Posts Tagged ‘vírus’

Notícia – Antivírus fraudulento para MacOS X diz que computador está infectado

Antivírus fraudulento para MacOS X diz que computador está infectadoEspecialistas também encontraram kit criador de vírus. Criminosos usam morte de Osama e ‘falha’ no Safari.

Empresas de segurança estão alertando para duas novas ameaças para computadores Macintosh, da Apple, com o sistema MacOS X: o antivírus fraudulento “MAC Defender” e um kit para criação de pragas digitais. Os códigos maliciosos funcionam exatamente como os de Windows. O MAC Defender está sendo disseminado junto com os ataques à computadores Windows usando a morte de Osama bin Laden.

O antivírus fraudulento, descoberto pelas empresas de segurança IntegoKaspersky, funciona exatamente como as pragas semelhantes para Windows. Ele afirma que o computador está infectado e que pode realizar uma limpeza, mas somente se o programa for comprado por, no mínimo, US$ 60. No entanto, o próprio “antivírus” é a praga e as detecções são falsas ou relacionadas a arquivos que ele mesmo criou no sistema.

O usuário pode ser infectado ao procurar imagens de Osama bin Laden em sites de busca. O líder terrorista foi morto neste domingo (1º) em uma operação do exército norte-americano. Usando uma função no Safari conhecida como “Open safe files after downloading”, o arquivo malicioso é capaz de se baixar e executar sozinho, embora ainda precise de permissão do usuário para se instalar. A função é conhecida por ter problemas de segurança desde 2006, mas não foi removida do navegador.

Um golpe semelhante para Mac foi encontrado em 2008, mas a interface gráfica do programa era diferente. O nome “Mac Defender” também é usado por uma empresa, que afirmou não ter nenhuma relação com a praga virtual.

-macdefender

Kit de criação de vírus
A empresa de segurança dinamarquesa CSIS anunciou a descoberta de um possível kit de criação de vírus para MacOS X chamado Weyland-Yutani. O kit consegue criar códigos maliciosos capazes de roubar senhas do Firefox; funções para o Safari devem ser lançadas “em breve”. Segundo a CSIS, os criminosos prometeram versões do mesmo kit para iPad e Linux. O kit estaria sendo vendido por US$ 1 mil.

Considerado livre de vírus durante muito tempo, a primeira praga virtual para MacOS X surgiu só em 2006. Em 2007, o primeiro vírus com intuito financeiro para a plataforma apareceu e foi batizado de RSPlug. Desde então, outras pragas digitais capazes de atacar computadores da Apple aparecem regularmente, embora em número incomparavelmente inferior ao de Windows.

Fonte: Desmonta & CIA

PDF Download    Enviar artigo em PDF para

Dica – Segurança – Avira AntiVir Personal oferece excelente proteção contra malware

Avira AntiVir PersonalGratuito, produto foi bastante eficiente na prevenção de ataques e na remoção de ameaças já instaladas.

O Avira AntiVir Personal é um anti-vírus gratuito que se destaca no que realmente importa: ele faz um ótimo trabalho na detecção e bloqueio de malware. Por fora ele é quase idêntico ao seu irmão pago, o AntiVir Premium 2010: ambos tem interfaces e processos de instalação quase idênticos, e a diferença está no conjunto de recursos. A interface é razoavelmente direta, mas algumas áreas precisam de melhorias.

A aba Status oferece uma visão básica do seu nível de proteção e informa se o programa está atualizado, embora não entre em muitos detalhes. Muitos botões não são identificados, e muitos ícones são difíceis de reconhecer à primeira vista, então é necessário parar o cursor do mouse sobre eles para descobrir o que fazem. O Avira é desenvolvido na Alemanha, e a tradução das mensagens em algumas caixas de diálogo me pareceu estranha. A impressão geral que tive da interface do AntiVir Personal foi de que, embora ela seja usável, é mais voltada aos usuários avançados de PCs.

aviraO Avira AntiVir Personal teve uma ótima pontuação na detecção de malware. Ele detectou 99 porcento das amostras em um teste de varredura que as compara com as assinaturas de ameaças conhecidas. Foi um dos melhores resultados em entre os produtos antivírus que testamos neste ano. E no bloqueio de ataques reais de malware o AntiVir Personal impediu completamente 80 porcento dos ataques, o que o coloca um pouco acima da média de outros produtos. Além disso, ele bloqueou parcialmente outros 5 porcento dos ataques.

