteligente de fluxo não retarda a navegação.
• O Módulo Email verifica todos os emails enviados e recebidos, mesmo em conexões seguras (SSLs).
• O Módulo Arquivos atua em tempo real, escaneando todos os arquivos abertos ou executados, impedindo que qualquer infecção se espalhe. É flexível: você pode configurar uma lista de arquivos ou pastas que gostaria de excluir do escaneamento.
• O WebRep é um plug-in para navegadores (incluindo o Safari™) baseado na tecnologia de nuvem e fornece classificações da confiabilidade e reputação das páginas web de acordo com comentários (feedback) fornecidos pelos usuários. Ao mesmo tempo, protege contra phishing e certificados SSL falsos.
• Você também pode escanear o seu Mac da forma que preferir, selecionando todo ou parte do seu sistema de arquivos, além dos dispositivos removíveis.

O avast! Free Antivírus para Mac funciona em sistemas operacionais Mac OS X 10.5 Leopard, 10.6.x (Snow Leopard) e 10.7.x (Lion). Lembre-se de que o avast! não será executado corretamente se você tiver outro software antivírus instalado na sua rede.

Baixe e instale agora mesmo o avast! Free Antivírus para Mac.

Estima-se que haverá 130.000 malwares para Android no final de 2012. Mesmo utilizando a loja oficial Google Play, centenas de milhares de usuários já foram infectados de uma forma ou de outra. Nos meses passados, o número de aplicativos maliciosos cresceu significativamente.

Uma boa parte desses aplicativos esteve presente no Google Play como se fossem legítimos aplicativos populares, como nos casos dos falsos Instagram e Angry Birds. Em geral, estes aplicativos enviavam SMSs que podiam custar cerca de 20 reais cada um, ou mostravam propaganda ilegal, ou roubavam dados dos contatos do telefone.

A Google reforçou a segurança e passou verificar todos os aplicativos antes de deixá-los disponíveis na loja. Mas algo sempre passa como, por exemplo, o “Find and Call” (leia aqui).

Quer se proteger? Instale o avast! Mobile Security. Escaneie e limpe o seu Android e continue protegido pelas atualizações automáticas.

O Skywiper ou, como é mais conhecido, o Flame, é um dos malwares mais complexos já descobertos até hoje. Há muita especulação sobre quem está por trás desta ameaça.

Seu objetivo não é obter ou desviar recursos financeiros dos computadores infectados. Ele é, fundamentalmente, um roubador de dados. Os usuários infectados têm desde os seus computadores rastreados, suas conversas em chats e aplicativos de mensagens completamente gravadas, dados e arquivos copiados ou excluídos, configurações alteradas, desligamento de mais de 100 programas de segurança, fotos da tela são tiradas, conexões Bluetooth monitoradas… Até o microfone pode ser ligado e todas as conversas transmitidas para mais de uma dezena de servidores em todo o mundo. Estima-se que possua 85 domínios registrados em mais de 20 companhias diferentes. É melhor perguntar o que ele não pode fazer…

Os computadores mais afetados estão no Oriente Médio (Israel e territórios Palestinos), Líbano, Irã, Síria e países do norte da África. Mas o número de computadores infectados é muito pequeno e faz surgir dúvidas se não se trata de uma histeria. Explorando uma falha do Windows, o Flame parece estar direcionado a empresas e instituições acadêmicas, mas também a computadores pessoais. O número estimado de máquinas infectadas era de 5.000 no início da semana passada, quando o malware foi descoberto. Mas suspeita-se que pode ter infectado muitas mais e, depois, ter sido desinstalado pelos servidores remotos por se tratar de vítimas “pouco interessantes”.

O mais surpreendente: tudo isto pode estar ocorrendo faz tempo. Entre dois e cinco anos segundo os cálculos e sem que nenhum antivírus ou programa de segurança pudesse detectá-lo completamente… Tanto o início da sua atividade quanto as suas variantes ainda estão em estudo pelos analistas de vírus.

Se os dados estiverem corretos, o Flame pode ser a maior arma cibernética já descoberta desde que o vírus Stuxnet atacou as usinas nucleares do Iran em 2010 e do Duqu, que também roubava dados dos computadores infectados.

O código do vírus é enorme: 20 vezes o do Stuxnet e 10 vezes os dos que roubam informações financeiras. Há mais de 70 mil linhas de código compilado em linguagem C++ que contém cerca de 170 strings criptografados. Ainda que 20 vezes mais código não o torna 20 vezes mais perigoso. É, por incrível que pareça, uma ferramenta “simples”, menos complexa do que muitos outros vírus já vistos.

