Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Virus Lab’
18, junho, 2013

Android:Obad – malwares ficam mais inteligentes… O avast! também.

det

Se você teve o privilégio de topar com o Android:Obad, descrito previamente pelo laboratório Kaspersky como sendo o “mais sofisticado malware para Android”, você está agora em uma situação muito difícil e provavelmente este é o momento em que você deveria ter pensado: “Aprendi do jeito mais duro o que significa que é melhor estar seguro do que arrependido”. Alguns dias atrás nós identificamos uma nova variante desta ameaça. Há uma chance de você ter topado com estes caras antes que começássemos a detectá-lo, porque se as nossas definições de vírus genéricas não identificam o malware, sempre há um pequeno período de tempo antes de que consigamos detectá-lo. Na maioria dos casos isto não é um problema, pois é possível desinstalar o aplicativo malicioso. Desta vez, isto não funciona…

O problema que estamos enfrentando agora é chamado “Administrador do dispositivo“. Depois que você executou o aplicativo infectado com Android:Obad, você será perguntado se deseja tornar o aplicativo um “Administrador do dispositivo”, o que requer apenas mais alguns cliques e não é difícil de fazer. Depois disso, não há nenhum retorno porque este malware utiliza uma vulnerabilidade previamente desconhecida que o permite chegar às profundezas do sistema e até ocultar-se da lista de “Administradores do sistema”, único lugar onde poderíamos gerenciá-lo. Você não poderá desinstalá-lo a partir da aba de Aplicativos das Configurações porque todos os botões estarão desabilitados e não irão funcionar.

scr

Sorte sua: o avast! Mobile Security irá salvá-lo de ter de fazer uma reconfiguração de fábrica no aparelho, o que certamente seria uma das soluções. Mas não se preocupe, você está seguro conosco. Com a última atualização do avast! Mobile Security, garantimos que os mais poderosos Trojans como o Android:Obad serão bloqueados com chumbo grosso, se necessário. Portanto, quando você se deparar com malwares que utilizam as funções de “Administrador do dispositivo”, lembre-se que o avast! Mobile Security consegue limpá-lo. Primeiro, você verá o bom e velho aviso de que algum aplicativo é um malware (primeira figura) ou você verá o relatório do escaneamento que informará que alguns aplicativos são maliciosos.

screenX

Siga em frente e clique “Resolver todos” os problemas ou clique em algum deles especificamente e depois escolha “Desinstalar“. Depois, você verá uma janela com o título “Administrador do dispositivo” e será perguntado se deseja Desativar o “administrador do dispositivo” para o aplicativo malicioso que está tentando desinstalar.

screen2

Clique em “Desativar” e deixe que o avast! Mobile Security faça o resto, utilizando técnicas que irão envolver chumbo grosso no malware. Não se preocupe, a única coisa que irá morrer é o aplicativo malicioso, que realmente merece este fim.

screen3

A última coisa que precisa ser feita é clicar OK na próxima tela e outro OK depois que o aplicativo for desinstalado. Pronto, está tudo feito e você está seguro novamente.

Os hackers tentam cada dia criar malwares ainda mais daninhos e estão avançando, mas também nós estamos tornando a nossa proteção ainda mais poderosa. Acreditamos que o avast! Mobile Security é provavelmente o único aplicativo antimalware que consegue limpar o Android:Obad e outros malwares semelhantes. Portanto, como sempre, o mais importante aqui é que você deve utilizar somente o Google Play quando procurar por aplicativos.

Este é o veredito: É melhor estar seguro do que se arrepender.

Informação adicional:

Virustotal report for newly identified sample (9/47)

Virustotal report for previously discovered sample (16/46)

4, abril, 2013

Falsas páginas de login no Facebook espalhando malwares através de aplicativos Facebook

Outra onda de phishing está se espalhando entre os usuários do Facebook. Imagine que você receba uma mensagem de outro usuário do Facebook com um link para um maravilhoso aplicativo para o Facebook. Mesmo que a pessoa que envie não seja seu amigo, você decide visitar o link. Em vez de um aplicativo, você vê uma página de login falso do Facebook. Mas aqui está a pegadinha: você não sabe que ela é falsa!

