A lista com os vírus mais detectados no mês de Janeiro, lista que mostra diferentes tipos de vírus e suas formas de ações.

Anunciada pela Sunbelt Software a lista dos tops 10 tem como intuito de mostrar quais pragas estão em maior atividade no momento.

1º Trojan.Win32.Generic! BT – uma detecção genérica para cavalos de Tróia que compuseram quase um quarto (23,15 por cento) de todos os malwares encontrados. Ele permaneceu na primeira posição pelo terceiro mês consecutivo, um crescimento de quase 20 por cento dos 18,69 por cento de todas as detecções em dezembro.

2º Trojan-Spy.Win32.Zbot.gen que caiu da primeira para a segunda posição na lista para o terceiro mês consecutivo, diminuindo 6,23-4,91 por cento de todas as detecções.

Enquanto isso, três novas detecções movido para a lista deste mês do top 10. Virtumonde – uma descrição generalizada de um programa de adware com muitas versões de anúncios pop-up – constituído 1,23 por cento das detecções totais. Packed.Win32.TDSS.aa.3 – um rootkit sofisticados e de Tróia que é utilizado principalmente para redirecionar resultados de pesquisas – de 1,21 por cento.

Finalmente, Trojan.HTML.FakeAlert.a – Detecção de um para um arquivo HTML que substitui um plano de trabalho e funciona com malware rogue.

A lista completa pode ser conferida abaixo:

1. Trojan.Win32.Generic!BT – 23.15%
2. Trojan-Spy.Win32.Zbot.gen – 4.91%
3. Exploit.PDF-JS.Gen – 4.55%
4. Trojan.Win32.Generic!SB.0 – 2.40%
5. Trojan.Win32.Malware – 1.93%
6. Trojan.ASF.Wimad – 1.92%
7. INF.Autorun – 1.46%
8. Virtumonde – 1.23%
9. Packed.Win32.TDSS.aa.3 – 1.21%
10. Trojan.HTML.FakeAlert.a – 0.98%

Matéria original na linguagem inglêsa: Link

Uma nova ameaça esta bombardeando as caixas de e-mails de muitos internautas com o título “que mentira!!!!!!!”. Em seu conteúdo um suposto link para um vídeo postado no YouTube. Porém se posicionar o mouse sobre o link nota-se que o link levará a pessoa à outra pagina onde esta o vírus.

O link disfarçado como vídeo do youtube é este: 

http://www.youtube.com/watch?v=nf22iyNrxQw

Que na verdade nem existe, o link verdadeiro por traz desta farsa é:
 hxxp://208.98.49.134/meuvideo.com?0.654419238765469
(favor não clicar sobre este link)

Recebi este e-mail hoje de dois amigos e logo que abri o e-mail o McAfee VirusScan  já me alertou para o link, em seguida usando uma VM (Virtual Machine) cliquei sobre o link baixei o vírus e fiz uma análise completa nele.

Ao que parece este tipo de vírus tem a intenção de criar uma rede de botnets, pois a cada PC infectado milhares de e-mail são enviados sem que o verdadeiro autor ou dono da maquina esteja sabendo. A estratégia não é nova, porém o que me chamou a atenção nesta tentativa, foi que os autores conseguiram alterar dados do protocolo TCP para o envio dos e-mails.

Para quem ainda não entrou em contato com o vírus a dica é deletar o e-mail assim que recebê-lo, para quem já clicou no link e se infectou a dica é procurar um fórum que dê suporte a remoção de malwares.  Eu pessoalmente indico e dou suporte no FórumWeb, o link esta disponível na lista de links ao lado.

