O que pode soar como uma piada, pode ser mais grave do que parece.

Em nova modalidade de infecções, os Ransomware, malware realiza alterações no arquivos nos arquivos pessoais e exige a compra de um programa para suposto desbloqueio destes arquivos.

Casos deste malware já haviam sido detectados há alguns meses atrás, sendo que não se trata de uma praga completamente nova. No dia 02 deste mês a Linha Defensiva obteve a descoberta deste malware de origem brasileira, o que prova que tende a ser uma nova e perigosa modalidade de ataque.

Mais informações sobre o que é Ransomware, seus dados técnicos (versão brasileira) e como evitá-lo, poderá ser visto no link abaixo da própria Linha Defensiva.

Mais uma vez parabenizando o Fabio Assolini (Einstein) pela descoberta.

Antivírus fraudulento brasileiro “sequestra” sistema

 Três dias após a grande expectativa formada por um possível ataque em massa do Conficker, até o momento não foi registrada novas atividades do malware, onde o mesmo já faz comunicação com os servidores aguardando apenas comandos do seu criador.

Estima-se que cerca de 10 milhões de PC’s infectados com as variantes do Conficker. De acordo com a OpenDNS, cerca de 500 mil dos seus utilizadores estariam infectados pela terceira variante do malware.

Pelo fato de propagar-se através de uma falha presente no Windows é que torna esta estimativa de infecções em números até superiores a estes já apresentados, o que torna o fato muito grave e que merece a devida atenção. Números estes que já tendem a ser bastantes superiores ao Blaster na eminência de suas atividades em 2003. Obviamente que o número de novos PC’s entre 2003 e 2009 aumentou, o que torna ainda mais grave o assunto.

Se este ataque realmente ocorrer, será sem dúvida um marco ruim na história da internet, infelizmente.

Por muitas cópias do Windows não serem devidamente licenciadas é que acaba comprometendo a situação, onde inclusive a própria atualização para correção da falha utilizada pelo malware é distribuída sem quaisquer limitações. O que se faz necessário sempre manter o Windows atualizado.

Estou infectado? como saber?

Primeiramente não será possível acessar sites como Microsoft nem sites das empresas de antivírus além do bloqueio de atualizações para os mesmos.

As atualizações automáticas serão desabilitadas e pontos de restauração serão removidos.

Cria um arquivo chamado autorun.inf nas partições e unidades removíveis, além de desabilitar a opção de visualização de arquivos e pastas ocultas, fazendo inclusive que seja confundido com as infecções para pen-drives.

Este malware também possui poder de propagação através de Redes que possuem compartilhamentos de pastas.

Como remover?

No link abaixo há instruções detalhadas de como proceder para a remoção do malware:

http://www.linhadefensiva.org/forum/index.php?showtopic=89257

Como diz um de meus mentores, se bem não fizer, mal também não fará. Partindo disto, seria interessante que mesmo para as pessoas que possuem o Windows atualizado pudesse verificar o seu sistema com uma das ferramentas de remoção apresentadas no link indicado acima, eliminando possíveis dúvidas a respeito.

Parabenizando o Fabio (Einstein) pelo método de remoção do malware.

Apesar da ferramenta já ter sido lançada há um certo tempo (inicio do mês), infelizmente só agora pude testá-la mais a fundo a ponto de sugerir ou não a sua recomendação.

A Panda USB Vacine permite proteger PCs desativando completamente as opções de execução automática (autorun.inf), impedindo que nenhum programa execute automaticamente a partir de unidades removíveis. A ferramenta funcionará mesmo que o auto-executar já esteja desativado no Windows.

A partir do autorun.inf que é desencadeada as infecções para Pen-drives, conforme falamos a respeito no artigo Proteja seu Pen-drive de infecções.

Para utilizar a ferramenta é muito simples. Primeiramente realize o download do executável:

 Download Panda USB Vaccine

Para Windows 2000 SP4, Windows XP SP1-SP3 e Windows Vista SP0 and SP1

- Após o download, descompacte o arquivo USBVaccine.zip.

- Execute o arquivo USBVaccine.exe.

- Será exibida uma tela onde você deverá concordar ou negar com os termos de uso do programa. Clique em I Agree pra continuar.

- A tela principal da ferramenta haverá duas opções:

Computer Vaccination (Vacinar o PC como um todo).
USB Driver Vaccination (Onde você poderá especificar qual drive será ‘vacinado’.