Recentemente, nós encontramos muitos aplicativos para o Facebook que não fazem nada além de redirecionar os usuários para uma página de login falso do Facebook. Você não pode reconhecer que é falso pelo link. O URL do aplicativo é parecido com o http://apps.facebook.com/app_id onde app_id é um número de identificação do aplicativo com 15 dígitos. O link do aplicativo normalmente contém o nome (http://apps.facebook.com/app_name), mas utilizar o ID do aplicativo também é possível.

img1_1

Quando você clica no link, você vai parar em um dos muitos domínios hospedados em 31.214.222.240, 204.27.56.124, 208.94.240.74 ou 208.94.244.76.

img2

Para convencer os usuários do Facebook de que o site está localizado em ‘facebook.com’, o nível mais baixo dos subdomínios são sempre ‘facebook.com.profile.accounts.login’. O site que você vê não é muito diferente da página de login legítima do Facebook. Além disso, o site falso dá a impressão que quando foi visitado, algo de errado aconteceu e imediatamente você saiu (logoff). Mas se você verificar a sua barra de endereços, você verá que não é a página legítima do Facebook.

img3

Além do URL na barra de endereços há outras pequenas diferenças entre a página falsa de login e a verdadeira. Você pode notar que a página falsa está disponível somente em inglês. Se você tentar clicar em outra língua para alterá-la, nada irá acontecer. Da mesma forma, os links “Forgot your password”, “Help” ou “Developers” no canto direito da página não funcionam. A informação de copyright do Facebook é datada de 2012 em vez de 2013.

Se você não reparou em todos estes sinais e preencheu o seu nome de usuário e senha e tentou efetuar login, você foi redirecionado para http://www.youtube.com. O que aconteceu com o seu nome de usuário e senha?

Nós comparamos o código fonte das páginas de login falso e verdadeiro do Facebook, em especial, a parte do formulário de login. Em vez do arquivo php oficial de login (https://www.facebook.com/login.php), a página falsa utiliza um arquivo php chamado “next.php” que está localizado no servidor dos hackers ou em um serviço de hospedagem gratuito. O arquivo “next.php” permite que os hackers salvem as suas informações de login em um arquivo texto. Depois disso, eles simplesmente analisam este arquivo texto e obtém a sua senha, abrindo as portas para a sua conta no Facebook.

Formulário de login da página legítima do Facebook:

img5_1

Formulário de login da página falsa (phishing) do Facebook:

img4

A melhor maneira de proteger as suas contas online de ataques de phishing é ser muito cuidadoso onde você escreve a sua senha, sempre verificar o URL na barra de endereços antes de efetuar login e utilizar o avast! Internet Security. Todos os endereços IP mencionados são bloqueados pelo avast! antivírus, bem como todos os domínios onde são hospedados. A página de login falso é detectada com o nome de HTML:Phish-O [Trj].

Links relacionados:

http://www.techgainer.com/what-is-fake-facebook-login-page-and-how-it-is-used-to-hack-facebook-account/

Comments off
28, março, 2013

Malware em aparelhos móveis

Vários dias atrás nós recebemos uma reclamação sobre javascrpt.ru. Depois de pesquisar um pouco, nós descobrimos que o código tentava se passar por ajax.google.com e jquery, mas, na prática, era um pacote redirecionador criptografado.

Depois de remover duas camadas de ocultamento e criptografia, nós encontramos uma lista de condições e colocamos o nosso foco nos aparelhos móveis.

conditions

Tudo começa quando um usuário navega a partir do seu aparelho móvel visitando um site legítimo que foi alvo de hackers. Este site contém um link para o site do javascrpt.ru, para onde os dados do navegador do usuário são enviados. Se o script hospedado em javascrpt.ru reconhece o usuário como pertencente aos da lista de condições, o visitante é redirecionado para o site malicioso, geralmente hospedado legitimamente, mas que distribui arquivos maliciosos para os aparelhos móveis. Quando os usuários vão a este novo site, o download da infecção começa. Nós registramos comportamentos diferentes em distintos aparelhos.

Para aparelhos não-Android, um arquivo chamado load.php (2DECBD7C9D058A0BFC27AD446F8B474D99977A857B1403294C0D10078C2DB51D) é baixado, ainda que, na prática, seja um arquivo Java. Mas, como vocês podem ver, nossos usuários estão protegidos:

java

Mas a questão é o que realmente está acontecendo com os usuários desprotegidos.

Depois de executar este arquivo, o usuário espera que o aplicativo executado seja iniciado, mas, neste caso, uma lista de condições aparece. E a primeira linha é “Para ter acesso ao conteúdo, você deve concordar com os termos apresentados abaixo”. E quais são estes termos?

1. Para ter acesso ao conteúdo do serviço wa**y.ru/ é preciso efetuar o pagamento enviando 3 mensagens SMS.

2. Para ter uma informação completa dos preços, visite o site: www.mo****1.ru/ (No momento, este site não está no ar).

Tanto os aparelhos Android como os outros estão enviando SMS a números premium russos.

NUMBER = “7255″
NUMBER = “7151″
NUMBER = “9151″
NUMBER = “2855″

Depois de enviar os SMS, um simples aplicativo ICQ é baixado do mesmo site: *REMOVIDO*/land_paysites/files/icq.jar

Para mostrar melhor o que acontece quando este site é visitado em um aparelho Android, veja as próximas três figuras:

Primeiro, um arquivo chamado, por exemplo, browser.apk (94FDC9CFD801E79A45209BFDC30711CB393E39E6BF2DD43CE805318E80123C14) é baixado sem o consentimento do usuário.

