Sobre o Conficker e Como o Remover

a

Originalmente detectado em Novembro, altura em que a Microsoft rapidamente se aprontou a avisar os seus usuários através do seu Centro de Protecção Contra Malware a instalar todas as actualizações disponíveis para o seu computador, de forma a proteger-se contra as vulnerabilidades exploradas pelo Worm Conficker (Win32/Conficker). (mais…)

Pacote de linguagem vietnamita do firefox infectada com Malware e Falsos Mp3 com Malware

a

Devido a uns problemas não consegui tratar deste artigo na devida altura, mas aqui está ele com duas noticias imperdiveis. Primeiro: Um dos pacotes de linguagem disponibilizados no site oficial do Mozila Firefox está infectado com Malware. Segundo: Ficheiros de áudio MP3 têm sido também alvos de infecções por parte de Malware.

Pacote de linguagem vietnamita do Firefox infectada com Malware

A Mozila avisou os seus utilizadores de que quem fez o download deste pacote para a versão 2 do Firefox a partir do dia 18 de Fevereiro foi infectado.

A infecção não foi propositada, segundo a Mozila um dos computadores utilizados pelo criador deste pacote foi infectado por este Malware o que fez com que o pacote também fosse infectado. A razão por só passado estes meses ter sido descoberto, foi porque na altura em que foi feito o scan de Anti-Vírus este ainda não conhecia este Malware e por isso não o detectou.

Este Malware tem o nome de Xorer e segundo o chefe de segurança da Mozila, são mostrados banners aos utilizadores infectados enquanto estes navegavam com o Firefox.

A Mozila diz que vai passar a fazer scans mensais a todos os seus ficheiros de modo a que episódios destes não se repitam.

Falsos Mp3 com Malware

Segundo a McAfee estão a ser utilizados ficheiros mp3 para infectar com Malware, tendo já conseguído infectar mais de 500 mil computadores. Apesar de ser comum utilizar ficheiros Media para infectar Malware, nunca se tinha visto nada desta escala.

Isto só prova que os programas de p2p são o ideal para conseguir infectar os utilizadores mais desprevenidos, tenham muita atenção ao utilizar este tipo de programas e claro ter um Anti-Vírus,Firewall e Anti-spyware é fundamental.
Videos de humor

Os vários termos usados no blog

a

Quando comecei este blog, escrevi vários posts com definições sobre os termos que são ou vão ser falados aqui. Decidi reunir num único post os links para essas definições para que possam consultar mais facilmente.

• Malware
• Spyware
• Adware
• Vírus
• Worms
• Trojan horse
• Anti-Vírus
• Firewall
• Anti-Spyware
• Engenharia social

Se têm algum termo relacionado com o blog e que gostavam de ver aqui no blog a definição, deixem comentário.

Mais de 20 anos de Historia dos Vírus e Anti-Vírus -Parte IV

a

E assim termina os post sobre os 20 anos da historia dos Vírus e Anti-Vírus. Se não leram o resto dos posts podem ler aqui : Parte 1, Parte 2, Parte 3.

Análise comportamental

Muitos vendedores implementaram também os seus produtos de segurança com análise comportamental, oferecendo então analise em tempo real das actividades de aplicações.

A intenção destas “novas” tecnologias era defender os computadores contra ataques que têm como objectivo roubar informações, Worms e outros Malware que tornam o computador da vitima em “zombies”.

Do “cyber vandalismo” para o “cybercrime”

Até à uns anos, Vírus e outros Malwares eram actos isolados de vandalismo, criados para infectar outros discos ou programas. A definição de “dano” era definida em torno da perda de dados ou dados corrompidos.

Mas nos últimos anos isso mudou, os criminosos deram conta que podiam fazer dinheiro com a utilização de Malware e agora Malware é criado com o propósito de fazer dinheiro ilegalmente.

