Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Textos com Etiquetas ‘virus’
3, abril, 2014

Detecção de malware no Android. SecApk: um alerta aos desenvolvedores

O título deste artigo do blog tem algum significado misterioso? Não exatamente.

Nesta primeira parte sobre as detecções de malware no Android, vamos apresentar a Android:SecApk, uma detecção relacionada com o App Shield (Bangcle) e os aplicativos Android (.apk). Esta detecção abrange uma grande amostra de malwares e está em crescimento. Algumas amostras compactadas com o SecApk que já existiram ou ainda existem na loja Google Play e também em outras lojas podem ser vistas na tabela abaixo:

MD5

Nome – Informações

F1EF5B8C671B2146C2A2454ECF775E47

G锁屏冰雪奇缘之来自星星的你V1.0.apk

PUP: um aplicativo que promove um filme específico. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

Estado atual: removido do Google Play

10bd28d4f56aff83cb6d31b6db8fdbd2

Cut_the_bird.apk

PUP: um jogo que solicita permissões potencialmente indesejadas e pode levar à perda de dados pessoais.

05ffb6f34e40bb1cf8f9628e5647d5e3

aini1314langmanzhutisuoping_V2.5_mumayi_700e0.apk

PUP: um protetor de tela que solicita permissões não relacionadas à finalidade do aplicativo.

d6b40bbb79b54c09352a2e0824c0adba

3D职业乒乓球.apk

PUP: este aplicativo é um jogo de tênis. Potencialmente indesejado devido ao extenso conjunto de permissões solicitadas.

eefd2101e6a0b016e5a1e9859e9c443e

eefd2101e6a0b016e5a1e9859e9c443e.apk

\Malware: este aplicativo rouba dados pessoais e mensagens SMS do usuário.

O App Shield é um serviço online que, depois de receber um arquivo .apk que lhes foi enviado, o criptografam e adicionam algumas camadas de proteção. O procedimento de criptografar e proteger um arquivo .apk será discutido na segunda parte deste artigo.

Começando pelo processo de envio, um aplicativo limpo chamado AvstTest.apk foi enviado ao serviço. O arquivo .apk exportado foi renomeado para AvstTest[SecApk].apk. Além disso, o apktool e o dex2jar foram utilizados para decodificar as funções do .apk e converter os arquivos .dex em .jar.

Estrutura da pasta

A estrutura interna do arquivo convertido pode ser vista na figura acima. Aparecem as duas novas pastas: lib e assets. A pasta lib contém dois arquivos que são necessários pelas bibliotecas de compartilhamento na plataforma ARM.

3 armeabi folder

A pasta assets contém um arquivo jar criptografado chamado bangle_classes.jar. Este arquivo é uma versão criptografada do original classes.dex. Além disso, a pasta meta-data contém os arquivos necessários para a criptografia RSA.

4 assets folder

O arquivo manifest do Android também é alterado, mas somente para fazer o link com o novo arquivo dex. A classe com.secapk.wrapper.ApplicationWrapper será chamada sempre que o processo for iniciado.

6 manifest file

A estrutura interna do arquivo classes.dex também é alterada. No novo arquivo dex, podemos ver a nova classe ApplicationWrapper que é utilizada para carregar na memória a versão não-criptografada do arquivo classes.dex. A estrutura do arquivo dex original pode ser vista do lado direito da imagem abaixo.

1

A real preocupação deste artigo do nosso blog é que cada arquivo que utiliza esta proteção pode ser detectado como um PUP (Programa Potencialmente Indesejado). Muitos criadores de malware utilizam esta proteção para tornar indetectáveis as suas amostras maliciosas. Paralelamente, aplicativos legítimos utilizam a proteção para fugir da engenharia reversa, decompilação, injeção de código malicioso e outros usos ilegais.

É uma verdadeira terra de ninguém.

A empresa que criou esta proteção afirma que cada arquivo é verificado por várias definições de vírus. O problema é que os malwares dia-0 existem e alguns deles são realmente difíceis de detectar. No caso do malware protegido pelo SecApk penetrar no mercado oficial, será difícil de detectar. A escolha mais segura é detectar o compactador SecApk e informar o usuário que o aplicativo que ele está a ponto de executar é potencialmente indesejado (PUP).

A segunda parte deste artigo explicará em mais detalhes o processo que o compactador utiliza para carregar o código original na memória do sistema.