Você pode ver na primeira janela de instalação que o aplicativo solicita acesso a serviços pagos suspeitos. Já nas permissões do aplicativo você pode encontrar itens suspeitos como acessar suas mensagens e também efetuar chamadas diretas a números de telefone pagos. Mas, felizmente, o avast! bloqueia o aplicativo antes que ele custe dinheiro para você.

browser2

Se um usuário instalar este aplicativo, o comportamento é muito similar ao encontrado nos aparelhos não-Android. O aparelho envia mensagens de texto pagas àqueles números e depois baixa e instala um navegador Dolphin básico do link h***t.ru/land_browsers/files/dolphin.apk

Os usuários devem estar realmente atentos caso encontrem algum aplicativo desconhecido em seus aparelhos móveis. Felizmente, todos podem ler o que o aplicativo solicita como permissão, mas, infelizmente, a maioria dos usuários não presta atenção às permissões solicitadas e isto pode custar muito dinheiro. Utilizar um bom antivírus pode ajudar a se manter protegido.

Comments off
25, março, 2013

Os legendários malwares bancários brasileiros

Alguns dos sistemas afetados

Queremos apresentar uma análise de longo prazo de um malware que foi projetado para roubar dados bancários dos maiores 25 bancos e sistemas de pagamento no Brazil. As funções únicas deste malware bancário incluem o uso de certificados digitais válidos, além de três anos de experiência no roubo de credenciais de páginas de administração de sistemas de pagamento online. Estas funções abrem as portas para os ladrões que podem então ter acesso aos sistemas e-commerce e roubar as informações sobre os clientes e seus pagamentos.

Esta família de malwares combina todo este poder e serve como uma ferramenta multifuncional para o roubo de recursos e dados pessoais sigilosos com uma eficiência apavorante.
Baixe aqui o artigo completo (em inglês) no formato PDF.

Comments off
14, fevereiro, 2013

avast! Antivirus 2012 Trial? Não, apenas um scam

Eu não sei que tipo de curiosidade leva as pessoas para cantos obscuros da internet quando desejam obter uma nova versão de um programa antivírus. É algo irracional tentar encontrar um software de segurança em locais inseguros. Mas… acontece.

FP submission

Informe de falso positivo

Como você pode ver, o nome do arquivo é Avast_Antivirus_2012_Trial_Verion.exe, mas definitivamente não é um programa que lançado por nós. Aqui estão alguns fatos que valem a pena ser lembrados:

  • Nós não distribuímos novas versões através de portais alternativos/suspeitos. A melhor forma de baixar a versão mais recente é visitar www.avast.com
  • Nossos instaladores originais são assinados digitalmente com um certificado válido
  • Nossos instaladores tem o típico ícone com a letra “a”

O arquivo mencionado no informe de falso positivo acima não foi baixado de nenhuma fonte oficial. Ele não tem a assinatura digital e não possui ícone. De fato, é um perigoso vírus (bootkit dropper) – Sirefef/ZeroAccess – que ninguém deseja no seu computador.

Análise VirusTotal: https://www.virustotal.com/en-gb/file/990974a2a557796c8ad2a8fbd1cd59a1867a8557f7a5fe7fb9e508f52874ce3f/analysis/1360768918/

Categories: Analyses, Virus Lab Tags:
Comments off
6, fevereiro, 2013

O vírus Bicololo se espalha

Em outubro, nós escrevemos em nosso blog sobre um Cavalo-de-Tróia russo chamado Bicololo. Desde então, o malware continuou a se espalhar ainda mais em formas mutantes. Hoje em dia, o avast! protege milhões de PCs destas infecções.

Breve descrição

O Bicololo é caracterizado pelo seu exclusivo vetor de ataque, que permaneceu sempre o mesmo. O seu principal objetivo é injetar-se no arquivo etc/hosts da vítima e redirecionar o tráfego da internet da maioria dos sites das redes sociais utilizadas na Rússia para servidores falsos (phising). Os alvos mais frequentes são vk.com, odnoklassniki.ru e mail.ru. Uma vez que a vítima infectada digita estes endereços no navegador é apresentado um formulário de login falso. Como nenhum dos serviços atacados utiliza por padrão conexões seguras via HTTPS, não há uma forma simples para que o usuário saiba que está em perigo e informando a sua senha aos hackers.

Atualmente, o malware se espalha principalmente através de duas formas que sofreram drásticas mutações – e continuam sofrendo duas a quatro novas por semana – desde o nosso artigo prévio no blog. Isto pode ter sido causado pelo nosso esforço ativo de lutar com todas as nossas forças contra ele, forçando os autores a acrescentar uma alta randomização e remover do código do malware todas as rotinas desnecessárias.