- Basta então escolher qual das duas opções seguir e em seguida clicar nos botões Vaccinate computer para ‘vacinar’ o PC e Vaccinate USB para ‘vacinar’ unidades de Pen-drive.

OBS: Apenas a ‘vacinação’ do PC pode ser revertida. A ‘vacinação’ do Pen-drive só poderá ser desfeita formatando-o. Como Pen-drive é o maior vilão das infecções por este dispositivo atualmente, creio que esta opção seja essencial para proteção.

A ferramenta é ótima e realmente cumpre a sua missão, sendo de grande valia para quem gostaria de manter o seu Pen-drive integro para ser usado em locais diferentes.

 Página oficial da ferramenta

Quem nunca recebeu no seu email várias mensagens chatas, com assuntos que não te interessam, vendendo e/ou oferecendo gratuitamente um produto ou serviço e afins. Isto é um incomodo que acontece com muitos internautas, que o diga este rapaz, até o Bill Gates recebe spam.

Logo abaixo veremos algumas formas de prevenção desses emails chatos.

O que é Spam:

O termo Spam, vem da abreviação em inglês de “spiced ham” (presunto condimentado ou presunto picante), é uma mensagem eletrônica não-solicitada enviada em massa. Para saber mais detalhadamente o que é spam, clique aqui.

Como prevenir:

A base da prevenção de spams é não realizar divulgações do seu email pessoal em sites públicos, como o próprio Orkut por exemplo.

Evitar cadastrar-se em sites duvidosos. Caso necessite realmente se cadastrar nestes sites, crie um email gratuito exclusivamente para direcionar este lixo, deixando seu email particular e/ou de trabalho somente para fins profissionais, educacionais e contatos pessoais.

Ao encaminhar emails para várias pessoas, utilize o campo CCO (Cópia Carbonada Oculta) pra adicionar os emails das pessoas que irão receber a mensagem encaminhada.

Ao encaminhar um email apague também do corpo da mensagem, os emails das pessoas que receberam a mensagem anteriormente, poupando assim as outras pessoas de também receberem os spams.

Como combater:

Se você é do tipo de pessoa que recebe spams em sua caixa de email, saiba que é possível combatê-los sem a necessidade de abandonar o email. Os provedores em sua maioria dispõem de opções para os emails, os chamados Filtros ou Autofiltros, onde é possível bloquear os emails a partir do conteúdo do assunto e até mesmo email do remetente.

Citarei aqui como configurar o filtro de dois dos principais emails, o Hotmail e Gmail.

Para o Hotmail:

Após aberta a sua caixa de email, clique no botão Opções (presente na parte direita da barra de funções) em seguida clique em Mais opções.

No campo Lixo eletrônico -> Filtros e relatórios, adeque-o as suas necessidades pessoais.

Em Remetentes confiáveis e bloqueados, poderá ser definido os emails dos remetentes que serão automaticamente bloqueados.

Em Personalizar seu email -> Classifique automaticamente seu email em pastas, será possível criar um filtro para que emails com Endereço, Nome e Assunto sejam automaticamente excluídos.

Pode ser necessário que seja criada mais de uma regra para o mesmo email, como por exemplo, definir palavras chave nos assuntos e um endereço.

Para o Gmail:

Clique em Configurações (ao lado do endereço de email na parte superior esquerda) em seguida clique em Filtros.

Se ainda não possuir nenhum filtro definido, clique em Criar novo filtro.

Defina os parâmetros de configuração do filtro nas caixas disponíveis, em seguida clique em Próxima etapa.

Marque umas das opções disponível para serem executadas ao receber este tipo de email e por fim clique no botão Criar filtro.

Sempre que necessário vá adicionando novos filtros ao email, definindo corretamente tanto o assunto quanto o remetente do email. Muitas vezes ao definir um filtro por assunto, já gera um grande alivio no recebimento destes emails.

Com o completo desuso dos disquetes chegamos a era dos pen-drives, objeto de armazenamento de arquivos simples, rápido e super prático. Bastou plugar em um PC qualquer e já estará funcionando.

Devido a esta alta mobilidade dos pen-drives, é cada vez mais comum as infecções nestes dispositivos onde possuem um poder muito grande de disseminação. Pode parecer um artigo muito maçante e muito longo, mais que valerá a pena ser lido.

