A Microsoft identificou um trojan (Cavalo de Troia) incomum que é capaz de apagar os arquivos que baixa, a fim de mantê-los longe de investigadores forenses e pesquisadores.

O downloader, chamado Win32/Nemim.gen!A, é o mais recente exemplo de como os criadores de malware estão usando técnicas sofisticadas para proteger seus próprios segredos comerciais. O Cavalo de Troia essencialmente torna irrecuperáveis os arquivos de componente baixados, de modo que não podem ser isolados e analisados.

“Durante a análise do downloader, não pudemos encontrar facilmente qualquer arquivo de componente baixado no sistema”, disse Jonathan San Jose, membro do Centro de Proteção contra Malware da Microsoft, em um post no blog. “Mesmo ao usar ferramentas de recuperação de arquivos, podemos ver nomes pouco suspeitos de arquivos apagados, mas podemos não ser capazes de recuperar o conteúdo correto do arquivo.”

A Microsoft conseguiu “pegar” alguns componentes enquanto eles estavam sendo baixados de um servidor remoto. As duas finalidades do malware são infectar arquivos executáveis em drives removíveis, e rodar um “ladrão de senhas” para roubar credenciais de contas de e-mail, Windows Live Messenger, Gmail Notifier, Google Desktop e Google Talk.

Normalmente, o único trabalho dos downloaders é entregar o malware principal. Neste caso, o downloader entrega o software malicioso e continua a ser uma parte integrante da operação.

Evolução

Em geral, o malware se tornou melhor em se esconder do radar. Alguns dos vírus desse tipo são usados em ameaças persistentes avançadas (APTs), destinadas a atacar organizações específicas. “O vírus que esconde suas trilhas para impedir a comunidade de segurança de desenvolver assinaturas defensivas rápidas é a norma hoje”, disse Paul Henry, um analista forense da Lumension.

Por algum tempo, os cibercriminosos desenvolveram um malware que pode sentir quando está em uma estação de trabalho virtualizada comumente utilizada pelos pesquisadores para isolar e estudar o código malicioso. Quando está em tal ambiente, o malware entrará em um estado “dormente”, por isso não pode ser facilmente descoberto.

Outros vírus inserem seu código malicioso na memória do sistema, e nunca deixam rastros no registro ou disco rígido do computador infectado, disse Henry. “As soluções de segurança de seu avô vão deixar você totalmente indefeso contra ameaças em evolução de hoje”, disse.

A praga foi detectada por Roman Hussy, autor do blog abuse.ch. e já teria infectado máquinas no Reino Unido, Suíça, Alemanha, Áustria, França e Holanda.

Hussy publicou uma imagem do aviso apresentada aos usuários do Reino Unido. Ela exibe os logotipos da Performing Right Society (PRS), uma organização de cobrança de “royalties”, e também da Polícia Metropolitana.

O aviso alega falsamente que um material protegido por direitos de autor foi encontrado no computador e que o mesmo foi movido para uma pasta cifrada “para evitar mais danos”. “Para desbloquear o seu computador e evitar outras consequências legais, o usuário deve pagar uma taxa de libertação de 50 libras (80 dólares)”, lê-se na comunicação.

O mesmo golpe esta sendo alertado pela Central de Denúncias contra Crimes na Internet sobre uma nova plataforma de malware: O Citadel – que é utilizada para “entregar” o ransomware Reveton. A Central conta que as vítimas são atraídas pela unidade através de um download – via website – que instala o ransomware em seus computadores. O malware faz com que o usuário pense que violou uma lei federal por visualização de pornografia infantil e deverá pagar uma multa por conta disso.

Pouquíssimo tempo depois, o computador é sequestrado e é exibido na tela um aviso declarando que o endereço de IP do usuário foi identificado pelo Departamento de Justiça de Crimes em Computadores & Seção de Propriedade Intelectual por ter visitado sites que oferecem pornografia infantil e outros conteúdos ilegais.

“Para desbloquear o computador, o usuário é orientado a pagar uma multa de 100 dólares ao Departamento de Justiça dos Estados Unidos e precisa utilizar um serviço de cartão pré-pago para fazê-lo. A localização geográfica do IP do usuário determina quais serviços de pagamento o cartão oferece. Juntamente com o ransomware, o Citadel continua a operar no computador comprometido e pode ser utilizado para cometer fraudes em internet banking e no cartão de crédito”, diz a Central de Denúncias contra Crimes na Internet, em seu aviso.

Reveton é uma variante desse desagradável Cavalo de Tróia conhecido como Citadel- que é baseado no Zeus, um dos mais antigos malwares e um dos mais utilizados em golpes de internet banking. O kit de ferramentas de crime do Citadel tem seu código aberto e está evoluindo e se espalhando rapidamente, resultando em novas versões traiçoeiras, como o Reveton.

O que é o Ransomware?

Ransomware é um tipo de malware que depois de instalado no micro da vítima compacta os arquivos num pacote criptografado sequestra e depois pede resgate pelos arquivos. Se o usuário paga o resgate receberá uma senha com as instruções ou utilitários que permitem restaurar a informações do sistema.

Os Ransomwares não permitem acesso externo, a maioria é criada com o propósito comerciais, eles são detectados pelos antivírus com certa facilidade pois costumam criptografar arquivos grandes, mas alguns possuem opções que escolhem inteligentemente quais pastas criptografar ou permitem que o atacante faça isso.

fonte:http://idgnow.uol.com.br/internet/2012/05/07/malware-sequestra-o-pc-e-pede-resgate/

Cavalos de Tróia ou Trojan

A engenharia social sempre existiu conta a mitologia que o “Cavalo de Tróia” foi uma grande estátua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tróia. A estátua do cavalo foi recheada com soldados que, durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Tróia. Daí surgiu os termos “Presente de Grego” e “Cavalo de Tróia”

No mundo Virtual a ideia é a mesma um cavalo de tróia é um arquivo aparentemente inocente entregue pela porta da frente que contém um elemento malicioso escondido em algum lugar dentro dele.

A maioria dos Cavalos de Tróia são realmente programas funcionais, de modo que o usuário nunca se torna consciente do problema (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc),  o elemento funcional no programa executa as funções para quais foi projetado muito bem, enquanto o elemento malicioso trabalha por trás do usuário para promover os interesses do atacante.

Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são:

• Continue Reading