Versões atuais

A versão “estável” mais comum vem através de um arquivo auto-extraível Cabinet. Uma vez executado, ele baixa quatro arquivos em uma estranha pasta chamada “Arquivos de programas” e se auto-executa. O primeiro arquivo baixado é um .bat obfuscado e aleatório que provoca a infecção do arquivo etc/hosts. Outros dois arquivos são scripts do Visual Basic. Um deles carrega um arquivo texto com um URL que efetua uma contagem e informa os autores da infecção. Desta maneira, os autores gerenciam suas atividades maliciosas. O outro script oculta o arquivo hosts infectado e cria um arquivo vazio etc/hOst onde o ‘O’ é uma letra cirílica. Esta forma de infecção permanece invisível se o Windows estiver em suas configurações padrão de não mostrar arquivos ocultos.

A segunda nova versão – que nós acreditamos ser ainda “experimental” – é um pouco mais avançada. Ela consiste em um arquivo auto-extraível .rar e baixa outro também em uma pasta chamada “Arquivos de programas”. Geralmente contém dois arquivos executáveis. Um deles costuma ser algum programa legítimo e gratuito disponível na internet. Por exemplo, na semana passada, nos encontramos o Filezilla FTP, o jogo Minecraft ou o ativador do Windows 8. O outro executável é compilado em Visual Basic e faz o trabalho sujo principal: infectar o arquivo hosts executando um arquivo .bat, ocultando-o e notificando o contador de infecções. Vale a pena notar que o arquivo .bat desta versão é ainda mais aleatório. Além disso, esta versão infecta o Registro do Windows e faz uma verificação na inicialização do sistema se o arquivo hosts continua no local.

obfuscated Bicololo BAT file

Arquivo .bat criptografado do Bicololo

Métodos de disseminação

As antigas versões se espalhavam através de download de sites hackeados, especialmente os que continham ferramentas WordPress ou Joomla!. Os links para baixar parecem-se com estes:

http://***estylehostel.ru/media/file/index.php?q=%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1+windows+8&zip=1

http://***enn.ru/blogs/file/?q=%FE%E0%F0+%F1%EB%E0%E9%E4%FB+%F0%E5%F4%E5%F0%E0%F2%2D55479%2D55479&zip=1

http://srv16499.***nkddns.com/download.php?q=asku_na_telefon_ldzhi.zip

A chave de busca pode conter o nome codificado do URL do arquivo infectado bem como comandos simples para a infecção. Desta forma, a aparência final do vírus depende do URL e também das diferentes versões que podem ser baixadas a partir de um único arquivo gerador, o que torna a detecção mais difícil.

A coisa mais interessante sobre esta nova versão é o uso de uma forma de disseminação muito efetiva. Ela utitliza também sites hackeados, mas de uma forma diferente. Se um simples endereço URL for utilizado para disseminar o vírus, ele poderia ser facilmente bloqueado. O problema aparece quando há muitos deles. Os desenvolvedores de malware descobriram este ponto fraco e utilizam a seu favor. Eles modificam o site padrão de erro HTTP 404 (Não encontrado) para enviar o vírus. Isto dá a eles um número virtualmente infinito de possíveis URL para baixar o vírus! Tudo o que eles precisam fazer é postar alguns links quebrados. Aqui estão alguns exemplos de sites infectados.

http://***smeigh.com
http://***sgrisparlour.com

Resta uma questão a ser respondida. O que atrai os usuários a estes URLs infectados? O que nós percebemos é que os autores destes malwares apresentam os URLs como sendo links para baixar jogos, cracks e keygens em diferentes sites sociais e forums. Nós também detectamos o vírus sendo enviado como anexo a emails e também em serviços de compartilhamento de arquivos. A seguir estão algumas capturas de tela que mostram os links de download do vírus em um vídeo do YouTube sobre a rede social russa.

youtube

Proteção do avast!

Esta família de malware russo sofre mutação e se espalha rapidamente. Não há nenhum indício de que esta tendência mude. Para proteger o seu sistema contra o Bicololo, nós recomendamos que você use a versão mais atualizada do avast! com a Autosandbox habilitada, uma vez que ela detecta mesmo as mais novas variantes do Bicololo.

Categories: Analyses, Lab Tags:
Comments off
27, janeiro, 2013

Programa de premiação por bug de segurança encontrado no avast!

Olá fãs do avast!