Ataques de Phishing

O uso de Malware não é o único método utilizado para recolher dados confidenciais dos utilizadores. Pishing consiste em utilizar engenharia social, criando sites praticamente iguais a outros (por exemplo sites de Bancos)para enganar o utilizador e recolher os dados dele, outra forma é através do envio de emails fingindo ser por exemplo do seu banco e a pedir dados.

Camuflagem sofisticada

Para esconder a presença de Malware e de alterações feitas ao sistema, os criadores de Malware utilizam RootKits.

Estes alteram registos, escondem o processo do Malware e outras actividades no sistema de modo a que o utilizador não saiba que esta infectado.

Malware para terminais moveis

Até agora o objectivo dos criadores de Malware eram os computadores. Mas desde a aparência do Cabir em 2004, têm aparecido um bom número de Malware para terminais moveis.

Cada vez mais os terminais moveis são mais sofisticados, possuem acesso à Internet, wireless e usados para transportados dados confidenciais com menos segurança do que os computadores, tornando-se assim em um bom alvo para os criadores de Malware.

Os desafios dos nossos dias

Desde que o primeiro Vírus apareceu até aos dias de hoje assistimos a uma grande evolução tanto nos Anti-Vírus e outras formas de segurança como também no próprio Malware.

A cada dia que passa aparecem novos tipos de Malware, cada vez mais complexos, o desafio da industria de segurança é acompanhar esta evolução criando cada vez mais programas de segurança capazes de lidar com o Malware de hoje e de amanha.

Podem Ler o artigo original aqui : Viruslist

Mais de 20 anos de Historia dos Vírus e Anti-Vírus -Parte III

a

Fica aqui o terceiro post sobre os “Mais de 20 anos de historia dos Vírus e Anti-Vírus”, caso não tenham lido as outras partes do artigo poder ler aqui: Parte 1, Parte 2.

Não é habitual eu fazer mais que 1 post num dia, mas estes posts já eram para ter sido feitos a semana passada, mas tal não foi possível devido a problemas de Internet.

Email worms

Os email worms espalham-se como ficheiros executáveis (como happy99 o primeiro Worm da Era moderna), emails com ficheiros script em anexo ou mesmo embebido em mensagens html.

O que estes todos têm em comum é o uso do email para se espalharem utilizando técnicas de Engenharia Social para os utilizadores correrem o código.

Internet worms

Não existe apenas os email worms, existe também os Internet worms.

Estes são Worms que usam vulnerabilidades nos sistemas operativos para os infectarem e se espalharem. Por exemplo o CodeRed que apareceu em Julho de 2001, usava uma vulnerabilidade para atacar os Windows2000 servers e espalhava-se utilizando transmissões por protocolo TCP/IP. Este espalhou-se pela Internet numa questão de horas, mais rápido do que alguma vez se tinha visto.

Exploits

Nos anos seguintes ao aparecimento do CodeRed, tornou-se muito comum o uso de vulnerabilidades do sistema pelos autores de Malware.

O uso destas técnicas de usar as vulnerabilidades e de técnicas antigas, permitiu aos criadores de Vírus criar Vírus ainda mais poderosos capazes de se espalhar ainda mais rápido.

Respostas contra o aumento de velocidade da propagação de vírus

Com o aumento da velocidade com que os Vírus se propagam e o aumento de epidemias a nível global de Malware, fez com que os vendedores de Anti-Vírus tivessem de se adaptar sendo cada vez mais rápidos a dar resposta a novos Vírus.

Nos velhos tempos chegava as actualizações serem trimestrais, então mais tarde com a maior utilização de email, Internet, Worms , os vendedores de Anti-Vírus mudaram para actualizações semanais. Agora nos nossos dias, alguns oferecem varias actualizações diárias.

Adicionalmente em resposta ás técnicas de engenharia social utilizadas pelos criadores de Malware, as empresas começaram a bloquear certos tipos de ficheiros como EXE, PIF, SCR e outros.

