Testamos…Panda USB Vaccine

Apesar da ferramenta já ter sido lançada há um certo tempo (inicio do mês), infelizmente só agora pude testá-la mais a fundo a ponto de sugerir ou não a sua recomendação.

A Panda USB Vacine permite proteger PCs desativando completamente as opções de execução automática (autorun.inf), impedindo que nenhum programa execute automaticamente a partir de unidades removíveis. A ferramenta funcionará mesmo que o auto-executar já esteja desativado no Windows.

A partir do autorun.inf que é desencadeada as infecções para Pen-drives, conforme falamos a respeito no artigo Proteja seu Pen-drive de infecções.

Para utilizar a ferramenta é muito simples. Primeiramente realize o download do executável:

 Download Panda USB Vaccine

Para Windows 2000 SP4, Windows XP SP1-SP3 e Windows Vista SP0 and SP1

- Após o download, descompacte o arquivo USBVaccine.zip.

- Execute o arquivo USBVaccine.exe.

- Será exibida uma tela onde você deverá concordar ou negar com os termos de uso do programa. Clique em I Agree pra continuar.

- A tela principal da ferramenta haverá duas opções:

Computer Vaccination (Vacinar o PC como um todo).
USB Driver Vaccination (Onde você poderá especificar qual drive será ‘vacinado’.

- Basta então escolher qual das duas opções seguir e em seguida clicar nos botões Vaccinate computer para ‘vacinar’ o PC e Vaccinate USB para ‘vacinar’ unidades de Pen-drive.

OBS: Apenas a ‘vacinação’ do PC pode ser revertida. A ‘vacinação’ do Pen-drive só poderá ser desfeita formatando-o. Como Pen-drive é o maior vilão das infecções por este dispositivo atualmente, creio que esta opção seja essencial para proteção.

A ferramenta é ótima e realmente cumpre a sua missão, sendo de grande valia para quem gostaria de manter o seu Pen-drive integro para ser usado em locais diferentes.

 Página oficial da ferramenta

Proteja seu Pen-drive de infecções

Com o completo desuso dos disquetes chegamos a era dos pen-drives, objeto de armazenamento de arquivos simples, rápido e super prático. Bastou plugar em um PC qualquer e já estará funcionando.

Devido a esta alta mobilidade dos pen-drives, é cada vez mais comum as infecções nestes dispositivos onde possuem um poder muito grande de disseminação. Pode parecer um artigo muito maçante e muito longo, mais que valerá a pena ser lido.

Entenda como funciona:

Ao plugar o seu pen-drive em um PC que já infectado, o seu pen-drive carregará a infecção para o seu próprio PC ou um outro PC no qual o seu pen-drive for plugado, formado uma cadeia.

Isto também é válido para cartões de memória, telefones celulares, mp3/mp4 e demais dispositivos de armazenamento USB.

Sintomas da infecção:

• A Unidade fica inacessível
• Erros de Autorun são comuns na tela
• A opção de ver arquivos Ocultos fica desabilitada e/ou nunca fica ativada
• Incapacidade de apagar/mover arquivos do pendrive

Remoção da infecção:

Há algumas ferramentas para o tratamento desta infecção, dentre elas podemos destacar a PenClean que remove os arquivos mais comuns para esta infecção. É possível ver a lista de arquivos que são removidos pela PenClean e correções efetuadas neste link.

 Download PenClean

Para executar a ferramenta PenClean basta seguir os passos abaixo:

• Primeiramente adicione ao PC seus pen-drives, mp3/mp4 e demais dispositivos USB que possua.
• Dê dois cliques no arquivo PenClean.exe onde será aberta a tela inicial do programa.
• Selecione a opção Verificar o unidade, na caixa de lista suspensa, selecione Todas unidades.
• Clique no botão Verificar.
• Aguarde alguns instantes, o exame é rápido.
• Será informado se algo foi encontrado, é possível que a ferramenta solicite para reiniciar, clique em Sim. O computador será reiniciado normalmente.

Serão gerados relatórios onde informarão o que foi removido. Basta para isso, visualizar o arquivo PenClean.txt localizado na pasta C:\PenClean.