No Bugs

É um prazer anunciar oficialmente o novo programa de premiação por bugs do avast!. Sendo uma companhia de segurança, nós sabemos que os bugs de segurança existem. Mas nós também sabemos que as companhias que são capazes de utilizar suas comunidades para descobrir e solucionar bugs têm geralmente mais sucesso do que aquelas que não conseguem este trunfo. Por isso, nós decidimos recompensar as pessoas que nos ajudarem a encontrar e solucionar bugs relacionados com a segurança do nosso próprio software. Isto provavelmente nos torna a primeira companhia de segurança com um programa desta natureza. Eu penso que na maioria dos casos as outras companhias adotam a seguinte posição: “Olha, nós somos uma companhia que oferece segurança. Portanto, nós sabemos o que é segurança e isto não vai acontecer conosco“. Mas, na realidade, não é isto o que está acontecendo. Olhe para os sites de rastreio de bugs ou as bases de dados CVE e você verá que o software de segurança não é mais imune a estes problemas do que qualquer outro programa. Um pouco irônico, já que, antes de mais nada, as pessoas instalam programas de segurança para combater os problemas de segurança, não é verdade?

Nós do avast! tomamos isto muito a sério. Nós sabemos que sendo um líder do mercado (o avast! tem mais usuários do que qualquer outra companhia de antivírus do mundo), nós somos um alvo muito atrativo. Portanto, aqui vai a nossa convocação: vamos nos unir, encontrar e solucionar estes bugs antes que os produtores de malware o façam!

O programa funcionará assim:

  • O programa de bonificação está pensado somente para bugs relacionados com a segurança. Desculpe, nós não estamos pagando por outro tipo de problemas como bugs na interface, tradução, etc. (ainda que, se você encontrar este tipo de bug, naturalmente nós agradecemos muito que você nos informe a respeito).
  • Em geral, nós somente estamos interessados nos seguintes tipos de bugs (em ordem de importância):
    • Execução de código remoto. Estes são os bugs mais críticos.
    • Obtenção de privilégios locais. Isto é, utilizar o avast! para obter direitos administrativos em uma conta não-administrativa.
    • Denial-of-service (DoS). No caso do avast!, seriam típicas BSODs ou falhas no processo avastSvc.exe.
    • Fugas da Sandbox do avast! (através de bugs no nosso código).
    • Alguma forma de bypassar o escâner. Isto inclui bypasses diretos e claros (isto é, cenários que levem a uma infecção direta, com nenhuma intervenção adicional do usuário), em oposição a outras deficências como o motor de descompactação, etc. Em outras palavras, nós apenas estamos interessados nos casos que não podem ser mitigados pela adição de uma definição de vírus (por favor, não informe malware não detectado).
    • Outros bugs com sérias implicações de segurança (que serão considerados caso a caso).
  • O pagamento mínimo é de 200 dólares por bug. Dependendo do grau de criticidade do bug (e da clareza como for encontrado) a recompensa poderá ser muito maior (cada bug será julgado independentemente por um comitê de experts). Bugs de execução de código remoto renderão de 3.000 a 5.000 dólares ou mais.
  • Nós podemos alterar estas faixas de acordo com o número e a qualidade das relatórios que recebermos. De maneira geral, quanto menos relatórios nós recebermos, maior será a recompensa.
  • Nós somente pagaremos por bugs no próprio avast!. Por exemplo, se você encontrar um bug em uma biblioteca da Microsoft (mesmo que ela seja utilizada pelo avast!), por favor, informe à Microsoft (ainda que seria legal que você também nos informasse, mas, infelizmente, nós não podemos oferecer nenhuma recompensa nestes casos).
  • O programa está atualmente limitado às versões do avast! de clientes Windows (isto é, avast! Free Antivírus, avast! Pro Antivírus e avast! Internet Security). Somente bugs das últimas versões lançadas destes produtos serão considerados.
  • O pagamento será feito preferivelmente através do PayPal. Se você não puder aceitar o PayPal (por exemplo, porque ele não funciona no seu país), por favor, entre em contato conosco e nós tentaremos pensar em outra solução.
  • Devido à certas restrições legais, nós não podemos aceitar relatórios vindos dos seguintes países: Irã, Síria, Cuba, Coréia do Norte e Sudão.
  • Cabe ao pesquisador a responsabilidade de pagar quaisquer taxas ou outros impostos do seu próprio país de residência.
  • Para ser candidato à recompensa, o bug deve ser original e não ter sido descoberto previamente.
  • Se dois ou mais pesquisadores encontrarem o mesmo bug, a recompensa somente será paga ao que informar primeiro.
  • Você não pode tornar público o bug até que for lançada uma versão atualizada do avast! que o resolva. Caso contrário, a recompensa não será paga.
  • A recompensa somente será paga depois que corrigirmos o problema (ou, em casos específicos, que nós decidamos não o corrigir).
  • Alguns bugs podem levar mais tempo para serem corrigidos. Nós faremos nosso melhor esforço para corrigir qualquer bug crítico assim que possível. Mas agradecemos a sua paciência.
  • Os empregados da AVAST e seus parentes próximos (irmãos, filhos ou esposa) e parceiros de negócios da AVAST, agências, distribuidores e seus empregados estão excluídos deste programa.
  • Nós nos reservamos o direito de alterar as regras do programa ou de cancelá-lo a qualquer momento.