Firewalls Pessoais

As Firewalls apareceram como uma ajuda aos Anti-Vírus, são uma forma de poder monitorizar e bloquear qualquer tráfego não desejado.

IPS – Sistema de prevenção de intrusos

Algumas empresas de segurança implementaram nos seus programas tradicionais de segurança o IPS. Tipicamente este sistema é desenhado para proteger desktop ou servidor, usando análise comportamental para detectar Malware.

Eles fazem isto monitorizando todas as chamadas que são feitas ao sistema e comparando com certas “regras” de modo a saber se estas tinham um comportamento normal.

Podem continuar a ler a parte 4

Mais de 20 anos de Historia dos Vírus e Anti-Vírus -Parte II

a

Este post é a continuação do ultimo que escrevi, e que vai estar divido em mais 1 ou 2 posts. Se ainda não leram a Parte 1, devem ler.

Os primeiros “behaviours blockers” (bloqueadores de comportamento)

Umas das alternativas aos Anti-Vírus tradicionais da altura era a análise de comportamento. Enquanto que os Anti-Vírus faziam scan e detectavam os Vírus segundo a “assinatura” deles, os “behaviours blockers” analisavam o comportamento de modo a decidir se este era ou não Malware, podendo bloquear o programa.

Umas das vantagens dos “behaviours blockers” era de que não era preciso um perito em Vírus para analisar o código e dizer se o código era Malware. Outra vantagem era de proteger contra outros Vírus que pudessem aparecer no futuro.

Mas também tinha as suas desvantagens, uma vez que as acções consideradas maliciosas num programa com o objectivo de destruir(Malware), podiam ser utilizadas também por programas legítimos e serem consideradas “boas”.

Troca de Vírus e kits para construção de vírus

No inicio dos anos 90, existiam outros desenvolvimentos que faziam a vida negra aos criadores de Anti-Vírus.

Um deles era a troca de Vírus que ocorria nos bulletin board, para quem não sabe estes eram muito usados para fazer o download de programas, e colocar programas infectados permitia espalhar os Vírus mais rapidamente. Também existia disponível nos bulletin board colecções de Vírus, em que só era permitido aceder a elas se fizesse upload também de um Vírus.

Outro problema era o aparecimento de kits que permitiam construir o seu próprio Vírus a quem não tinha capacidades nem conhecimentos para os fazer. Estes kits tinham uma interface onde se escolhia as características dos Vírus de uma lista.

Macro Vírus

Em Julho de 1995 deu-se um grande desenvolvimento com o aparecimento dos Macro Vírus, estes iriam dominar o mundo informático nos 4 anos seguintes.

Estes Vírus em relação aos anteriores tinham várias diferenças, os anteriores concentravam-se em código executável (programas, sectores de disco) enquanto estes concentravam-se em infectar dados (documentos por exemplo do Word). Estes eram escritos em WordBasic e mais tarde VBA, sendo mais fácil desenvolver Vírus nestas linguagens.

Como os documentos eram trocados mais facilmente do que programas, e sendo o email cada vez mais utilizado para troca de dados, facilitou que os Vírus se espalhassem rapidamente. Outra vantagem era de que estes Vírus não eram específicos para uma plataforma ou sistema operativo, dependiam apenas das aplicações e como havia office para várias versões de Windows ou Macintosh, estes sistemas operativos podiam ser todos alvos de ataque.

Servidor de Mails e soluções para gateway

Com os emails a serem muito utilizados para espalhar os Macro Vírus, o scaning de emails em busca de Vírus tornou-se uma maneira muito eficiente de os parar, claro que isto não era um substituto para as protecções no próprio computador, mas sim como um complemento a essa protecção.

Os vendedores de Anti-Vírus começaram a desenvolver mais as capacidades de detectar os Vírus pró-activamente através da implementação de detecção genérica. Detecção genérica consistia em através de uma assinatura de um Vírus, remover vários Vírus. Isto funcionava partindo do principio que Vírus que tinham tido sucesso iriam ser copiados por outros ou então apenas modificados, logo estes Vírus iriam pertencer todos à mesma família.