Análise do Vírus

Arquivos criados:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\4X23OP2B\b4[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GPURSX23\b2[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODM3O1U3\b3[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b1[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b5[1].jpg

C:\Documents and Settings\Administrator\Stream.log

C:\WINDOWS\system32\MsBlocker.dll

C:\WINDOWS\system32\blocker.exe

C:\WINDOWS\system32\f3rn4nd4.dll

C:\WINDOWS\system32\javaaa.exe

C:\WINDOWS\system32\spooler.exe

Arquivos modificados:

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\4X23OP2B\b4[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GPURSX23\b2[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODM3O1U3\b3[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b1[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b5[1].jpg

C:\Documents and Settings\Administrator\Stream.log

C:\WINDOWS\system32\MsBlocker.dll

C:\WINDOWS\system32\blocker.exe

C:\WINDOWS\system32\f3rn4nd4.dll

C:\WINDOWS\system32\javaaa.exe

C:\WINDOWS\system32\spooler.exe

Ip

PIPE\lsarpc

\Device\Afd\AsyncConnectHlp

\Device\Afd\Endpoint

\Device\Ip

\Device\NetBT_Tcpip_{1AD45B38-4060-4F73-BB1E-A0439A2D97EB}

\Device\RasAcd

\Device\Tcp

Além de criar e modificar arquivos o vírus também alterar alguns parâmetro do registro como \Winsock2 entre muitos outros. Após a analise do arquivo fiz um scan nele no site VirusTotal e vejam o resultado.

Fica o alerta caso receba algum e-mail intitulado “que mentira!!!!!!!” saiba que se trata de uma tentativa de phishing, e exclua o e-mail, mesmo que tenha sido enviado por alguém que você conhece.

Site desenvolve zoológico para vírus, a idéia é ambientar o internauta com o modo de ação de cada vírus.

O VirusZoo é um sistema que trabalha com maquinas virtuais e o usuário pode simula uma infecção real através de VM’s  que tem instaladas em si várias instancias do sistema Windows.
O criador do site em entrevista ao SecurityFocus afirmou que não há riscos para quem quiser “brincar” com os “bichinhos”.

A iniciativa é uma idéia diferente, porém que pode trazer muitos bons frutos, pois com a possibilidade de qualquer internauta poder lidar com os vírus que lá estão, vai dar maior conhecimento a todos, das diferentes classes de malware e suas formas de agir.

O site ainda esta em estágio beta e para utilizar basta se cadastrar e tudo gratuito. Utilizei e posso dizer é seguro, e aconselho a todos procurem conhecer mais sobre os “bichinhos” pois assim você vai saber agir quando algum infectar sua maquina.

Aqui segue o link para quem quiser visitar e experimentar essa novidade

As piores pragas do ano de 2009 de acordo com pesquisa por mim realizada, aponta Induc, Sality, Conficker, e Virut.

Este ano foi marcado pela volta do induc e que pegou todas as empresas de segurança de surpresa, uma vez que esse vírus era tido como “morto”. Quando surgiram os primeiros sintomas da volta do induc.a as empresas não estavam prontas para lidar com ele, até porque não constava em nenhum banco de dados como uma infecção ativa. Apesar do induc não ser devastador ele tem o poder de se infiltrar em aplicações sobre plataforma Delphi e deixá-las inutilizáveis.

Conficker a ameaça silenciosa, esse poderia ser o nome de um longa metragem, porém é a realidade do atual número um na lista dos top 10 de vírus. Apesar de não se ver  falar muito nele como já se foi falado, o Conficker tem atuado e feito muito estrago mundo a fora. Existem previsões que dizem que em 2010 o Conficker vai se tornar mais forte e com uma rede zumbi enorme, o que poderá ser utilizado para ataques em massas e também para colocar servidores inteiros fora do ar, tamanha a rede que ele esta construindo.

Se analisarmos a estratégia do criador do Conficker, podemos dizer que  foi muito bem articulado e executada, pois ele conseguiu criar uma rede de botnets (computadores zumbis) a qual pode ser utilizada para obter grandes quantidades de dinheiro ou até mesmo terror virtual.