O Flame parece infectar os pendrives e também se espalha em pastas contendo arquivos de mídia. Além disso, ele parece se espalhar em redes locais utilizando vulnerabilidades dos sistemas de impressão e de agendamento de tarefas do Windows, mesmo em sistemas do Windows 7 completamente atualizados. Sabe-se que o malware utilizava o sistema do Windows Update para se espalhar, não só em uma atualização “rara”, mas entrando no processo de geração de certificados digitais e constituindo-se um pesadelo para os antivírus: arquivos infectados eram considerados como atualizações legítimas do Windows.

Ainda há muitos pontos obscuros neste malware. De qualquer forma, o avast! o detecta sob o nome de Win32:Skywiper [Trj].

Atualmente, os malwares (vírus) para telefones e tablets Android têm um objetivo principal: obter compensação financeira. Para isto, utilizam mensagens SMS para números especiais sem o consentimento do usuário ou roubam senhas e informações bancárias.

Para ter acesso aos dados bancários, o malware tem de interferir no duplo procedimento de autenticação: senha e token. Alguns trojans (cavalos de tróia) como o Zeus e o SpyEye faziam isto no ambiente Windows e agora se espalharam pelo Android. Aparecem como programas geradores de senhas (token) onde o usuário despercebido fornece a sua senha bancária em troca de um número aleatório de token. Ao mesmo tempo, alguns dados específicos do aparelho (número do telefone, IMEI e/ou IMSI) são roubados. Também cópias de SMS específicos são enviadas aos servidores desses vírus e, por fim, o aparelho pode ser controlado remotamente incluindo até a obtenção da lista de contatos pessoais (nome e telefone).

Outra forma de infecção frequente são os mercados de aplicativos fora do Google Play. Por exemplo, o malware RuFraud apresentou-se em mais de 30 aplicativos falsos diferentes, como o Angry Birds, o Assassins Creed e o Cut the Rope. Estima-se que estes aplicativos falsos enviavam SMS premium que custavam cerca de R$ 15,00 cada um. E faziam isto cada vez que o usuário tentava abrir o aplicativo, conectando-se a contas SMS premium em diferentes países em todo o mundo (utilizando um arquivo de configuração XML distribuído junto com o aplicativo).

Por isso, é sempre recomendável utilizar apenas o Google Play como fonte de aplicativos e manter os seus aparelhos sempre protegidos com o avast! Mobile Security. O avast! também analisa as permissões de cada aplicativo. Se você quiser baixar um jogo que peça permissões para SMS e chamadas telefônicas, provavelmente isto é sinal que você está entrando no jogo “deles”… Proteja-se!

Vários sites baseados no Brasil (domínio) são detectados como infectados pelo avast!. Em nossa página na Comunidade avast! aparecem os últimos 10 domínios brasileiros infectados (dentre uma lista de 60).

Nesta lista, não figuram sites com conteúdo pornográfico que, na maioria das vezes, também contém código malicioso que pode infectar o seu computador.

No entanto, vários deles são sites “confiáveis”, mas que são explorados pelos fabricantes de vírus para distribuir o seu código malicioso, causar dano ao seu computador e roubar dados pessoais.

Manter o seu sistema operacional atualizado – para evitar que malware aproveite as brechas e vulnerabilidades – e utilizar um programa antivírus que se atualize automaticamente várias vezes ao dia são práticas recomendadas.

Últimos Domínios infectados no Brasil

Você está calmamente navegando na internet quando, de repente, o seu antivírus acusa em voz alta: “uma ameaça foi detectada”. Instintivamente você baixa o volume do som, olha para os lados… Alguém viu? Alguém ouviu?

Centenas de sites são infectados todos os dias. Sites que consideramos seguros, inofensivos, mas que nas mãos de inescrupulosos se tornam distribuidores de vírus. Todos podemos jurar inocência, mas a imparcialidade do antivírus nos acusa: onde você estava navegando?, pergunta alguém que se aproxima de nós indignado…

Se você participa da Comunidade do avast!, você fornece anonimamente informações estatísticas sobre os sites infectados pelos quais você navegou. Nossa equipe procura o proprietário do site, avisa, pede… Até não haver mais o que fazer… Aí o avast!, para proteger você, continua bloqueando o acesso a esses sites infectados.

1. Os últimos cinco sites infectados visitados pelos usuários do avast! em 2011:

¹ A detecção foi válida (site infectado), mas já foi limpo pelo administrador do site.
² A detecção foi válida (site infectado), mas o site não está online no momento.

2. Os cinco principais sites infectados visitados pelos usuários do avast!³:

³ Com exceção do safadastube.com.br (site infectado), os demais são sites de hospedagem e/ou downloads.

3. Os sites que permaneceram mais tempo na lista dos infectados entre os usuários do avast!⁴:

⁴ Sites de hospedagem e/ou downloads.

O que você estava fazendo quando o avast! te protegia? Onde você estava em 31/10/2009? E em 20/05/2011?