O software também obteve uma boa pontuação nos testes de remoção de malware. Ele detectou todas as infecções em nossa máquina de testes, e foi bem-sucedido na remoção dos componentes ativos de um ataque em 70% dos casos (bem na média). E em 30% dos casos ele conseguiu remover todos os componentes de um malware, também na média.

No lado negativo, o AntiVir Personal empata com outro produto gratuito, o Comodo Internet Security Premium, no quesito maior número de falsos positivos, seis no total. Se levarmos em conta a percentagem esse número ainda é baixo, apenas 0.004% dos arquivos analisados, e nenhum deles era um componente do sistema operacional, mas qualquer falso positivo pode ser um incômodo. Dito isto, temos que mencionar que apenas um produto gratuito, o Avast Free Antivírus, conseguiu resultados perfeitos em nossos testes.

A velocidade de varredura do AntiVir Personal também foi impressionante: o programa completou uma varredura sob demanda de 4.5 GB de dados em 87 segundos, o melhor resultado entre os produtos gratuitos. Varreduras “em acesso”, ou seja, quando os arquivos são abertos ou fechados, também foram muito rápidas. O impacto do programa no desempenho geral do sistema foi baixo, e ele adicionou apenas 2.5 segundos ao tempo de inicialização do sistema em nossos testes. A média é de 4 segundos.

O Avira AntiVir Personal é uma ótima opção entre os produtos anti-vírus gratuitos. Mas gostaríamos de ver melhorias na interface.

Avira AntiVir Personal

Fabricante:
Avira

Pontos fortes:

Excelente detecção de bloqueio de malware
Rápida velocidade de varredura

Pontos fracos:

Não tem muitos recursos
Interface precisa de melhorias

A interface precisa melhorar, mas o Avira AntiVir Personal se destaca no que realmente importa, a detecção, bloqueio e remoção de malware.

Preço:
Grátis

Onde encontrar:

http://www.free-av.com/

Fonte: Desmonta&CIA e PCWorld

Create PDF    Enviar artigo em PDF para

Dica – Segurança – Vírus brasileiro falsifica “cadeado de segurança” para roubar senhas

SegurançaCódigo sofisticado também apaga programas de proteção.

Ataque usa um applet Java para infectar o sistema.

Um “mandamento” frequentemente repetido sugere que usuários verifiquem a presença do cadeado de segurança no navegador web. O cadeado serve para confirmar que o site que se está visitando é o site verdadeiro – o que está na barra de endereços – e que a comunicação é segura. Mas pragas digitais conseguem “falsificar” o cadeado. A coluna Segurança para o PC explica como isso acontece.

Um vírus capaz de realizar a façanha de falsificação do cadeado foi recentemente encontrado por Fabio Assolini, pesquisador antivírus brasileiro da fabricante russa Kaspersky Lab. Assolini investigou a praga e verificou que ela instala uma “autoridade certificadora” (AC, ou CA, na sigla em inglês) no Windows.

O “cadeado de segurança” que aparece nos navegadores web é um certificado SSL. O certificado diz ao navegador como ele deve embaralhar a informação para impedir que ela seja decodificada, caso alguém consiga interceptá-la. Nesse mesmo processo, o certificado precisa informar qual é seu dono, autenticando o site e informando ao usuário que esse é mesmo o site legítimo – pois não devem existir dois certificados para o mesmo site.

O navegador (seja ele o Internet Explorer, o Firefox, o Chrome, Opera, Safari ou outros) confia nessa informação porque o certificado é assinado por uma autoridade certificadora, que funciona como um “cartório digital”. Cada certificado precisa ser “carimbado” por uma autoridade certificadora e o navegador web traz consigo meios de reconhecer os carimbos dados pelos “cartórios” em que ele confia.