Virut o destruidor, essa é mais uma daquelas pragas que se quer longe do HD, e pode ser encontrada facilmente em pendrives e outros meios. O Virut é um file infector que se inserido no seu HD tem a capacidade de infectar e alterar todos os arquivos presentes no disco rígido, tornando o sistema instável e sua remoção sem a formatação muitas vezes é desastrosas, pois quando se consegue remove-lo o estrago feito por ele foi tão grande que arquivos essenciais para o sistema operacional ficaram corrompidos e a única solução nesses casos é a formatação.

Sality, este é mais um da família file infector tem a capacidade de se inserir em arquivos *.exe, uma vez infectado ele desativa sua central de segurança (Antivírus, Firewall, Antispy) e começa a duplicar-se enchendo seu  HD em poucos instantes.

Este ano tivemos a descoberta de alguns novos malwares como o Glumbar que ainda se sabe pouco dele, porém não é um vírus voltado para o usuário final e sim para sites a intenção dele é capturar credenciais de FTP para poder se proliferar por meio de sites seguros. Glumbar que realizou um ataque em massa em maio de 2009 à inúmeros sites tidos como seguros, o que assustou muitos webmasters.

Para fechar deixo aqui um alerta, de que em 2010 mais vírus iram surgir e cada vez mais potentes por isso tenham sempre seus sistemas operacionais atualizados e uma boa central de segurança com  Antivírus atualizado,Firewall e Antispyware.  Fazendo isto você vai esta evitando muitos problemas com malwares, e claro fazer o uso consciente da internet.

Após 24 horas de muitas críticas sobre a BlackScreen “tela preta” resultante do pacote de atualizações de novembro, a Microsoft resolveu se pronunciar negando que o pacote de atualizações possa causar tais danos e instabilidades nos computadores dos usuários.

Em seu blog a Microsoft disse que apesar de não ter entrado em contato com nenhuma das empresas que relataram o problema, mas que realizaram testes e em nenhum deles a “tela preta” apareceu, ainda disse no seu blog que os clientes não tem reclamado de tal problema sendo assim ela se eximiu e qualquer culpa. Porém ela jogou a provável culpa para cima de algum malware, que possa ser desconhecido.

Em nota a Microsoft disse:

“Nós também verificamos com os nossos clientes mundiais de serviços e organização de suporte, e eles nos disseram que não estamos vendo “tela preta. Porque esses relatórios não foram levados diretamente a nós, é impossível saber de forma conclusiva o que pode estar causando uma “tela preta” nesses casos limitados em que os clientes têm visto. No entanto, sabemos que “tela preta” comportamento está associado a algumas famílias de malware, como Daonol.

Isso ressalta a importância da nossa orientação para os clientes entrar em contato com nosso Atendimento ao Cliente e grupo de apoio a qualquer momento eles acharem  que estão afetados por malware ou está enfrentando problemas com atualizações de segurança. Isto nos permite determinar o que pode estar acontecendo e tomar medidas para ajudar os clientes, documentando novas famílias de malware na nossa enciclopédia de malware MMPC ou documentar problemas conhecidos em nossos boletins de segurança e do apoio na Base artigos.”

Pelo que eu li e entendi eles não entraram em contato com quem já teve o problema e solta uma nota alegando que o problema é causado por um malware, acho essa atitude desonesta e passa a impressão de que a Microsoft não gosta de ser “corrigida”. Lembrando que até uma correção do problema foi criada pela empresa de segurança Prevx.

Nesta segunda-feira 30 de Novembro a Sophos e a Bit.ly anunciaram um acordo de ajuda mútua. O acordo visa proteger os milhares de usuários do sistema de encurtamento de url fornecido pela bit.ly a idéia inicial é criar um banco de dados com sites maliciosos, e fornecer filtragem da url no momento em que for encurtada.