OBS: A ferramenta PenClean não é 100% precisa, podendo ainda restar alguns arquivos maliciosos nas raízes dos discos locais. Se desconfiar de certos arquivos com extensão .exe; .com; .bat; .pif; .cmd e .vbs, poderão ser apagados, caso realmente não os identifique.

Caso contrário, a sugestão é que procure um fórum onde tenha o serviço de Remoção de Malwares disponível para realizar uma limpeza nos dispositivos e remoção dos resquícios da infecção.

Como posso me proteger?

Algumas instruções se forem seguidas corretamente poderão contribuir para uma não-infecção ou re-infecção do seu pen-drive e/ou PC. Abaixo veremos algumas:

Se necessitar usar o seu pen-drive em locais públicos, há uma ferramenta onde poderá ser impedido o uso do pen-drive para escrita assim impedindo a infecção. Trata-se da ferramenta USB WriteProtector.

Ferramenta gratuita e simples onde você poderá levá-la no seu próprio pen-drive, além de ativa-la e desativá-la sempre que necessário.

 Download USB WriteProtector

O programa não requer instalação apenas crie uma pasta no seu pen-drive com o nome de UsbWriteProtect e descompacte os arquivos para esta pasta.

A ferramenta possui o idioma Português de Portugal, o que não será um empecilho de uso para as pessoas que não possuem conhecimento em Inglês. Para mudar o idioma, na caixa Sprache / Language: clique na caixa de lista suspensa e selecione Portuguese.

O uso desta ferramenta é muito simples. Acesse sua pasta no seu pen-drive e execute o arquivo UsbWriteProtect.exe onde será aberta a janela abaixo:

Para ativar a proteção, clique em Proteção de escrita USB – Activa
Para desativar a proteção, clique em Proteção de escrita USB – Inactiva

Aguarde alguns instantes até que a ferramenta aplique a restrição.

É recomendado que efetue a restrição de escrita no seu PC pessoal, depois que obtiver a certeza de que está com o PC limpo.

OBS: Com a proteção ativa, não será possível salvar arquivos no pen-drive, apenas cópia e leitura.

Para PC’s compartilhados:

Faculdades, lan-houses, empresas e demais locais onde se utilizam vários PC’s e são usados por várias pessoas também devem seguir algumas orientações básicas para evitar infecções.

A primeira delas e ter um bom antivirus devidamente configurado. Alguns antivírus realizam a detecção destas infecções, porém não conseguem remover por completo, por estarem mal configurados ou sua base de dados é insuficiente. Mais de qualquer forma, já é um diferencial para conter a infecção.

Atualmente o mercado já possui algumas soluções antivírus que são dedicadas a tratar deste tipo de infecções, porém ainda não estão completamente precisas.

Segundo ponto é desabilitar o Autorun das unidades, impedindo assim que o malware seja instalado no momento do uso do pen-drive. Há um utilitário simples para esta função:

 Download AutoPlayConfig

Descompacte o arquivo em seguida execute o arquivo AutoPlayConfig.exe.

Clique em Disable para ativar a restrição.

Para verificar se há alguma restrição, clique no botão Check Autoplay Status.

Creio que seguindo estas dicas, será possível reduzir ou até mesmo zerar (um pouco otimista) o índice deste tipo de infecção.

Lançada nova versão do Spybot

Ontem foi lançada a mais nova versão de um dos mais tradicionais e funcionais AntiSpywares do mercado, o Spybot 1.6.0.

Novidades da versão:

• Integração de partes do escaneamento de arquivos da versão 2.0

• Suporte a ‘Inuminzação’ a novas versões de Firefox e Opera.

• Para facilitar a utilização do programa por usuários iniciantes, foi integrado um banco de dados de entradas do sistema com confirmações automáticas.

Screenshot:

Download:

>> Link Direto

Cuidado com os pseudo analistas

Com o aumento do número de infecções, surgem cada dia novos fóruns na internet que oferecem serviços de Remoção de Malwares por meio de análise do log de um programa chamado Hijackthis**, mas o que os usuários devem considerar antes de permitir que um analista faça modificações em sua máquina:

-É essa pessoa reconhecida por outros analistas como alguém de confiança?
-Tem experiência no assunto?
-Está atualizado com as mais novas ferramentas e infecções existentes?
-É graduado em algum fórum reconhecido pela ASAP ou UNITE?