Entenda como funciona:

Ao plugar o seu pen-drive em um PC que já infectado, o seu pen-drive carregará a infecção para o seu próprio PC ou um outro PC no qual o seu pen-drive for plugado, formado uma cadeia.

Isto também é válido para cartões de memória, telefones celulares, mp3/mp4 e demais dispositivos de armazenamento USB.

Sintomas da infecção:

• A Unidade fica inacessível
• Erros de Autorun são comuns na tela
• A opção de ver arquivos Ocultos fica desabilitada e/ou nunca fica ativada
• Incapacidade de apagar/mover arquivos do pendrive

Remoção da infecção:

Há algumas ferramentas para o tratamento desta infecção, dentre elas podemos destacar a PenClean que remove os arquivos mais comuns para esta infecção. É possível ver a lista de arquivos que são removidos pela PenClean e correções efetuadas neste link.

 Download PenClean

Para executar a ferramenta PenClean basta seguir os passos abaixo:

• Primeiramente adicione ao PC seus pen-drives, mp3/mp4 e demais dispositivos USB que possua.
• Dê dois cliques no arquivo PenClean.exe onde será aberta a tela inicial do programa.
• Selecione a opção Verificar o unidade, na caixa de lista suspensa, selecione Todas unidades.
• Clique no botão Verificar.
• Aguarde alguns instantes, o exame é rápido.
• Será informado se algo foi encontrado, é possível que a ferramenta solicite para reiniciar, clique em Sim. O computador será reiniciado normalmente.

Serão gerados relatórios onde informarão o que foi removido. Basta para isso, visualizar o arquivo PenClean.txt localizado na pasta C:\PenClean.

OBS: A ferramenta PenClean não é 100% precisa, podendo ainda restar alguns arquivos maliciosos nas raízes dos discos locais. Se desconfiar de certos arquivos com extensão .exe; .com; .bat; .pif; .cmd e .vbs, poderão ser apagados, caso realmente não os identifique.

Caso contrário, a sugestão é que procure um fórum onde tenha o serviço de Remoção de Malwares disponível para realizar uma limpeza nos dispositivos e remoção dos resquícios da infecção.

Como posso me proteger?

Algumas instruções se forem seguidas corretamente poderão contribuir para uma não-infecção ou re-infecção do seu pen-drive e/ou PC. Abaixo veremos algumas:

Se necessitar usar o seu pen-drive em locais públicos, há uma ferramenta onde poderá ser impedido o uso do pen-drive para escrita assim impedindo a infecção. Trata-se da ferramenta USB WriteProtector.

Ferramenta gratuita e simples onde você poderá levá-la no seu próprio pen-drive, além de ativa-la e desativá-la sempre que necessário.

 Download USB WriteProtector

O programa não requer instalação apenas crie uma pasta no seu pen-drive com o nome de UsbWriteProtect e descompacte os arquivos para esta pasta.

A ferramenta possui o idioma Português de Portugal, o que não será um empecilho de uso para as pessoas que não possuem conhecimento em Inglês. Para mudar o idioma, na caixa Sprache / Language: clique na caixa de lista suspensa e selecione Portuguese.

O uso desta ferramenta é muito simples. Acesse sua pasta no seu pen-drive e execute o arquivo UsbWriteProtect.exe onde será aberta a janela abaixo:

Para ativar a proteção, clique em Proteção de escrita USB – Activa
Para desativar a proteção, clique em Proteção de escrita USB – Inactiva

Aguarde alguns instantes até que a ferramenta aplique a restrição.

É recomendado que efetue a restrição de escrita no seu PC pessoal, depois que obtiver a certeza de que está com o PC limpo.

OBS: Com a proteção ativa, não será possível salvar arquivos no pen-drive, apenas cópia e leitura.

Para PC’s compartilhados:

Faculdades, lan-houses, empresas e demais locais onde se utilizam vários PC’s e são usados por várias pessoas também devem seguir algumas orientações básicas para evitar infecções.

A primeira delas e ter um bom antivirus devidamente configurado. Alguns antivírus realizam a detecção destas infecções, porém não conseguem remover por completo, por estarem mal configurados ou sua base de dados é insuficiente. Mais de qualquer forma, já é um diferencial para conter a infecção.

Atualmente o mercado já possui algumas soluções antivírus que são dedicadas a tratar deste tipo de infecções, porém ainda não estão completamente precisas.