A preocupação com este tipo de serviço tem crescido muito no meio das empresas de segurança, uma vez que 23.500 paginas  infectadas surgem a cada dia, número quatro vezes maior do que registrado no ano de 2007. A duas empresas saem ganhando com o acordo, a bit.ly por poder contar com uma das maiores empresas de segurança do mundo, e a Sophos por ficar a frente dos hackers na disseminação de ameaças, ou seja basta um hacker usar o serviço da bit.ly que a Sophos já estará sabendo. Isso é bom também para o usuário, pois o tempo de resposta em ataques como os que vêm acontecendo, seja via e-mail, twitter e qualquer outro diminuíram consideravelmente.

Em seu blog Graham Cluley disse:

“bit.ly fez parceria com a Sophos para fornecer:

* Visibilidade incomparável de sites infectados por combinação de vírus da Sophos  detecção de comportamento malicioso, parcerias motor de busca e anti-spam honeypots, que constantemente faz a varredura do tráfego de e-mail para encontrar sites infectadas e rastreá-las até o sites de  hospedagem.

* Comportamento de digitalização do conteúdo de páginas Web para dinamicamente identificar novos malwares, mantendo Sophos um passo à frente dos autores de malware e suas tentativas de enganar programas de antivírus, constantemente modificando o código malicioso. “

“bit.ly está empenhada em proteger seus usuários contra spam e malware” disse Andrew Cohen, gerente geral da bit.ly

Lembrando que esta ação não é a única, como falei aqui no blog dias atrás sobre o UntinyFox que também visa dar confiabilidade e segurança na navegação de links. O internauta hoje tem mais meios de se defender do que a tempos atrás, quando ficávamos a espera de uma vacina para um vírus semanas. Espera-se que com esses dispositivos cada dia mais o usuário desse tipo de serviço possa ter maior credibilidade.

Muitos tem me perguntado se estamos no inicio de uma nova era em vírus, ou seja, vírus para smartphones. A verdade é que desde 1990 já se dizia que muito em breve vírus para dispositivos móveis seriam uma realidade, porém não há motivo para pânico.

Se levarmos em conta que 85% dos ataques feitos por malwares são desenvolvidos para a plataforma Windows, teria ai uma margem muito pequena para essa nova área de atuação o iPhone. A Apple tem trabalhado duro na área de segurança em seu sistema operacional usado no iPhone, e só corre risco de infecção aqueles que desbloqueiam seus aparelhos com famosos JailBreak, e ainda usam senhas padrão. Estes estão sim próximos de serem infectados.

Vale lembrar que as ameaças só atacam o sistema operacional da Apple, ou seja, quem utiliza Android não tem com o que se preocupar – pelo menos até o momento- até pelo fato de que os demais sistemas não tem tantas aplicações disponíveis como o iPhone tem.
Uma ilustração disso vem na forma de novos números da AdMob [PDF], que revelam que mais de (55%) das pessoas no E.U.A. navegam na web a partir de iPhone do que qualquer outro sistema operacional para smartphone.

O que não pode ocorrer é um modelo de sistema operacional para smartphones dominar o mercado, assim como o Windows fez para PC’s,  se isto acontecer teremos um quadro semelhante ao que passamos hoje com os PC’s. Seria péssimo para todos, pois o mercado deve ter uma determinada variedade até para impedir que os crackers se foquem em um só sistema  – assim como acontece com Windows –  e evitar o monopólio.

Um fator interessante é que estes vírus recém criados para iPhone só traz prejuízo a usuários europeus uma vez que o malware esta configurado para roubar dados sobre contas de um banco Holandês. Então reforçando caso você se contamine, só terá prejuízos se tiver uma conta em bancos europeus, ainda não se tem notícia de nada parecido voltado ao usuário brasileiro.

Porém vale ressaltar que os bankers brasileiros estão a cada dia mais espertos, e atentos a tudo que acontece no mundo virtual. Espero que tais bankers não configurem a praga para capturar dados de bancos nacionais, pois se isto ocorrer ai sim teremos graves problemas, até porque não se tem softwares especializados na remoção deste tipo de ataque. Mesmo existindo antivírus em versões móbile (móveis) não são suficientes para deter o ataque.
Portanto fica a dica para quem é fã do iPhone não usem jailbreak e muitos menos senhas padrão.