Como informar um bug e candidatar-se à recompensa:

  • Por favor, envie as informações do bug para bugs@avast.com.
  • Se você quiser criptografar o seu email (recomendado), por favor, utilize esta chave PGP.
  • Um bom relatório de bug deve conter informações suficientes para reproduzi-lo em nossos laboratórios. Por favor, inclua todas as informações que possam ser relevantes, os dados exatos do seu sistema, uma descrição detalhada do bug, exemplos de código (se for o caso), etc. Ele também precisa conter certa análise pertinente: este é um programa pensado para pesquisadores de segurança e desenvolvedores de software e nós esperamos certo nível de qualidade nestes relatórios.
  • Você receberá uma resposta de um membro do avast! confirmando o recebimento do seu email, geralmente em 24 horas. Se você não receber uma resposta, por favor, não pense que nós o estamos ignorando, pois estamos fazendo o possível para dar seguimento ao processo com urgência. Também neste caso, é possível que o seu email não tenha passado através do nosso filtro de spam.

Por fim, eu gostaria de agradecer a todos os que ajudarem a encontrar e corrigir bugs em nossos produtos. Torcemos para que este novo programa de recompensas valorize este tipo de iniciativas.

Feliz caça aos bugs!

Categories: Não categorizado, Technology, Virus Lab Tags:
Comments off
8, dezembro, 2012

O novo brinquedo do Laboratório de Pesquisa do avast!

O Laboratório de Pesquisa do avast! é onde alguns dos mais brilhantes gênios do avast! criam novas formas de detectar malware. Elas podem ser funções dentro do produto (como o FileRep e a AutoSandbox, incluindo todos os seus recentes desenvolvimentos) assim como componentes que estão do nosso lado da empresa, isto é, coisas que os usuários não necessariamente vêem, mas que são igualmente importantes para a qualidade do produto final.

De fato, nos dias que correm, cada vez dedicamos mais tempo aos temas de infraestrutura, pois cada vez mais a inteligência do avast! se move para as nuvens e/ou é distribuída em tempo real através da tecnologia das atualizações streaming.

Os motores de classificação do avast! utilizam várias técnicas, mas as duas mais importantes às quais nossa equipe trabalha arduamente são as que chamamos de Malware Similarity Search e Evo-Gen.

A Malware Similarity Search é uma importante função que nos permite quase instantaneamente categorizar uma grande quantidade de amostras que nos chegam. Ou seja, para cada arquivo, é possível dizer se se parece a outro infectado já conhecido (ou a um conjunto de malwares) ou se, por outro lado, é semelhante a um arquivo limpo (ou a um conjunto deles). Isto pode parecer um problema fácil de resolver, mas, na prática, é bastante difícil. Naturalmente, o segredo está em como você define os padrões (já que estamos falando de semelhança) e o que você leva em conta quando analisa um arquivo. No avast!, nós consideramos tanto as propriedades estáticas do arquivo quanto o resultado de uma análise dinâmica (em outras palavras, as informações coletadas durante a execução do arquivo).

Agora, naturalmente, uma tecnologia como está é muito valiosa, pois nos permite tomar rápidas decisões sobre arquivos que nós nunca vimos antes. Por exemço, se um arquivo é muito semelhante a um conjunto de amostras infectadas conhecidas e, ao mesmo tempo, não é semelhante a nenhum dos arquivos limpos, nós o classificamos imediatamente como malware. Acredite ou não, nós estamos vendo milhares de arquivos como este todos os dias.

A segunda tecnologia que mencionei, Evo-Gen, é parecida, mas um pouco mais engenhosa. Trata-se de encontrar o mais próximo possível uma descrição curta e genérica de grandes conjuntos de amostras de malware. Se você tomar uma amostra de 1.000.000 de malwares (e 1.000.000 de arquivos limpos) e der ao algoritmo a seguinte tarefa: encontre as menores descrições possíveis para o maior número de amostras do conjunto, sem descrever nenhum dos arquivos limpos. Evo-Gen é um algoritmo genético que nós desenvolvemos exclusivamente para isto. Ele geralmente encontra alguns gens reais para nós, por exemplo, uma descrição de um aparente conjunto aleatório de dezenas de milhares de arquivos infectados escolhidos ao acaso do conjunto dos vírus que conhecemos. Qual o tamanho da descrição? 8 bytes.

