Trojan brasileiro impede que usuário atualize o antivírus

Malware também redireciona o internauta para páginas falsas de bancos, mesmo que a URL digitada seja a correta.

Um novo trojan criado no Brasil tenta bloquear o acesso do navegador a sites de companhias antivirus e redireciona o internauta para páginas falsas de bancos, mesmo que ele digite a URL correta. Além disso, o código foi escrito para impedir que antivirus já instalado no PC baixe atualizações.
O vírus, descoberto por Fabio Assolini, analista de malware da Kaspersky Lab no Brasil, utiliza uma técnica chamada de Man in the Browser (MitB). "Esse tipo de infecção funciona alterando a chave “AutoConfigURL” no registro do Windows, fazendo que os navegadores de seu PC usem a URL como proxy (intermediário) em sua conexão web", diz. 
Se o usuário infectado tentar acessar um site para baixar algum antivirus, verá a seguinte mensagem: “Serviço indisponível temporariamente, tente mais tarde...”
O código traz uma lista de servidores usados pelas companhias antivirus para distribuir atualizações para seus usuários. "O intuito é claro: tentar impedir o antivirus instalado de baixar atualizações e assim detectar a praga ativa e removê-la", explica o analista.
A praga também altera as configurações do Firefox e registra um arquivo na inicialização. Esse arquivo atualiza o proxy malicioso no sistema, caso o mesmo seja removido pelos serviços de hospedagem. "Assim, o criminoso tenta garantir que a vitima fique infectada o maior tempo possivel", afirma.
 

Trojan se “disfarça” de suíte de segurança da Microsoft para infectar PCs


Microsoft Security Essencials tem 30 milhões de usuários, o que o transforma em alvo para disseminação de golpes.

Um trojan (ou cavalo-de-Tróia) “disfarçado” como a suíte de segurança Microsoft Security Essentials tem rodado a Web em uma tentativa de enganar os internautas e infectar PCs. A informação é da empresa de segurança digital F-Secure.
Em seu blog, a F-Secure afirma que o falso Security Essentials é muito parecido com uma outra versão falsa da mesma suíte, detectada pela Microsoft em fevereiro deste ano.
Atualmente, o Security Essentials conta com 30 milhões de usuários. Devido à sua popularidade, ele vem se tornado alvo de crackers para atrair usuários, induzindo-os a baixar e instalar versões contaminadas do programa. A partir daí, trojans e spywares são introduzidos no computador, roubando dados sigilosos das vítimas, como senhas bancárias e números de cartão de crédito.
O uso de aplicativos populares para instalação de malwares é um expediente cada vez mais usado por crackers para golpes financeiros e para que suas ações tenham a maior repercussão possível.
A F-Secure recomenda aos internautas e empresas que mantenham suas soluções de segurança atualizadas, para que as mesmas possam detectar esse tipo de ameaça.
 

Nova falha grave afeta todas as versões do Windows


Código para explorar o bug de segurança já foi publicado, alerta a Microsoft; problema ocorre com o Internet Explorer em sites contaminados.

A Microsoft alertou que crackers divulgaram na web instruções de como explorar uma brecha de segurança previamente desconhecida (0-day) em todas as versões do Windows.
Essa falha é especialmente perigosa por sua capacidade de induzir os usuários a instalar malware ou software de acesso remoto.
O bug permite que crackers executem códigos Javascript caso o usuário visite um site malicioso usando o Internet Explorer. Muitas vezes, são sites confiáveis que foram infectados com código de malware por meio de uma técnica conhecida comoinjeção de SQL, e a infecção é feita sem que o usuário perceba.
A fabricante do Windows diz que já está trabalhando em um patch, mas que, enquanto isso, é possívelinstalar uma solução que protege a forma como o Windows lida com documentos no formato MHTML.

Andrew Storms, diretor de segurança da empresa nCircle, disse ao site Infosecurity que 2011 não começou bem para a Microsoft.
"No início de janeiro um técnico da Microsoft postou uma explicação de cinco bugs de segurança públicos que a empresa estava estudando", disse ele, acrescentando que apenas duas semanas, pouco depois, já existe outro erro para acrescentar à lista.
À primeira vista o alerta parece grave, porque afeta todas as versões do Windows. No entanto, de acordo com os experts, apesar de o código de exploração (exploit) ter sido divulgado, a realização de um ataque usando esse bug de cross-scripting ainda não é simples. No entanto, como em todo ataque do tipo, é só uma questão de tempo até os crackers começarem a utilizar o exploit.


