BOTNET Kraken – O monstro da internet

a

Kraken segundo as lendas era um monstro marinho, algo como uma lula/polvo gigante e que ameaçava os navios…mas neste caso falo mesmo do nome de uma BOTNET e não de um mostro marinho(mas se pensarmos bem no assunto, uma BOTNET acaba por ser um “monstro” da Internet e o nome para esta botnet assenta que nem uma luva)que tem vindo a crescer e muito nos últimos tempos.

Para quem não sabe o que é uma BOTNET, esse assunto já foi falado aqui no blog e podem ler sobre isso aqui.

A kraken BOTNET conseguiu ultrapassar o numero de maquinas infectadas da Storm BOTNET que é das mais conhecidas mundialmente. O numero de maquinas estimado para kraken é de mais de 400 mil.

Imaginem só o poder computacional que esta BOTNET tem. E segundo a companhia de segurança Damballa que tem observado o comportamento desta BOTNET, foi identificado o envio de mais de 500 mil mensagens de spam por apenas uma única maquina, imaginem agora a capacidade desta BOTNET se cada maquina infectada(conhecidas por “zombie”) enviar mais de 500 mil mensagens de spam, é só fazer as contas!

Como posso ser infectado?

O kraken propaga-se através de um ficheiro executável disfarçado de imagem(como o JPEG ou PNG) e com a extensão escondida para que o utilizador não veja que é um executável. Após o utilizador abrir o ficheiro, ele copia-se a sim próprio para o disco, reinicia e apaga o ficheiro original.

Anti-vírus não detecta e elimina o kraken?

Infelizmente a resposta é: nem sempre. Apenas 20% dos computadores com Anti-vírus consegue detectar o kraken uma vez que este tem a capacidade de modificar o seu código.

Nunca é de mais lembrar para terem cuidado a abrir ficheiros, se tiverem cuidado com o que abrem é difícil virem a ser infectados.

Google groups, Porn e Malware

a

Não, eu não vou postar nenhum video/fotos de porn!Lamento desiludir os viciados em porn….

Venho sim alertar quem usa os google groups para ver porn(quase de certeza que este tipo de grupo não é o unico a ser efectado por este problema, mas é o mais afectado) para o risco que está a correr.

Estes grupos têm sido utilizados para infectar com Malware, existem falsos grupos com videos de porn em que pedem que seja instalados uns “supostos” codecs que faltam para a visualização do video.

Após ter lido sobre este problema na internet, resolvi ir pesquisar e consegui encontrar um grupo destes(as imagens do post são do grupo que encontrei). A imagem seguinte é do grupo e como podem ver parece um vídeo normal do youtube.

Cliquei então para ver o filme e abriu uma nova pagina apenas com o video e com uma caixa a alertar que faltava o “video ActiveX object”.

Assim que cliquei no “ok”, aparece um prompt para fazer download de um setup.exe e o Anti-Vírus começa logo a dar vários alertas de Vírus no computador.

Utilizo o Firefox e experimentei também com o Internet Explorer e o comportamento foi igual.

Por isso rapaziada do porn, tenham muito muito cuidado e não se deixem enganar!

Malware para Mac OS começa a aumentar

a

As dicas e software aconselhados neste blog sempre foram principalmente para utilizadores do windows (porque será?…), isto não quer dizer que não existe nenhum Malware para Mac OS, claro que existe mas os danos que causam no sistema não são nada de especial.

Então o porque de escrever este post sobre Mac OS?

Bem, enquanto navegava pela internet e lia umas noticias, encontrei uma que falava de terem encontrado mais um Malware para Mac OS neste site, decidi então falar sobre esta noticia aqui para servir de aviso a quem usa este sistema operativo.

Este é o segundo Malware deste tipo a ser encontrado para Mac, mas no “mundo” windows acontece muito. Trata-se de uma programa chamado iMunizator e que quando é lançado faz um scan completo ao sistema.

Após o scan o programa apresenta um relatório onde indica que o sistema tem vários problemas, sendo que alguns ficheiros que indica como problemas são ficheiros seguros e que nunca devem ser removidos.

Agora se quiserem corrigir estes “problemas” o programa vai dizer que só pode corrigir se comprarem a licença, ou seja, estarão a comprar a licença de um programa que tem como objectivo levar os utilizadores a pensarem que estão infectados e pagarem para corrigir esses “problemas”.

Por isso para todos os utilizadores do Mac OS tenham cuidado com este programa e nao se deixem enganar por ele. Com o aumento do numero de utilizadores de Mac OS é normal que o numero de Malware para este sistema operativo venha a aumentar.

VIRUS TOTAL – Analise os seus arquivos

a

Sabem aquele ficheiro que pensam poder estar infectado, ou que apesar de o Anti-Vírus não ter detectado nada querem mesmo ter a certeza??

Existe um serviço online onde podem enviar o vosso ficheiro para analise, ele vai usar vários Anti-Vírus conhecidos para testar esse ficheiro, esse serviço chama-se VIRUS TOTAL, e o melhor de tudo é que é Grátis.

É muito simples de usar, basta irem ao site e em procurar vai abrir uma janela onde escolhem o ficheiro que querem analisar. É só escolher o ficheiro e enviar,o tempo de envio depende do tamanho do ficheiro, da velocidade e da carga do próprio serviço.