O nascimento do Spam

Com o aumento da utilização de emails, surgiu um novo problema, os emails cheios de lixo chamados de SPAM. Com cada vez mais empresas a aderir ao email, este tornou-se uma maneira muito atractiva de publicidade para quem o usava.

Com o Spam, vieram problemas como: desperdício de largura de banda, desperdício de tempo com emails não relacionados com o trabalho, e problemas legais com emails racistas pornográficos etc.

Este período viu o desenvolvimento de filtros de Spam e de outros conteúdos que actuavam sobre os Internet gateways, mas também viu a colaboração dos vendedores de Anti-Vírus no filtro Malware nos servidores de email e gateways de Internet.

Envio em massa de Malware

O aparecimento do Vírus Melissa em 1999 marcou uma nova era dos Vírus. À primeira vista parecia apenas um Macro vírus, mas este era especial, conseguía enviar-se a si próprio para os contactos do Outlook ao contrario dos outros que era preciso o utilizador enviar os dados infectados.

Este Vírus mudou a natureza dos Vírus, pois estes já não precisavam que fosse o utilizador a enviar para outros utilizadores, conseguiam enviar-se sozinhos. Abriu caminho também para uma nova geração de Vírus, os Worms.

Podem continuar a ler a parte 3

Mais de 20 anos de Historia dos Vírus e Anti-Vírus -Parte I

a

Este post é sobre a história dos Vírus e Anti-Vírus publicada pela Kaspersky Lab, uma vez que é um artigo muito extenso vou repartir em 2 ou 3 posts.

Já passaram mais de 20 anos desde que os primeiros Vírus apareceram. À medida que a tecnologia evoluiu aparecendo computadores cada vez mais avançados, também o Malware ( Trojans, Rootkits, Spam, Spyware, etc…) acompanhou essa evolução sendo cada vez mais complexos.

A Internet criou novas maneiras de se ser infectado com Malware e que este se espalhasse cada vez mais depressa, tornando-se numa verdadeira praga.

Os primeiros Vírus: Boot sector vírus

O primeiro Vírus que apareceu era um Boot sector Vírus, tinha o nome de Brain e apareceu no ano de 1986.

Este tipo de Vírus era propagado através de disquetes, caso o utilizador tivesse como boot primário do sistema a disquete, ao ligar o computador com a disquete inserida iria carregar o Vírus para a memória. Depois de ser infectado, sempre que o computador era ligado e antes de ser carregado o sistema operativo, era carregado o Vírus.

Dos Files vírus

Até 1995 apesar dos Boot sector Vírus representarem a maioria das infecções encontradas ( 70% ) existiam também outros tipos de Vírus, os Dos Files vírus. Estes eram Vírus para Dos, que infectavam os ficheiros executáveis deste sistema operativo.

Estes Vírus modificavam os ficheiros de modo a que quando o ficheiro fosse executado, o Vírus também era executado automaticamente.

“The virus landscape” dos anos 80

Nos anos 80 o principal problema era os Vírus, já existiam Worms mas como a Internet era quase só usada exclusivamente por governos e instituições de educação, a era dos Worms ainda não tinha chegado.

Já existia também um pequeno número de Trojans mas como ao contrario dos Vírus estes não eram capazes de se espalharem sozinhos, os autores tinham de arranjar maneira de os espalharem “manualmente”.

Camuflagem e polimorfismo

Durante este período também existiu o desenvolvimento de técnicas de camuflagem para os Vírus, de modo a que estes se espalhassem o máximo de tempo possível sem serem detectados. Estas técnicas incluíam a supressão de mensagens de erros, ou alteração de informações de modo a que não fosse visível que o ficheiro tinha mudado de tamanho.