Segundo ponto é desabilitar o Autorun das unidades, impedindo assim que o malware seja instalado no momento do uso do pen-drive. Há um utilitário simples para esta função:

 Download AutoPlayConfig

Descompacte o arquivo em seguida execute o arquivo AutoPlayConfig.exe.

Clique em Disable para ativar a restrição.

Para verificar se há alguma restrição, clique no botão Check Autoplay Status.

Creio que seguindo estas dicas, será possível reduzir ou até mesmo zerar (um pouco otimista) o índice deste tipo de infecção.

Ontem foi lançada a mais nova versão de um dos mais tradicionais e funcionais AntiSpywares do mercado, o Spybot 1.6.0.

Novidades da versão:

• Integração de partes do escaneamento de arquivos da versão 2.0

• Suporte a ‘Inuminzação’ a novas versões de Firefox e Opera.

• Para facilitar a utilização do programa por usuários iniciantes, foi integrado um banco de dados de entradas do sistema com confirmações automáticas.

Screenshot:

Download:

>> Link Direto

Conforme aprovação nesta Quarta feira pela CPI da Pedofilia no Senado Federal, o Google mediante sua filial Brasileira, terá que quebrar o sigilo de 3.261 albuns suspeitos de conter conteúdo relacionado a pedofilia.

Desde sua chegada em 2004, o Google Brasil tem se recusado a fornecer informações que foram solicitadas pelo Ministério Público sobre usuários denunciados por pedofilia.

Durante a reunião da CPI a empresa anunciou uma mudança de postura e assumiu o compromisso de adotar até Junho deste ano, medidas para facilitar a identificação de pedófilos que utilizam o Orkut.

Ponto para o Senado, em especial ao Senador Magno Malta por esta pauta. Conheço o Orkut desde sua chegada ao Brasil e posso afirmar com total convicção que eu não pensava que fosse se tornar esta ‘febre’ toda. Hoje o Orkut está abandonado, sendo palco para disseminação de bankers, prostituição, além destes casos lastimáveis de pedofilia. Cabe a toda aquela pessoa de bem que o acessa, denunciar os abusos e aguardar que as medidas sejam tomadas agora pelo próprio Google e Ministério Publico.

Tiro meu chapéu para esta medida.

Com o aumento do número de infecções, surgem cada dia novos fóruns na internet que oferecem serviços de Remoção de Malwares por meio de análise do log de um programa chamado Hijackthis**, mas o que os usuários devem considerar antes de permitir que um analista faça modificações em sua máquina:

-É essa pessoa reconhecida por outros analistas como alguém de confiança?
-Tem experiência no assunto?
-Está atualizado com as mais novas ferramentas e infecções existentes?
-É graduado em algum fórum reconhecido pela ASAP ou UNITE?

As questões acima são de suma importância, e muitas pessoas devem estar pensando: “Mas quem preenche todos esses atributos?”. É uma pergunta justa, mas a resposta é bem simples, POUCAS PESSOAS, me atrevo a dizer que no Brasil esse número nem chega a 15. No entanto cada dia vemos mais fóruns oferecendo esse tipo de serviço, alguns inclusive passaram a oferecer treinamento em análise, a realidade é que muitos acham que analisar é simplesmente apagar algumas entradas do registro e alguns arquivos, quando na realidade é bem mais do que isso, precisa entender os ‘caminhos do malware’, reconhecer os riscos e propor medidas de correção para evitar que isso ocorra novamente.

Muitos podem argumentar que já tiveram seus problemas resolvidos por pessoas que não atendem os requisitos que citei acima, a explicação é que muitos casos já tem a ‘receita do bolo’ pronta, basta seguir alguns procedimentos simples, o problema é quando se têm infecções complicadas como alguns rootkits russos, ou algumas novas infecções chinesas, onde se faz necessário uma intervenção mais cuidadosa e perigosa, pois qualquer resquício pode significar a inutilização do sistema operacional.

Acima também citei sobre a ASAP e UNITE, ambas são organizações que buscam garantir um alto padrão de qualidade no suporte em segurança. Os fóruns filiados a essas organizações promovem treinamentos em análise, então todos aqueles que quiserem aprender serão bem vindos, lembrando que a maioria é em inglês, no Brasil existe apenas um fórum reconhecido pela ASAP que é o LinhaDefensiva.