As questões acima são de suma importância, e muitas pessoas devem estar pensando: “Mas quem preenche todos esses atributos?”. É uma pergunta justa, mas a resposta é bem simples, POUCAS PESSOAS, me atrevo a dizer que no Brasil esse número nem chega a 15. No entanto cada dia vemos mais fóruns oferecendo esse tipo de serviço, alguns inclusive passaram a oferecer treinamento em análise, a realidade é que muitos acham que analisar é simplesmente apagar algumas entradas do registro e alguns arquivos, quando na realidade é bem mais do que isso, precisa entender os ‘caminhos do malware’, reconhecer os riscos e propor medidas de correção para evitar que isso ocorra novamente.

Muitos podem argumentar que já tiveram seus problemas resolvidos por pessoas que não atendem os requisitos que citei acima, a explicação é que muitos casos já tem a ‘receita do bolo’ pronta, basta seguir alguns procedimentos simples, o problema é quando se têm infecções complicadas como alguns rootkits russos, ou algumas novas infecções chinesas, onde se faz necessário uma intervenção mais cuidadosa e perigosa, pois qualquer resquício pode significar a inutilização do sistema operacional.

Acima também citei sobre a ASAP e UNITE, ambas são organizações que buscam garantir um alto padrão de qualidade no suporte em segurança. Os fóruns filiados a essas organizações promovem treinamentos em análise, então todos aqueles que quiserem aprender serão bem vindos, lembrando que a maioria é em inglês, no Brasil existe apenas um fórum reconhecido pela ASAP que é o LinhaDefensiva.

Por: Renato Victor Mejias.

Renato é Assistente do Fórum Linha Defensiva, Monitor do Fórum Script Brasil e também atualmente é HJT Team do Fórum BleepingComputer, membro ASAP e UNITE.

Malware que poderia ser evitado?

Hoje em dia é muito comum o download de diversos tipos de coisas de servidores de hospedagens gratuitas como Rapidshare entre outros, e como tudo não poderia deixar de ter seu lado ruim, alguns desses provedores implantam adwares para que o download daquele arquivo somente seja feito após a instalação do ‘software’.

Apesar de estar um pouco afastado da rotina de análises de logs nos fórums que participo, tenho percebido nos poucos casos que pego e também por intermédio dos companheiros análistas, vários logs que constam o ‘software’ ‘fornecido’ por estes servidores de hospedagem.

A maioria destas infecções, creio eu, tenha vido do site FriendlyFiles.com, onde para que o download seja realizado é necessário a instalação do adware (ver quadro esverdeado no centro da tela), comprometendo assim integridade do PC.

Mais informações sobre o Adware instalado:

http://www.prevx.com/filenames/1928153743630266445-0/ADSTECHNOLOGY.EXE.html

http://www.prevx.com/filenames/X57666515435882831-0/ACTIVATIONMANAGER.DLL.html

O Adware é representado no log pelas duas entradas abaixo, ou apenas por uma delas:

O2 – BHO: ADSTechnology module – {831CBAC0-8283-4653-9D81-FEB9F3F6E47C} – C:\Programme\ADSTechnology\ADSTechnology.dll
O2 – BHO: ActivationManager module – {86A44EF7-78FC-4e18-A564-B18F806F7F56} – C:\Arquivos de programas\ActivationManager\ActivationManager.dll

E como posso evitar a instalação deste adware?

A principio, a mais sensata seria a busca de uma outra fonte de download. Se não existir outra fonte de download e o download seja realmente necessário, podemos então tentar burlar a instalação do Adware.

Em qualquer canto da página, clicamos então com o botão direito do mouse e em seguida clicamos em Exibir código fonte. Ao ser exibido o código fonte, procuramos então pela linha check_install, onde teremos a url completa do link sem a necessidade da instalação do adware, bastando copia-la, sem aspas claro, e colar no navegador de sua preferência.