Outra técnica utilizada para os Vírus não serem detectados é o polimorfismo. A ideia desta técnica, era de um Vírus ser capaz de se mudar a si mesmo, deste modo o Vírus em cada infecção seria diferente, tornando a sua detecção muito difícil. Foi em 1991com o aparecimento do Vírus Tequila que apareceu o primeiro Vírus com polimorfismo.

Com o tempo estas duas técnicas foram ficando cada vez mas sofisticadas, estando muito desenvolvidas nos dias de hoje.

Primeiras soluções de Anti-Vírus

Como no princípio o número de Vírus aumentava muito lentamente, os primeiros Anti-Vírus eram utilitários que apenas eram criados para remover um certo Vírus individualmente.

Então com o aumento dos Vírus em 1989, começaram a aparecer os primeiros Anti-Vírus “toolkits”. Basicamente estes Anti-Vírus, eram programas que faziam scan ao computador, procurando por todos os Vírus já conhecidos até essa altura, alguns tinham a capacidade de remover esse Vírus e outro a capacidade de fazer checksummer de modo a verificar se o ficheiro tinha sido alterado.

As actualizações demoravam vários meses a sair e eram distribuídas em disquetes.

Aumento das ameaças e Desenvolvimento dos métodos de detecção

No fim de 1990, o número de Vírus era aproximadamente 300. Com o número de ameaças a aumentar, os criadores de Anti-Vírus começaram a implementar protecção em tempo real e a criar métodos pró-activos, ou seja, uma maneira de detectar programas maliciosos antes de eles atacarem. A protecção em tempo real monitorizava o sistema de modo a detectar Vírus conhecidos, enquanto que os métodos pró-activos foram desenvolvidos criando uma lista de actividades suspeitas que os Vírus efectuam, e caso algum ficheiro tivesse esse comportamento da lista seria identificado como um possível Vírus.

Podem continuar a ler a parte 2

Top das BOTNETs em termos de Spam

a

Depois de à dias ter feito um post em que falava da Damballa dizer que a kraken é a maior BOTNET, a SecureWorks emite um relatório com o Top das BOTNET que geram mais Spam. Este relatório entra em contradição em alguns aspectos com o post que escrevi sobre a Kraken e tem gerado uma grande discussão entre a Damballa e a SecureWorks.

Segundo este relatório o TOP 5 das BOTNETs é composto por:

1-Srizbi

Também conhecida por Cbeplay ou Exchanger tem uma estimativa de 315,000 maquinas infectadas.

2-Bobax

Também conhecido por Bobic, Oderoor, Cotmonger, Hacktool.Spammer ou Kraken, esta BOTNET tem uma estimativa de 185,000.

3-Rustock

Também conhecida por RKRustok, ou Costrat conta com 150,000 computadores infectados.

4-Cutwail

Esta botnet também é conhecida por Pandex ou Mutant e tem uma estimativa de 125,000 computadores infectados.

5-Storm

Também conhecida por Nuwar, Peacomm ou Zhelatin e tem uma estimativa de 85,000 computadores infectados.

Como podem ver a Kraken que falei no outro dia aqui no blog como sendo a maior BOTNET, segundo este relatório é apenas a segunda maior BOTNET tendo o nome principal de Bobax, e é aqui nestes pontos que tem havido controvérsia entre a SecureWorks e a Damballa.

Para a SecureWorks a Kraken é a mesma BOTNET que a Bobax, tendo apenas sofrido uns “updates” enquanto que para a Damballa a Kraken é uma BOTNET nova e que não tem nada a ver com a Bobax.

Quanto à SecureWorks no seu relatório colocar a Kraken em segundo lugar com apenas 185,000 infectados e a Damballa como sendo a maior BOTNET com mais de 400,000 infectados, é porque a SecureWorks apenas considera as maquinas infectadas a gerar Spam, enquanto que a Damballa considera todas as maquinas infectadas.