Se o certificado não tiver um “carimbo” dessas organizações, o navegador exibirá um erro apontando os problemas encontrados no certificado.

Em um ataque de phishing – em que o internauta recebe um e-mail falso em nome do banco que imediatamente solicita as informações –, o criminoso não tem o controle sobre o computador da vítima. No entanto, quando o usuário instala um vírus no PC, as possibilidades de ataque são mais variadas.

06-falsossl-620

Nos detalhes do certificado, o campo ‘emitido por’ é diferente do certificado original.
(Foto: Reprodução/Kaspersky)

A praga identificada pela Kaspersky redireciona os sites de bancos por meio do arquivo hosts, cujo funcionamento foi explicado por essa coluna anteriormente. O “problema”, para o criminoso, é que o site falso terá exatamente o mesmo endereço do site do banco e, por isso, não irá exibir um certificado – e não é possível obter um certificado para um site que já tem um certificado emitido (as autoridades certificadoras devem conversar entre si para não assinarem dois certificados idênticos). Os criminosos arranjam outro jeito: o vírus adiciona um novo “cartório confiável” na lista dos navegadores. Com isso, os criminosos podem carimbar certificados para qualquer site e o navegador irá ver que a assinatura é de uma autoridade confiável, mostrando o cadeado e nenhuma mensagem de alerta.

“Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa”, escreveu o especialista da Kaspersky.

Infecção e remoção de programas de segurança
A Kaspersky identificou que a praga usa applets Java para se instalar no sistema. Nesse ataque, mais sofisticado, o internauta visita uma página e é imediatamente infectado caso a versão do Java esteja vulnerável. Após a infecção, o vírus apaga uma chave no registro que avisa o usuário a respeito de atualizações do Java, garantindo que a versão vulnerável permaneça instalada.

06-certificados-300

Lista de certificados instalados no sistema.
Vírus precisa adicionar servidor do criminoso
a esta lista. (Foto: Reprodução)

Em seguida, o vírus instala um driver de sistema com o intuito de garantir a resistência da infecção. Drivers são programas especiais que rodam com privilégios elevados, normalmente usados para permitir que o sistema “converse” corretamente com periféricos (hardware). O driver malicioso tem o intuito de impedir que o vírus seja removido enquanto apaga os softwares de segurança usados pelos bancos.

Finalmente, a praga instala a autoridade certificadora falsa e um arquivo hosts que irá redirecionar os sites de bancos para sites idênticos controlados pelos criminosos. Com isso, o vírus dispensa a criação de janelas falsas ou captura de teclas (keylogging). Afinal, o usuário estará visitando o site “verdadeiro” (inclusive com o cadeado de segurança), mas com o criminoso como ponte entre as duas pontas da conexão, garantindo o roubo dos dados.

Vale ressaltar que essa não é uma vulnerabilidade no protocolo de segurança dos cadeados. Uma vez infectados, computadores não podem mais ser confiados – e isso inclui o cadeado. A Kaspersky recomenda que um computador exclusivo seja usado para acesso ao internet banking quando possível, demonstrando a dificuldade em detectar esse tipo de ataque. Fora isso, a única possibilidade é verificando manualmente o certificado – coisa que poucos usuários fazem ou mesmo saberiam fazer.

Assolini também recomenda que usuários falem com o banco no caso de suspeita de irregularidades na página e, claro que um antivírus atualizado seja usado.

A lição que fica é a de que está cada vez mais difícil combater ataques depois que eles já tiveram início. O melhor a se fazer é ficar prevenido: atualizando o navegador, sistema e plugins e desconfiando de links maliciosos em e-mails.

Fonte: Altieres Rohr

PDF Printer    Enviar artigo em PDF para

Dica – Segurança – Ferramenta falsa apaga todos arquivos do PC

Um golpe começou a circular na rede utilizando um arquivo mal-intencionado muito parecido com a Ferramenta de Remoção da BitDefender. O mecanismo falso, na verdade, deleta todo o conteúdo do “C:\ drive” do computador.

A falsa “ferramenta de remoção”, identificada como “Trojan.BAT.Delall”, exibe um ícone que representa uma seringa. Após executar o mecanismo, um arquivo em lotes realiza alguns ajustes no Registro do usuário e então, todos os documentos do drive já mencionado começam a ser apagados.