Caso o download pelo link citado no código fonte não possa ser efetuado, há uma alternativa, vejamos que no link temos a indicativa /download3/ que representa o servidor de onde o arquivo será baixado, podemos alterar o valor 3 para qualquer outro numero de 1 a 9, exceto o 3, e o download será efetuado normalmente.

Espero que com estas dicas, haja uma diminuição dos casos, visto que o metodo de burlar a insalação do adware é facil podendo ser seguido por qualquer pessoa.

Nova modalidade de disseminação dos bankers!

Apartir deste fim de semana fomos surpreendidos por uma nova modalidade de disseminação dos bankers, onde os crackers agora utilizam brechas em sites muitos conhecidos e muito acessados para implantar um iframe (Elemento que insere uma subjanela, ou moldura, dentro de uma página da Web.) nas páginas, assim redirecionando para um site malicioso e instalando assim os bankers (ladrões de senha).

Na ultima Sexta-feira (21/09/07), o site da Oi (oi.com.br), teve sua página alterada e quem as acessava era automáticamente infectado.

Ontem, Domingo (23/09/07), tivemos conhecimento também que o site HumorTadela também foi alvo desta modalidade, onde o site ficou totalmente comprometido. Acredito que mais casos como estes virão devido a facilidade como a infecção pode se disseminar.

Usuários do Internet Explorer 6, ao acessar estes sites são imediatamente infectados devido a uma vulnerabilidade presente no navegador. Usuários do próprio Internet Explorer 6 e que estejam devidamente em dias com as atualizações do Windows (Windows Update), podem estar livres da infecção.

Usuários do Internet Explorer 7, Firefox e Opera, estão livres desta infecção, sendo que os dois ultimos, também devem estar atualizados para as suas ultimas versões.

Para os usuários do Internet Explorer 6, que não querem atualizar os seus sistemas com “medo” da famosa mensagem do WGA, ou não podem por uma série de outros motivos, é essencial que seja atualizado com as atualizações de segurança descritas no link a seguir conforme sua versão do Windows:

http://www.microsoft.com/brasil/technet/security/bulletin/ms06-014.mspx

ESET Smart Security BETA

No dia 06/04 a Eset lançou o seu primeiro Beta Publico do seu Smart Security, sua nova solução de segurança.

Este programa é composto por Antivírus, Firewall e AntiSpam. Abaixo colocarei minhas impressões após um mês de uso deste programa.

Primeiramente, inclusive foi um fato que me surpreendeu, foi desta suíte ocupar aproximadamente de 8,5MB a 10MB (vide imagem do Gerenciador de tarefas abaixo) de RAM, isto em um PC de 256MB de RAM (meu PC atual). Outro fator interessante desta suíte, visto que o PC é um tanto quanto mal servido de memória, foi o logon ser rápido e a suíte ser carregada rapidamente após o logon.

Ponto positivo para a ESET, assim como o NOD32, sua suíte promete ser super leve.

A suíte é composta por dois modos de utilização, sendo um para usuários normais e outro para usuários avançados.

Antivírus: Base de dados atualizada a cada 24h ou quando houver necessidade. Scanner rápido e eficiente, seguindo os moldes do NOD32.

Possui 3 modos de operação:

- Modo Automático: Funciona da mesma forma que o firewall do Windows, não exibe perguntas sobre ações a serem tomadas para as aplicações que desejam acessar a internet, fornece proteção padrão para entrada e saída.

- Modo Interativo: Requer uma ação do usuário em liberar ou permitir que a aplicação acesse a internet. Este modo se assemelha aos alertas dos firewalls habituais como Zone Alarm e Comodo.

- Modo Avançado ou Modo baseado em políticas de acesso: Requer criação de regras de acesso para os programas acessarem a internet. Diga-se de passagem, ainda há muitos bugs para criação de regras de acesso, forcei um pouco na criação de uma determinada regra para seguir alguns padrões e o programa acabou travando e encerrado, completamente aceitável para um primeiro Beta. Este modo avançado é recomendado apenas para usuários avançados e experientes.