O avast! protege os usuários do Android

O avast! Free Mobile Security detecta e avisa ao usuário sobre estes aplicativos (maliciosos ou não) que são compactados com o SecApk e podem ser potencialmente perigosos. No momento, não há outro meio de proteger eficientemente os nossos usuários. Se você é um desenvolvedor, uma boa dia é repensar o uso deste tipo de protetores em seus aplicativos.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

5, março, 2014

Como gerenciar os arquivos que o avast! não conseguiu escanear?

howto2_enPergunta da semana: na semana passada eu rodei um escaneamento completo com o avast! Antivírus no meu computador e, quando ele terminou, ele me mostrou uma mensagem dizendo que alguns arquivos não puderam ser escaneados porque estavam protegidos por senha. Todos eles tinham a extensão .png, por isso, eu fiz uma pesquisa de todo o disco digitando *.png e os itens mostrados eram fotos que o nosso neto postou no Facebook da sua recente viagem à Tailândia.

Minha pergunta é: estes arquivos .png são inócuos? Se não, o que eu devo fazer? Eu realmente não quero ter arquivos no meu computador que o avast! não possa escanear.

Obrigado por sua pergunta. Esta é uma pergunta muito comum no fórum do avast!, por isso, é muito útil respondê-la também aqui no nosso blog.

Os arquivos que não podem ser escaneados são somente isto: arquivos que, por uma razão ou outra, não podem ser escaneados. Isto não é uma indicação de que são arquivos suspeitos ou infectados, simplesmente significa que estes arquivos necessitam outras permissões antes de que possam ser efetivamente abertos e escaneados pelo avast! Antivírus.

Muitos programas (geralmente relacionados com a segurança) utilizam legitimamente senhas para proteger seus arquivos. O avast! não sabe esta senha e não as pode descobrir, mesmo se quisesse. Uma vez que a senha for fornecida pelo programa que utiliza estes arquivos, o avast! irá verificá-los quando forem efetivamente abertos ou executados. Se algo oculto acontecer, o avast! irá bloqueá-los. Enquanto eles estiverem protegidos por uma senha, os arquivos não oferecem nenhuma ameaça a você ou ao seu computador.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
6, janeiro, 2014

O avast! Mobile Security atinge nota 100 em desempenho e proteção para Android

AV-TESTNos últimos testes do laboratório independente AV-TEST, o nosso produto de segurança para a plataforma Android, o avast! Mobile Security, ganhou a nota máxima.

Foram analisados 28 produtos de segurança utilizando as suas configurações padrão. Os itens avaliados foram a capacidade de detecção de malware, a facilidade de uso, o desempenho e o número de falsos positivos (arquivos limpos erroneamente marcados como infectados).

O avast! detectou todos os 2.124 malwares recentes, sem tornar lento ou comprometer o desempenho do seu smartphone ou tablet e sem errar em nenhum dos 715 arquivos limpos, isto é, sem nenhum falso positivo. Também o uso da bateria foi considerado e o avast! se saiu perfeitamente no teste.

Os especialistas também destacaram outras características do avast! Mobile Security, como as funções antifurto (bloqueio, apagamento e localização remotos); o bloqueador de chamadas e SMS que protegem você contra spams; o protetor contra sites maliciosos e phishing para sua navegação móvel; o firewall e o medidor de tráfego que gerenciam o acesso à sua rede de dados e permitem reduzir sua conta no final do mês.

VPNO avast! também oferece as funções de backup dos seus arquivos (documentos, imagens, vídeos, músicas, aplicativos e configurações) no avast! Mobile Backup e proteção para o uso dos aparelhos em redes WiFi abertas e públicas com o avast! SecureLine VPN, criptografando e tornando anônima toda a sua navegação.

Recomende o avast! Antivírus
e ganhe prêmios!

Você sabia que pode acumular pontos quando recomenda o avast! Antivírus a seus amigos? Quando seus amigos instalam o avast!, você acumula pontos e pode ganhar prêmios ou licenças grátis do avast! Internet Security. Saiba mais sobre o nosso programa de fidelidade e comece a acumular pontos!

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Comments off
13, novembro, 2012

Problema duplo

Android é uma das plataformas que mais cresce no mundo. No segundo quadrimestre deste ano houve mais de 300 milhões de aparelhos Android ativos. O aumento foi de quase 900.000 novos aparelhos por dia e continua crescendo. O Android está em mais de 60% de todos os aparelhos móveis do mundo! Por sinal, nascem cerca de 300.000 crianças por dia em todo o mundo, e este número está em constante declínio.

Lado a lado com esta tendência está o crescimento dos aplicativos e dos vírus para esta plataforma. Em alguns posts do blog nós mostramos que elas são especialmente engenhosas. A primeira vista, tentam se passar por um aplicativo normal do Google Play, mas é apenas uma ilusão. São aplicativos falsos que não somente baixam outros malwares, mas também são capazes de enviar mensagens de texto pagas sem o conhecimento do usuário.

Depois de instalados, substituem o Google Play original do menu e esperam ser ativados pelo usuário.

Imediatamente após iniciar pedem que você atualize o programa e então os seus problemas continuam assim: “Atualização crítica, instale a nova versão, clique para continuar”.