Os cibercriminosos não perderam tempo aproveitando a notícia de que o número um do mundo golfista Tiger Woods, foi envolvido em um acidente de carro na Flórida, criaram um falso vídeo contendo malware.

Hackers criaram páginas alegando conter vídeos relacionados com o acidente em que Tiger Woods alegadamente bateu seu carro em um hidrante e árvore.

No entanto, se os usuários e tentar ver os vídeos  são levados a um vídeo falso página do jogador, que tenta baixar um arquivo executável para o disco rígido do seu computador.

O arquivo, chamado Movie_HD_Plugin_Update.40014.exe, afirma ser um ”plugin” para permitir que você assista o vídeo, mas os usuários seria muito imprudente para executá-lo em seus computadores, pois se trata de um Troj / Proxy-JN ( cavalo de tróia).

Naturalmente, os hackers decidiram essa tática do acidente de Tiger Woods com o carro, simplesmente porque muitas pessoas estão pesquisando na internet por notícias sobre isso agora. Usando técnicas de Search Engine Optimization (SEO) para empurrar suas páginas envenenadas para o topo nos resultados de busca, os bandidos estão esperando que eles vão aumentar o número de pessoas que clicam em seus links e, assim, infectar o maior número possível de computadores.

Naturalmente, esta não é a primeira vez que um mundo das celebridades dos esportes tem sido objeto de uma campanha de malware como este. Por exemplo, em setembro hackers atacaram os usuários que estavam caçando para um vídeo da tenista Serena Williams quando perdeu a calma na quadra de tênis durante uma partida.

Portanto fica o alerta nunca seja curioso demais pois isto pode prejudicar seu computador.

Matéria original em inglês: http://www.sophos.com/blogs/gc/g/2009/11/28/hackers-exploit-tiger-woods-car-accident-spread-malware/

Parece que os bankers brasileiros tem uma ligeira queda pelo Bradesco, ou seria por ser um dos maiores bancos privados do país. Porém o que mais chama atenção é a tática usada para tentar enganar quem  recebe este tipo de “e-mail. Usam uma imagem distorcida e nela adicionam um link, usando da curiosidade humana, pois algum desavisado, ao ver aquela imagem vai querer conferir a imagem em tamanho real, e é ai que mora o perigo.

Vejam a imagem usada nessa tentativa de phishing – pescaria – como eles utilizaram tais táticas.
Abaixo você esta vendo a imagem que se vê quando abrimos o email

Por traz desta imagem se esconde um link que nem a Web of Trust foi capaz de dar a verdadeira classificação a ele. O link  escondido usa um domínio que leva consigo a palavra comprovante, o que para alguns pode dar segurança.
O link por traz da imagem você pode conferir abaixo:

hxxp://comprovante.sytes.net/

Ao clicar na imagem você é redirecionado para outro site e nesse sim é onde se encontra o arquivo malicioso:

hxxp://convitelive.com/Comprovante.php

Atenção caso receba este e-mail não clique em link algum e delete o quanto antes, o tipo de infecção presente é Win32/TrojanDownloader.VB.NUI.

Este tipo de malware geralmente da muita dor de cabeça para remover, portanto fica o alerta, não abra e-mail’s de desconhecidos, ou você será o próximo a ser “fisgado”

Analistas do mundo todo estão espantados com os números de infecções por induc.a. Já se compara ele com o Conficker, uma vez que já foi noticiado mais de 4 milhões de infecções simultâneas, ou seja não é um exagero a comparação.

Leiam abaixo um artigo publicado no weblog da Kasperky por um analista e vejam que o que ainda vai ocorrer:

Caso você esteja contaminado e precisa fazer uso da plataforma Delphi já existe desinfecção para ele, segue o link

E se você esta infectado por qualquer outro tipo de virus acesse o fórum de Remoção de Malwares que lá eu te auxiliarei a livra-se de qualquer vírus.