O Firewall ainda deixa a desejar quando se tratando de leakers.

Não é compatível com o Outlook Express, apenas com os Microsoft Office Outlook 2003 e 2007 (Não testei com a versão do Office XP). Não pude testar a eficiência deste componente, visto que dificilmente recebo spams. Módulo de fácil configuração dentro do Microsoft Outlook.

Realmente esta suíte é um produto que promete, aguardarei os próximos betas e espero que haja melhoras consideráveis no Firewall.

Abaixo algumas imagens do programa.

Tela apresentada após o logon.

Caixa de permissão do Firewall no modo Interativo.
Caixa de permissão exibida ao clicar no botão Show settings.Módulo AntiSpam no Microsoft Outlook 2007. Clique na imagem para ampliar.

 

Informações sobre o Update. Clique na imagem para ampliar.

Notificação de Update.

Scanner. Clique na imagem para ampliar.

Relatório do Scanner. Clique na imagem para ampliar.

Acesso a configuração dos módulos. Clique na imagem para ampliar.

Logs, Quarentena e Tarefas agendadas do programa. Clique na imagem para ampliar.

Gerênciador de tarefas, mostrando o consumo de memória do programa. Clique na imagem para ampliar.

Hijackthis 2.0. Powered by Trend Micro.

 Uma breve descrição sobre o programa:

O HijackThis é um programa que fornece informações de boa parte do sistema. Essas informações permitem verificar se há algum software malicioso presente. Entretanto, o HijackThis não diz exatamente quais os problemas existentes, tão pouco dá instruções específicas para a remoção de qualquer praga. Com o uso do HijackThis pode ser possível, pelo menos, obter mais informações sobre o problema detectado no PC, facilitando a busca por informações para a sua resolução.

O autor do programa se chama Merijn (Merlin em Alemão) e define o HijackThis como “O Unico Detector e Removedor Genérico de Hijackers”. Na prática, ele não detecta somente hijackers, mas também diversos trojans, spywares, adwares, worms e etc…

O HijackThis é somente o ponto inicial para uma análise completa do estado de segurança de um sistema Windows.

Novidades da nova versão:

* AnalyzeThis added for log file statistics
* Recognizes Windows Vista and IE7
* Fixed a few bugs in the O23 method
* Fixed a bug in the O22 method (SharedTaskScheduler)
* Did a few tweaks on the log format
* Fixed and improved ADS Spy
* Improved Itty Bitty Procman (processes are frozen before they are killed)
* Added listing of O4 autoruns from other users
* Added listing of the Policies Run items in O4 method, used by SmitFraud trojan
* Added /silentautolog parameter for system admins
* Added /deleteonreboot [file] parameter for system admins
* Added O24 – ActiveX Desktop Components enumeration
* Added Enhanced Security Confirguration (ESC) Zones to O15 Trusted Sites check.

Requerimentos atuais:

Microsoft™ Windows™ XP
Microsoft™ Windows™ 2000

Microsoft™ Internet Explorer 7.0
Microsoft™ Internet Explorer 6.0
Mozilla™ Firefox™ 1.5 ou superior

Info: http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php

Além dessas várias novas funções, o programa não dá mais suporte aos usuários de Windows 98 e ME, fazendo com que estes usuários tenham que utilizar a sua versão antiga v1.99.1.

Em comentário oficial em seu Site, Merijn afirma que vendeu o Hijackthis por não possuir mais tempo suficiente para atualizar o programa, o mesmo aconteceu com o CWShredder há algum tempo atrás.

Leia na integra: http://www.merijn.org/

Abaixo a nova interface do programa, poucas alterações em relação a versão anterior.

Visto isso, há o temor de que o Hijackthis se torne uma ferramenta paga. Descarto na minha opinião que isso vá acontecer, ja que não se trata de uma ferramenta de remoção e sim de diagnóstico, requerendo sempre pessoas com conhecimento para realizar as análises dos Logs gerados pela ferramenta.