O golpe se inicia com o vírus Trojan que, antes de ser eliminado, troca a configuração dos botões do mouse e muda as associações dos arquivos, trocando por “exe”, “mp3” e “arquivos de vídeo”, com a finalidade de evitar que esses arquivos sejam abertos.

O vírus também tenta deletar todos os arquivos, com exceção dos que estão em uso – que são poupados. E após 10 minutos, o Trojan obriga o sistema a reiniciar. Depois disso, provavelmente o sistema não será mais reconhecido.

A BitDefender afirma que já adicionou uma assinatura contra essa ferramenta falsa, e sugere aos usuários que, sempre ao baixar aplicativos gratuitos da Internet, tenham certeza de que o site é confiável e de que o seu antivírus examine o respectivo aplicativo. E se possível, apenas faça o download dos arquivos direto do site oficial da empresa que criou o produto.

Fonte: Monica Campi, de INFO Online

PDF    Enviar artigo em PDF para

Dica – Como remover vírus a partir do próprio computador infectado?

A técnica demonstrada na citada matéria é bastante eficiente. Consiste em retirar o HD do computador supostamente infectado com vírus, colocar este HD como secundário em um outro micro, com um Windows e Antivírus atualizado e de boa qualidade, e fazer o escaneamento total deste HD neste micro auxiliar. Depois disto o HD é retornado ao micro original e são feitos os demais ajustes e correções conforme mostrados no referido artigo.

Entretanto, existem realmente situações onde não é possível fazer este procedimento, pela falta de um micro auxiliar ou pelo fato do micro infectado estar na garantia de fábrica e lacrado. Nestes casos, pode-se tentar o escaneamento a partir do próprio micro infectado. O antivírus normal, que se instala nos micros com Windows, podem detectar algumas ameaças. Entretanto, depois que o vírus está instalado, uma das primeiras providências das ameaças mais elaboradas é justamente desabilitar o antivírus ou modificar sua detecção para deixar de detectar aquele programa como ameaça. Por isto é que torna-se difícil eliminar os vírus a partir do próprio micro contaminado.

O jeito então é eliminar os programas indesejados a partir do próprio micro. Existem várias ferramentas para isto, como por exemplo, as três abaixo citadas:

Combofix

Este aplicativo faz um escaneamento nas áreas críticas do Windows e, de quebra, restaura as configurações do Windows ao padrão de fábrica. Assim, não apenas remove os vírus mais perniciosos, mas também restaura muitas coisas do Windows que podem ter deixado de funcionar, como o acesso à rede ou às configurações pelo painel de controle.

Ferramenta de Remoção de Software Mal Intencionado do Windows

Aplicativo que roda direto do Windows, escanceando as áreas críticas e removendo um grande número de pragas. Pode ser executado a partir do próprio Windows, uma vez que faz parte do próprio, mas como esta cópia pode também estar contaminado recomenda-se utilizar uma cópia externa. A janela Propriedades surgirá. Repare que a opção “Permitir que os arquivos desta unidade tenham o conteúdo indexado junto com as propriedades do arquivo” está ativada. Desative-a e dê OK.

Kaspersky Vírus Removal Tool

Esta ferramenta pode ser baixada direto do site da Kaspersky, em http://support.kaspersky.com/viruses/avptool2010?level=2. Para usar esta ferramenta, entre em modo de segurança, instale a ferramenta e a execute. Quando o micro estiver infectado, ela detecta muita coisa e não danifica o sistema. Depois do escancear o HD e memória, é recomendável remover a ferramenta do HD. Se por um acaso não for possível entrar em modo de segurança baixar a ferramenta em outro PC, instalar o HD infectado como secundário, entrar em modo de segurança pelo HD principal e escanar o HD secundário. Existem também outras ferramentas de detecção e remoção de vírus, mas são pagas ou então são difíceis de usar, reservadas apenas para especialistas, e que deixamos de mostrar aqui.

Fonte: Revista PnP

PDF Creator    Enviar artigo em PDF para