Agora, se você pensar um pouco sobre isto, você irá descobrir que ambos os algoritmos têm algo em comum. Quero dizer, para ambos é preciso ter um acesso superrápido ao nosso gigantesco conjunto de arquivos limpos e de malwares. Esqueça se for um acesso sequencial (ou que envolva qualquer processamento destes arquivos um por um). Mesmo a leitura destas amostras a partir dos discos levaria horas.

Por isso, nosso time desenvolveu outra grande peça tecnológica que nós chamamos de MDE. É basicamente um banco de dados carregado na memória que trabalha sobre estes dados indexados e que permite um altíssimo acesso paralelo.

Tradicionalmente, nós rodamos estas coisas em um hardware de servidor clássico. Para a maioria do trabalho, nós utilizamos servidores Dell padrão baseados em CPUs Intel Xeon. Contudo, o desempenho nunca foi tão alto e nós sempre pensamos que deveríamos fazer algo melhor.

One of the Intel CPU-based racks used by the Avast virus lab.

Um dos racks com CPU Intel utilizados pelo Laboratório de Vírus do avast!.


A quebra de paradigma veio quando nós começamos a fazer experiências com as GPUs. Para os iniciantes, as modernas GPUs (tanto da NVidia quando da AMD) não estão limitadas a processadores gráficos ou para jogos. O bom delas é que podem ser massivamente paralelizadas: enquanto as atuais CPUs Intel podem conter 6, 8 ou talvez 10 núcleos, as GPUs para jogos podem conter centenas de núcleos. Verdade que cada um deles não é tão poderoso, mas se você soltar o seu potencial com alguns bons algoritmos de paralelização, o desempenho final é maluco!

Por isso, com o MDE, nós agora estamos no processo de transição para uma plantação de “supercomputadores” baseados em GPUs. O ambiente que nós estamos agora testando se parece com este:

GPU Power

Como você pode ver, não é um servidor montado em racks, mas uma estação de trabalho. Uma infernal estação de trabalho diria eu. Com um Intel i7 E3820 4C 3,6GHz e 32 GB DDR3 RAM, que não é um mau começo, mas o legal nesta caixinha são as quatro placas gráficas GPU da NVidia, cada uma com 3 GB de RAM e conectadas uma à outra e com resfriamento externo por água. O monstro é alimentado por uma fonte de 1.500 W, mas caso seja preciso mais, nós podemos acrescentar mais uma.

Ainda que nós não colocamos estes sistemas na linha de produção, nós o faremos em breve. E eu estou seguro que funcionarão, permitindo que entreguemos a vocês, usuários, um produto ainda melhor. Você nunca sabe… Se isto se provar tão útil quando nós pensamos que será, nós acabaremos construindo um dia algo parecido com o Titã

(Enquanto isso, o meu trabalho é manter os jogadores longe da sala do servidor… :-) ).

Comments off
18, outubro, 2012

Windows XP é infectado duas vezes mais que o Windows 7

No primeiro semestre de 2012, a Microsoft teve de remover o dobro malwares de computadores com Windows XP do que dos que rodam Windows 7 ou Vista. Esta foi a conclusão do Microsoft Security Intelligence Report.

Um por cento dos escaneamentos em Windows XP da Ferramenta de Remoção de Software Mal-intencionado descobre uma infecção. Este valor cai para 0,5% nas últimas versões do Windows.

Ainda que a Ferramenta de Remoção de Software Mal-intencionado não detecte todos os tipos de malware, concentra-se naqueles mais espalhados pelo mundo. A infecção mais comum é com Win32/Keygen, muito utilizada em keygens (geradores de chaves ilegais de ativação de programas).

O Brazil é o segundo país com mais detecções, perdendo apenas para os Estados Unidos. As infecções mais comuns são o TrojanDownloader:Win32/Banload e a família de cavalos-de-tróia Win32/Bancos. Ambas capturam senhas bancárias e as enviam por email ou através da internet, geralmente tentando desativar os softwares de segurança (antivírus e firewall) do usuário.

A família Adware:JS/Pornpop também é bastante comum. Trata-se de scripts Java que mostram propagandas popup. As primeiras versões eram exclusivas de sites pornográficos, depois se estendeu a outros.

Comments off
21, setembro, 2012

Se você utiliza o Microsoft Internet Explorer, você pode estar vulnerável – continuação

Enquanto nós estávamos pesquisando os sites utilizados pela nova ameaça do dia-0 do Microsoft Internet Explorer (IE), nós descobrimos que o novo ataque estava baseado em outro um pouco mais antigo em sites de companhias industriais.

Os sites legítimos que foram hackeados contém em suas páginas principais um iframe oculto.