Depois desta passagem segue-se outro download malicioso quando este link é mostrado:

Depois da instalação de um segundo aplicativo, o seu telefone se torna uma máquina de sugar dinheiro. Sem o seu conhecimento, ele começa a enviar mensagens para números pagos. Felizmente, nós impedimos esta ameaça e o avast! detecta ambas infecções como Android:OpFake-BV.

Este arquivo é facilmente acessível a partir de mais de trinta páginas infectadas, e a partir delas várias lojas e páginas de download! Mas os usuários do avast! não têm com que se preocupar e estão protegidos mesmo que visitem estas páginas sem querer.

SHA dos arquivos infectados:

8CA2E64E008BA4FC667809D4DD9FA2CE98F8AF248F1DE7B280636555EF09EF40
DCE5A75092996B4388644B1E56A0F07FCB05F4C069E14AE269075EC2A33DA3FF

Comments off
8, outubro, 2012

Você recebeu o nosso Relatório de Atualização?

As definições de vírus do avast! são atualizadas algumas vezes por dia para que você esteja protegido contra as últimas ameaças que aparecem na rede. Atualmente, recebemos mais de 50.000 amostras de vírus por dia em nossos laboratórios. Isto é possível porque temos a maior base de usuários do mundo: quase 200 milhões. Automaticamente, sem necessidade de que você tenha trabalho, nossos computadores analisam estas informações, confirmam os vírus e disponibilizam a proteção para todos os usuários do avast!

Após cada atualização, o Relatório de Atualização mostra estas informações para você!

Você também pode gerar o Relatório manualmente: abra o avast!, vá para “Configurações” e depois para a aba “Popups”, clique então em “Gerar um relatório agora!”.

Categories: General Tags: ,
Comments off
24, outubro, 2011

Não aceite doces de estranhos…

Essa frase clássica vem sendo repetida por muitas gerações, e aposto que alguma avó ou tia já buzinou isso em seus ouvidos…

Na verdade o que me motiva a utilizar essa sabedoria popular, aqui, é perceber que certos serviços gratuitos oferecidos na tão mencionada Cloud (Internet) são verdadeiros enganadores de criancinhas. Com o crescente uso da rede, e a abolição de mídias físicas para armazenamento de dados (hoje os netbooks e tablets não contam mais com drives ópticos, e alguns modelos nem mesmo disponibilizam entradas USB) o usuário fica atrelado ao uso de ferramentas de troca e armazenamento online, sendo que muitas vezes, a idéia de economizar dinheiro na compra de um hardware com mais capacidade acaba por trair o objetivo inicial – manter os seus dados e arquivos seguros e disponíveis.

Em nosso relatório mais recente de sites infectados, posso contar no mínimo uns 4 discos virtuais gratuitosinfectados com malwares.

Fique atento para não achar que marmelada é marrom glacé, e por falar nisso, o homônimo do primeiro doce citado (.com.br) pode te dar algumas cáries binárias.

Vai um cookie aí?

Comments off
26, abril, 2011

O Virus Lab da avast! descobre novo truque em PDFs – malware em preto e branco

PRAGA, República Tcheca, 26 de abril de 2011 – Os cibercriminosos estão fazendo uso do filtro de imagem para codificar malwares em arquivos Adobe PDF, relata o Laboratório de vírus da avast!

O truque usa o filtro JBIG2Decode que é projetado especificamente para a codificação de imagens monocromáticas. As especificações do filtro JBIG2Decode permitem que o arquivo PDF malicioso não seja reconhecido pela maioria dos antivírus. O conteúdo codificado é o bem conhecido CVE-2010-0188, uma vulnerabilidade TIFF no Adobe Reader.

“O algoritmo JBIG2 funciona aqui porque todos os dados – texto ou binário – podem ser declarado como uma imagem monocromática de duas dimensões”, disse Jiri Sejtko, analista de vírus sênior. ”Quem teria pensado que um algoritmo de imagem pode ser usado como um filtro padrão em qualquer objeto de fluxo? Nós não esperava tal comportamento.”

A definição do objeto referenciado a partir da matriz XFA mostra que o objeto não é um dado de imagem e tem 3125 bytes. Dois filtros – FlateDecode como o primeiro e JBIG2Decode como o segundo – devem ser usados para decodificar os dados originais.
“Nós vimos este truque sujo sendo usado em um ataque com alvo específico e o vimos sendo utilizado até agora em um número relativamente pequeno de ataques em geral. Isso é provavelmente porque ninguém é capaz de detectá-lo “, acrescentou.
A vulnerabilidade é corrigida nas versões atuais do Adobe Reader, apenas as versões mais antigas do programa são afetadas. ”Esta é outra razão para manter o seu Adobe atualizado”, disse Sejtko.

Comments off