Após o envio, automaticamente analisa o ficheiro e tem disponível um relatório com os vários Anti-Vírus onde o ficheiro foi testado e o resultado.

Podem aceder ao serviço aqui: VIRUS TOTAL

SEO e Super bowl Malware

a

Ontem falei-vos da utilização de SEO/google para infectar com Malware através de sites e redireccionamentos. Falei também da utilização deste método aplicado na palavra chave Heat Ledger.

Apareceram mais sites utilizando este método, desta vez foi utilizada a palavra chave “super bawl“, que para quem não sabe é a decisão do campeonato de futebol Americano. A escolha desta palavra como engenharia social é óbvia, com o aproximar da super bawl que é visto pelo mundo inteiro, vai haver milhões de pessoas a procurar por esta palavra, se calhar até vocês vão ou já procuraram por esta palavra.

Em termos de funcionamento este é igual, apenas foi mudada a palavra chave.

Qual será a próxima palavra chave a ser utilizada? Deixem as vossas opiniões!

Utilização de SEO para infectar com Malware

a

Para quem não sabe, SEO significa Search Engine Optimization, ou seja, optimização para motores de busca. Isto consiste em usar certas técnicas que permitem subir nos motores de busca para certas palavras, e é muito utilizado em blogs.

Estas técnicas de SEO são agora também utilizadas para colocar nos primeiros lugar dos motores de busca sites que levam a quem os visitar a ficarem infectados com Malware. A escolha das palavras não são aleatórias, é usado engenharia social para escolher palavras que vão ter muita procura. A seguir vou descrever o funcionamento geral desta maneira de infectar com Malware usando um caso prático muito recente.

Morte do actor Heath Ledger

A morte deste actor muito conhecido foi usado para aplicar esta maneira de infectar com Malware.

Ao clicarem num destes links, abre uma pagina onde foi aplicada SEO usando como palavra chave Heat Ledger, mas vocês nem chegam a ver o site porque são automaticamente redireccionados para outro site onde vos é pedido que instalem “new version of ActiveX Object.” , ao aceitarem instalar acabam de ser infectados com Malware, de seguida existem mais redireccionamentos de pagina onde vão sendo instalados outros Malware.

Como descrevi no funcionamento, ao visitarem o site são redireccionados para outro que vos pede para instalar algo, estas situações de redireccionamentos são sempre de suspeitar ainda mais quando pedem para instalar algo. Como eu tenho dito sempre, uma das principais formas de não se apanhar Malware é ter cuidado com o que se faz no computador, o que se instala,sites que se visita, que ficheiros aceita,etc..

Win32/Netsky.Q worm o pior Vírus de janeiro

a

Segundo o site do NOD32 o Win32/Netsky.Q é o Vírus que mais tem infectado durante o este mês e durante os últimos meses de 2007.

Este Vírus é um Worm que se espalha por mensagens de e-mail, redes de p2p ou pastas partilhas em redes.

Modo de funcionamento:

Adiciona entradas no registo para que seja automaticamente iniciado ao iniciar o Windows, e remove outras entradas para desactivar versões antigas deste Worm que possam estar presentes no sistema infectado.

P2p

Para se espalhar pelas redes de p2p, procura no sistema por pastas que tenham no nome por exemplo kazaa, ftp e copia para dentro dessas pastas copias dele próprio com nomes diferente, alguns exemplos desses nomes são: Britney sex xxx.jpg.exe; Ahead Nero 8.exe; WinAmp 13 full.exe;

e-mail

Para se espalhar por e-mail, procura por ficheiros do tipo por exemplo .adb .asp .cgi, e extrai deles endereços de e-mail, de seguida envia para esses e-mails copias dele próprio.

Alguns exemplos de assuntos do mail são: I love you! ; Postcard; Re: Administration;

Alguns exemplos do corpo da mensagem: I found this document about you; Please confirm the document; Thank you for your request, your details are attached;

O Worm vai como anexo, e pode ter vários nome.

Conclusão

Este Worm já é detectado pelos vários anti-vírus, mas mesmo assim terem cuidado com o que abrem é sempre bom, podem ver sobre dicas de segurança neste post .

Podem saber mais sobre este Worm aqui Win32/Netsky.Q

MSN o IM mais perigoso 2007

a

Pois é, segundo um relatório da “Foster City, Calif.-based security solution provider Facetime Communications”, o Live MSN Messenger é considerado o cliente de instant messaging preferido dos hackers, ladrões, e muitos tipos de Malware de 2007.

Este cliente consegiu receber 45% de todas as infecções de Malware, o que representa mais do dobro do que os outros clientes receberam!

Aqui podem vêr as percentagens que os outros clientes receberam :

Yahoo – 20%

AOL Instant Messenger – 19%

Outros clientes de IM – 15%

A falta de segurança destas aplicações em conjunto com o facto de estarem sempre a correr em background, fazem delas extremamente perigosas de acordo com a faceTime.

Isto só vem confirmar o que eu disse sobre terem cuidado com ficheiros que recebem pelo MSN, vejam lá onde clickam e o que aceitam por lá. Cada vez mais no meu MSN abrem-se janelas para enviar ficheiros infectados ou para clickar, esta praga está a aumentar e vai continuar assim se vocês continuarem a aceitarem tudo sem terem cuidado.