Microsoft alerta para falha que afeta 900 milhões de usuários


 . Foto: Divulgação

 A Microsoft emitiu um alerta para uma falha de segurança em todas as versões do Windows, que pode afetar cerca de 900 milhões de usuários do Internet Explorer - já que o defeito aparece na forma como o navegador lida com algumas páginas e documentos web. A falha, considerada muito séria, foi recentemente descoberta e poderia ser explorada por hackers para roubar dados pessoais ou assumir o controle de computadores.

A Microsoft admite a seriedade do problema - o usuário, ao clicar em um link, roda um script malicioso em seu PC e, assim que a máquina é afetada, hackers poderiam roubar dados pessoais - mas diz também que não há evidências de que a vulnerabilidade já tenha sido explorada por criminosos. O problema afeta todas as versões do sistema operacional utilizadas atualmente, incluindo Windows XP (SP3), Windows Vista, Windows 7, Windows Server 2003 e Windows Server 2008 (R2).
A empresa, que trabalha em uma solução para resolver o problema, anunciou um "patch" de segurança, que está disponível no atalho http://tinyurl.com/6kpwn6x e que protege a maneira de o IE lidar com o MHTML.
Os navegadores Firefox, Google Chrome e Safari não são afetados pela ameaça, porque, ao contrário do Internet Explorer, não suportam arquivos MHTML, onde parece residir o problema, segundo o jornal britânico


Saiba o que são falhas de segurança 'dia zero' e como se proteger delas

Ataques desse tipo exploram falhas até então desconhecidas.
Participe da coluna enviando suas dúvidas sobre segurança.
Na semana passada, a Microsoft e a Adobe lançaram atualizações para o PowerPoint e para o Reader, respectivamente, para corrigir falhas de segurança “dia zero”. A coluna Segurança para o PC de hoje esclarece esse termo, e também explica por que você deve se preocupar com falhas desse tipo e o que fazer para evitar os ataques.

>>>> O que são as falhas dia zero
Ataques dia zero exploram brechas até então
desconhecidas (Foto: Divulgação)
Ataques dia zero exploram brechas até então desconhecidas

Praticamente todos os softwares têm falhas de segurança – problemas de programação que dão à indivíduos mal-intencionados possibilidades antes inexistentes, como por exemplo infectar um PC por meio de um arquivo de música, foto, documento ou página web. Muitas dessas vulnerabilidades ainda não foram descobertas, e centenas são corrigidas todos os meses em versões novas e atualizações diversas.
Quando uma atualização é divulgada, um criminoso utiliza uma técnica chamada engenharia reversa para descobrir qual foi o erro corrigido. Ele faz isso para conseguir explorar o problema nos sistemas dos usuários que, por algum motivo, não instalaram a atualização.
Uma brecha dia zero, porém, é aquela que ficou sendo conhecida publicamente antes mesmo que o desenvolvedor do software (ou hardware) lançasse uma atualização para corrigi-la.
Pesquisadores de segurança éticos avisam as empresas antes de divulgarem qualquer informação a respeito de um problema de segurança. Assim, os detalhes que permitiriam que a brecha fosse explorada são apenas conhecidos pelo desenvolvedor, pelo menos até o dia em que a atualização for publicada.
No entanto, criminosos não têm interesse em melhorar a segurança dos programas, mas apenas explorar os erros que existem. Por isso, em vez de avisar a empresa ou indivíduo responsável, eles irão tentar usar a falha para ganho próprio. Assim, a vulnerabilidade estará sendo explorada antes mesmo que uma correção esteja disponível. A falha então vira "dia zero".
Em outros casos, um pesquisador de segurança pode decidir publicar as informações técnicas detalhadas de uma brecha que ele descobriu. Isso pode acontecer porque o pesquisador não gostou do tratamento que recebeu da empresa em casos anteriores, não conseguiu contato com a equipe de segurança, ou simplesmente quer ganhar atenção, por exemplo. Nesse caso, os detalhes da brecha estarão disponíveis para que um malfeitor utilize. A brecha também recebe o nome de "dia zero". 
Blog de segurança do portal ZDNet leva o nome de
'Zero Day' – Dia Zero (Foto: Reprodução)
Blog de segurança do portal ZDNet leva o nome de 'Zero Day' – Dia Zero