Por: Renato Victor Mejias.

Renato é Assistente do Fórum Linha Defensiva, Monitor do Fórum Script Brasil e também atualmente é HJT Team do Fórum BleepingComputer, membro ASAP e UNITE.

Hoje em dia é muito comum o download de diversos tipos de coisas de servidores de hospedagens gratuitas como Rapidshare entre outros, e como tudo não poderia deixar de ter seu lado ruim, alguns desses provedores implantam adwares para que o download daquele arquivo somente seja feito após a instalação do ‘software’.

Apesar de estar um pouco afastado da rotina de análises de logs nos fórums que participo, tenho percebido nos poucos casos que pego e também por intermédio dos companheiros análistas, vários logs que constam o ‘software’ ‘fornecido’ por estes servidores de hospedagem.

A maioria destas infecções, creio eu, tenha vido do site FriendlyFiles.com, onde para que o download seja realizado é necessário a instalação do adware (ver quadro esverdeado no centro da tela), comprometendo assim integridade do PC.

Mais informações sobre o Adware instalado:

http://www.prevx.com/filenames/1928153743630266445-0/ADSTECHNOLOGY.EXE.html

http://www.prevx.com/filenames/X57666515435882831-0/ACTIVATIONMANAGER.DLL.html

O Adware é representado no log pelas duas entradas abaixo, ou apenas por uma delas:

O2 – BHO: ADSTechnology module – {831CBAC0-8283-4653-9D81-FEB9F3F6E47C} – C:\Programme\ADSTechnology\ADSTechnology.dll
O2 – BHO: ActivationManager module – {86A44EF7-78FC-4e18-A564-B18F806F7F56} – C:\Arquivos de programas\ActivationManager\ActivationManager.dll

E como posso evitar a instalação deste adware?

A principio, a mais sensata seria a busca de uma outra fonte de download. Se não existir outra fonte de download e o download seja realmente necessário, podemos então tentar burlar a instalação do Adware.

Em qualquer canto da página, clicamos então com o botão direito do mouse e em seguida clicamos em Exibir código fonte. Ao ser exibido o código fonte, procuramos então pela linha check_install, onde teremos a url completa do link sem a necessidade da instalação do adware, bastando copia-la, sem aspas claro, e colar no navegador de sua preferência.

Caso o download pelo link citado no código fonte não possa ser efetuado, há uma alternativa, vejamos que no link temos a indicativa /download3/ que representa o servidor de onde o arquivo será baixado, podemos alterar o valor 3 para qualquer outro numero de 1 a 9, exceto o 3, e o download será efetuado normalmente.

Espero que com estas dicas, haja uma diminuição dos casos, visto que o metodo de burlar a insalação do adware é facil podendo ser seguido por qualquer pessoa.

Apartir deste fim de semana fomos surpreendidos por uma nova modalidade de disseminação dos bankers, onde os crackers agora utilizam brechas em sites muitos conhecidos e muito acessados para implantar um iframe (Elemento que insere uma subjanela, ou moldura, dentro de uma página da Web.) nas páginas, assim redirecionando para um site malicioso e instalando assim os bankers (ladrões de senha).

Na ultima Sexta-feira (21/09/07), o site da Oi (oi.com.br), teve sua página alterada e quem as acessava era automáticamente infectado.

Ontem, Domingo (23/09/07), tivemos conhecimento também que o site HumorTadela também foi alvo desta modalidade, onde o site ficou totalmente comprometido. Acredito que mais casos como estes virão devido a facilidade como a infecção pode se disseminar.

Usuários do Internet Explorer 6, ao acessar estes sites são imediatamente infectados devido a uma vulnerabilidade presente no navegador. Usuários do próprio Internet Explorer 6 e que estejam devidamente em dias com as atualizações do Windows (Windows Update), podem estar livres da infecção.

Usuários do Internet Explorer 7, Firefox e Opera, estão livres desta infecção, sendo que os dois ultimos, também devem estar atualizados para as suas ultimas versões.

Para os usuários do Internet Explorer 6, que não querem atualizar os seus sistemas com “medo” da famosa mensagem do WGA, ou não podem por uma série de outros motivos, é essencial que seja atualizado com as atualizações de segurança descritas no link a seguir conforme sua versão do Windows:

http://www.microsoft.com/brasil/technet/security/bulletin/ms06-014.mspx