Outro fato importante, é que agora a ferramenta informa ao executar o programa pela primeira vez, no seu arquivo de licença, uma exigência de que o usuário possua acima de 18 anos para usar a ferramenta sem que seja acusado de violação de licença. A questão que fica no ar é: Será que todos os Fóruns de informática que possuem área de remoção de malwares terão que filtrar seus cadastros para pessoas com menos de 18 anos???

Além disso há também o fato das propagandas da empresa a cada novo Log análisado em Fóruns de informática de todo o mundo.

Só o tempo dirá qual será o futuro exato da ferramenta.

Bankers. O Malware da curiosidade!

Afinal de contas, o que é banker? Banker é um malware da familia dos keyloggers, ou seja, programas que armazenam tudo o que você digita no seu teclado e envia o arquivo para hackers analisarem o conteúdo, podendo com isso roubar senhas bancárias, logins de email, número de cartão de crédito e etc…

Em estatística colhida pela Linha Defensiva, na qual faço parte, 52,3% dos casos análisados no Fórum são de bankers, dados esses que inclusive estão em crescimento mantido desde o ano passado.

Os bankers se espalham com bastante facilidade, seus meios de propagação mais comuns são MSN e Orkut, devido ao alto poder de comunicação de ambos.

Em uma bela tática de ** Engenharia Social, os hackers utilizam-se de acontecimentos recentes envolvendo artistas, acidentes, fatos e etc… para criarem uma falsa espectativa do fato real, induzindo o(a) internauta psicológicamente (curiosidade) clicar no link suspeito, com mensagens do tipo: “Oi veja as fotos da festa ficaram ótimas hxxp:\\www.fotos.exe” ou “Veja o que estão falando de você nesta comunidade hxxp:\\www.orkuttt\Community.aspx?cmm=3855.front.ru“, acabando assim instalando o keylogger.

Segue abaixo alguns exemplos de bankers em emails, Orkut e MSN:

Para se proteger o ítem fundamental é BOM SENSO, se alguém te manda uma imagem com extensão .exe ou .scr ou .pif, é claro que não é uma imagem e ao clicar estará comprometendo seu computador, ou se de repente aparece uma janela de conversação do MSN, de um contato seu mandando você ver um link suspeito, você não deve clicar apenas porque foi um amigo que enviou, tome cuidado com a “síndrome do clique compulsivo”, analise, pergunte para a pessoa em caso de dúvida. No Orkut deve-se ter os mesmos cuidados.

**Engenharia Social: É um método utilizado para obter acesso à informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o ‘engenheiro’ pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações muito facilmente, porque não necessita da força bruta ou de erros em máquinas, ela explora com muita sofisticação as falhas de segurança dos humanos, que quando não treinados para esses ataques, podem ser facilmente manipulados.

← Página anterior

• 
  


Receba nosso RSS por Email

Informe o seu Email abaixo:

By FeedBurner

Artigos populares

• Restaurando a Userinit.exe corrompida (65)
• Windows Live Essentials (29)
• Proteja seu Pen-drive de infecções (22)
• Instalação off-line do Windows Live Installer (21)
• Fim do monopólio!!!! (20)

• Categorias

  • Games
  • Geral
  • Informática
  • Segurança e Malwares
  • Telefonia e Banda-larga

• Arquivos do Blog

  • setembro 2010
  • agosto 2010
  • outubro 2009
  • setembro 2009
  • agosto 2009
  • julho 2009
  • junho 2009
  • maio 2009
  • abril 2009
  • março 2009
  • fevereiro 2009
  • janeiro 2009
  • dezembro 2008
  • novembro 2008
  • outubro 2008
  • setembro 2008
  • agosto 2008
  • julho 2008
  • junho 2008
  • maio 2008
  • abril 2008
  • março 2008
  • fevereiro 2008
  • janeiro 2008
  • dezembro 2007
  • novembro 2007
  • outubro 2007
  • setembro 2007
  • julho 2007

• Blogs Parceiros

  • BLOG – Laurentino Mello
  • Blog do The Best
  • Blog Windows Brasil
  • Curiosando

Sites Indicados

• LinhaDefensiva

  BABOO

  WinTech

Diretórios de blogs
























Campanha




• Blog Admin

  • Login