A página July.html contém um código para carregar um arquivo flash, que por sua vez explora uma recente vulnerabilidade no objeto Matrix3D, permitindo explorar e executar silenciosamente um arquivo binário no computador do visitante do site. Em nossa análise, este ataque não possui um código CVE atribuído, nem ele foi relatado estar espalhado na rede (ITW). Ainda que ele tenha sido corrigido silenciosamente no APSB12-19 da Adobe, aproximadamente 40% de vocês, usuários do nosso avast!, ainda dispõem da versão 11.3.x instalada, que é vulnerável. Sem mencionar que outros 40% possuem uma versão ainda mais antiga. A correção foi lançada pela Adobe no dia 21 de agosto, e no dia 24 de agosto nós começamos a receber relatórios da nossa Comunidade IQ com essa vulnerabilidade, o que nos faz pensar que aqueles três dias foram suficientes para que os hackers decodificassem a atualização e descobrissem uma forma de explorar a vulnerabilidade. Nós também fomos alertados do código prova de conceito do dia 4 de agosto, que descrevia a mesma vulnerabilidade.

O executável ocultava em seu interior um arquivo flash com todos as ferramentas de acesso remoto (RATs). Uma delas era o PlugX, as outras eram provavelmente versões antigas do Poison Ivy. Estas ferramentas abriam o computador do visitante aos hackers, quem podiam então fazer livremente o que quisessem: roubar dados, senhas, etc. Todos eles estavam conectados a servidores remotos em serviços de hospedagem muito baratos nos Estados Unidos e no Reino Unido, utilizando domínios anônimos gratuitos (exceto um deles que estava registrado na China).

Mas, com o surgimento da nova vulnerabilidade, nós percebemos a mudança em um dos sites, que utiliza várias bibliotecas Javascript, incluindo a Thickbox.js. Ferramentas especiais mostraram-nos que havia algo suspeito no final do arquivo:

Trata-se do July.swf – ataque flash Matrix3d – que o avast! detecta tanto genérica como diretamente.

O applet.jar com o novo ataque JAVA CVE-2012-4681 e o loading.html com um novo ataque MSIE, que o avast! também detecta.

Com a combinação destes três ataques, os hackers cobriram muitíssimos usuários, pois existe uma grande probabilidade de que pelo menos uma das vulnerabilidades esteja presente no computador do usuário.

Entre os sites hackeados estão o de grandes companhias industriais. Uma vez que os seus sites não são visitados pelo público em geral, mas principalmente por outras pessoas de negócios, nós podemos especular que existe uma correlação com a gangue Nitro, que estava mandando emails para aquelas empresas com ferramentas de acesso remoto (RATs) ocultas, com o objeto de extrair dados dos seus alvos. Portanto, espionagem industrial parece ser o motivo destes ataques.

Aqui está uma visão geral dos sites que nós encontramos utilizando os ataques descritos:

Website Industry Date active Exploit Status
a***.com 120824-120827 Flash não resolvido
a***.com 120824-120905 Flash não resolvido
d***.com óleo de perfuração 120827-120829 Flash 404
c***.***.com.br óleo industrial 120827-120911 Flash site fora do ar
s***.***.com indústria química 120829- Flash ainda ativo
i***.org direitos dos trabalhadores 120829- Flash não resolvido
k***.com.au artigos esportivos 120830-120830 Flash 404
a***.com.au vendas 120905- Flash ainda ativo
d***.in informação militar 120906- Flash, Java, MSIE ainda ativo
g***.com informação aeroespacial 120906-120906 Flash 404
l***.de indústria de iluminação 120910- Flash ainda ativo
c***.com turbinas a gás 120918- MSIE ainda ativo

Ontem, nós decidimos entrar em contato com as companhias desta lista. Até agora, somente uma respondeu e removeu a ameaça, duas removeram a ameaça sem dizer nada e duas ainda mantêm o malware ativo. Nós também solicitamos às companhias que continuassem cooperando para detectar estas ameaças, avaliar o número de pessoas que baixaram os arquivos infectados e outras informações interessantes. Ainda que nós estamos um pouco céticos, nós continuamos seguindo o assunto.

Repetir não faz mal a ninguém, portanto: o avast! protege você contra esta ameaça. Como mostrado acima, nós fornecemos detecção em múltiplas camadas. No entanto, ainda é prudente atualizar os seus programas para a última versão disponível e, se possível, abandonar os programas que lhe trazem mais risco do que benefícios.

PS: Eu (Jindřich Kubec) escrevi que dois sites haviam removido a ameaça, mas isto é parcialmente verdadeiro. Talvez eles o fizeram, mas foram reinfectados ou eles não limparam o site corretamente e… foram reinfectados, mas o Thickbox.js mencionado acima foi atualizado pela segunda vez, agora apenas com o código da ameaça IE:

.

Sem ulteriores pesquisas e sem que os administradores dos sites fechem todas as portas, os criadores de malware ainda têm chance de fazer o que quiserem naqueles sites.

Comments off