O primeiro caso – quando a brecha é descoberta pelo desenvolvedor com ela já em uso por criminosos – é certamente mais preocupante. E foi justamente assim com os problemas no Reader e no PowerPoint corrigidos na semana passada. Arquivos maliciosos nos formatos PDF e PPT capazes de instalar vírus nos sistemas que usam esses programas foram encontrados em computadores infectados, sem que nenhuma informação ou solução a respeito do problema estivesse disponível publicamente na web.
Tanto em um caso como no outro, o desenvolvedor precisa correr contra o tempo para lançar uma atualização que elimine a vulnerabilidade. As informações técnicas disponibilizadas pelos pesquisadores são geralmente suficientes para o desenvolvimento do “exploit” – o código malicioso que explora a falha, ou seja, mesmo que o problema ainda não esteja sendo usado por criminosos, isso provavelmente não irá demorar para acontecer.
>>>> Como se proteger
Brechas dia zero são um grande risco, especialmente para empresas e governo, que podem ser alvos de ataques de espionagem. E é muito difícil lutar contra o desconhecido.
Desenvolvedores de sistema como a Microsoft têm adicionado recursos aos programas que dificultam a exploração das brechas de segurança. Mesmo que um criminoso descubra um problema, ele não consegue tirar proveito do mesmo com facilidade. Tecnologias como o Modo Protegido do Internet Explorer e o Controle de contas de usuário (UAC) do Windows Vista reduzem a frequência com que um ataque dia zero possa ser executado com 100% de sucesso.
Talvez você já use uma ferramenta de proteção contra ataques dia zero sem saber: o firewall. Ao bloquear as conexões que chegam no seu computador, um firewall impede que uma brecha ainda não corrigida – talvez porque ela seja dia zero e nem exista uma correção – danifique seu sistema.
Durante o período que uma falha dia zero é conhecida publicamente – quando ela é noticiada pela mídia, por exemplo – até o lançamento de uma correção, softwares antivírus podem prestar um importante auxílio na identificação de arquivos maliciosos que tentarão tirar proveito da falha.
Como sempre, cuidados básicos ajudam muito. Em empresas é muito difícil, por exemplo, pedir que o setor de Recursos Humanos não abra um “currículo” (que pode explorar uma falha dia zero; este é um exemplo que acontece realmente). Mas, em casa, você dificilmente recebe arquivos inesperados e de desconhecidos. Se isso acontecer, basta não abrir, ou, se o arquivo é suspeito, confirme com o remetente que o referido arquivo foi enviado a você.
Foto: Reprodução
Zero Day Initiative, da TippingPoint, tenta proteger empresas de falhas dia zero, comprando informações de pesquisadores de segurança

Se o seu software que exibe imagens tiver uma falha dia zero que fará com que a abertura de uma foto instale vírus – o que, normalmente, não é possível –, você estará em risco, sim. Mas esse risco somente será concretizado se você de fato abrir uma figura maliciosa. E o arquivo provavelmente virá de alguém desconhecido ou que apenas tenta se passar por um conhecido seu.
O uso de contas limitadas no Windows pode ajudar a reduzir os danos causados por vírus e por muitas falhas de segurança. Um criminoso precisaria duas brechas para tomar o controle total de um computador com usuário limitado: uma para conseguir executar programas no PC da vítima, e outra para burlar as restrições de usuário limitado.
É claro que de nada adianta proteger-se contra falhas desconhecidas se você não se proteger nem daquilo que é conhecido! Atualizar o sistema operacional e os aplicativos para eliminar vulnerabilidades como as que foram corrigidas na semana passada é o mínimo a se fazer, sempre.
>>>> Curiosidade: por que “dia zero”
“Dia zero” é semelhante a “dia D”, pois marca um momento, uma data. O “zero” refere-se à data de publicação das informações sobre a falha, ou do uso da mesma em um ataque.
O dia da publicação de uma correção é o “dia um”. O “dia zero”, portanto, é qualquer tempo antes que a solução esteja disponível, ou seja, do “dia um”. Isso não quer dizer que a correção será disponibilizada no dia seguinte à sua exploração, é claro – estamos falando aqui apenas da origem do termo.
Há vários anos o termo “0day” (“zero day”, “dia zero” em inglês) é empregado por grupos de pirataria que vazam filmes, músicas e softwares antes da data de lançamento oficial. O mesmo estilo de escrita, com o zero em numeral, é usado por algumas pessoas no ramo da segurança. É especialmente comum entre baderneiros digitais, embora a maioria dos especialistas conheça a expressão.
Gostou das postagens? Que tal compartilhar? Indique!
Clique acima e compartilhe por e-mail, Twitter, Facebook...