Rede do Conficker é ativada para distribuir anti-spyware fraudulento

O vírus Conficker, cuja suposta ativação marcada para o primeiro de abril atraiu grande atenção da mídia, está – agora sim -- recebendo um comando do seu criador: baixar e instalar um anti-spyware fraudulento nos computadores infectados.

O nome do programa de segurança fajuto é SpywareProtect 2009. Ele não é diferente dos outros softwares maliciosos da mesma classe: ao ser instalado, o SpywareProtect “detecta” vários problemas no computador e exige um pagamento de US$ 49,95 para que o programa seja ativado e os supostos erros solucionados. De acordo com uma análise da empresa de segurança russa Kaspersky Labs, o comando para baixar e instalar o anti-spyware fraudulento está sendo disseminado pela rede ponto-a-ponto (P2P) criada pelo vírus. O download é feito de um servidor localizado na Ucrânia. Não é a primeira vez que a Ucrânia aparece em destaque nas atividades do Conficker. A primeira “versão” do Conficker, conhecida como Conficker.A, possui um “recurso de suicídio” que é ativado caso a configuração do teclado esteja para o padrão ucraniano.

Autor: Altieres Rohr - Especial para o G1

Criminosos utilizam software para roubar senhas em caixas eletrônicos

Em vez de métodos mecânicos, ladrões passam a utilizar software para interceptar informações dos clientes.
Hackers americanos vem substituindo as armadilhas físicas para obter senhas de cartões por softwares que identificam as informações durante a comunicação com o sistema do banco. Os malwares capturam uma grande quantidade de PINs, criptografados ou não, que podem ser futuramente utilizados para efetuar operações ilegais.
Utilizado nos caixas eletrônicos americanos, os ATMs, os PINs são algo semelhante às sequencias de números utilizados por bancos brasileiros, como forma de prover uma segurança a mais nas transações. No ato de um saque ou outra operação nos terminais, o PIN é criptografado e enviado à agência do cliente, que o decriptografa e verifica sua validade para autorizar a movimentação.
Segundo relata o blog Threat Level, da revista Wired, o roubo dessas informações era algo impensável até então. Bryan Sartin, diretor de investigações da Verizon Business acreditava que a decodificação das informações fosse somente possível no âmbito acadêmico. Atualmente, as sequencias de números são geradas por complexas funções matemáticas. Para descobrir a fórmula por engenharia reversa, é necessário empregar por força bruta milhares dessas combinações.
Anteriormente as senhas eram roubadas instalando-se dispositivos espiões nos leitores de cartão dos caixas ou até empregando-se microcâmeras que filmavam o momento da digitação dos números, lembra o Gizmodo. Removidas essas ferramentas, os ladrões passaram a utilizar-se de softwares, que roubam as informações no breve momento em que elas são decodificadas e estão na memória da máquina aguardando para serem autorizadas ou com programas que enganam a segurança do sistema para que este forneça a chave de decriptografia dos PINs.
À medida que ferramentas de segurança cada vez mais robustas vão sendo vencidas pelos criminosos, mais esforços e mais dinheiro serão necessários para frear essas ações, como enfatiza Graham Steel, pesquisador o Instituto Nacional Francês para Pesquisa em Ciência da Computação e Controle, que escreveu sobre uma solução para mitigar os ataques.
A eliminação do problema deve requerer uma completa reformulação dos sistemas, uma ação que “custaria muito mais do que os bancos estão dispostos a desenbolsar no momento”, afirma o pesquisador.

Falso antivírus cobra US$ 50 para liberar arquivos 'sequestrados'

Código ransomware fecha ou criptografa arquivos do PC infectado. Para evitar o golpe, internautas devem manter computador protegido.
No intuito de faturar em cima dos internautas, golpistas da web criaram um golpe que adiciona aos falsos programas de antivírus um ransomware. Esse tipo de código malicioso pode “sequestrar” arquivos, fechando ou criptografando textos, planilhas, músicas e fotos, entre outros, da pasta “meus documentos”. Segundo a empresa de segurança Trend Micro, que identificou o golpe, os criminosos prometem liberar os arquivos após pagamento de US$ 50.
Em geral, esse tipo de “sequestro” de documentos inclui um alerta, exigindo do usuário o fornecimento de uma sequencia de códigos para a liberação do conteúdo.
A infecção do computador acontece durante a navegação na internet – daí a importância de manter o computador sempre protegido.
Após criptografar os arquivos, o código malicioso informa ao usuário que esses documentos foram corrompidos. Ele exibe uma opção de reparo que, quando acessada, leva o internauta para um site que oferece o software FileFix Professional 2009.
Teoricamente, esse programa resolveria o problema, permitindo que os usuários voltassem a acessar seus arquivos “sequestrados”. No entanto, ele libera somente um documento. É aí que entra a oferta de US$ 50, da versão paga do FileFix, que solucionaria o problema por completo – não é certo que a promessa será cumprida após o pagamento.
A empresa alerta que, além de pagar pelo resgate, os internautas podem ficar expostos a perdas maiores. “As informações de pagamento capturadas pelos cibercriminosos podem ser armazenadas para uso próprio ou para venda em fóruns clandestinos”, explica. Ainda de acordo com a Trend Micro, alguns domínios que hospedam essa falso antivírus já estiveram envolvidos em outras fraudes detectadas em 2007.

Hackers invadem programa do acelerador de partículas

Hackers conseguiram se infiltrar no programa do Grande Colisor de Hádrons (LHC), centro da experiência da Organização Européia para a Pesquisa Nuclear (Cern) destinada a reproduzir as condições físicas da origem do Universo, informa hoje o jornal britânico The Daily Telegraph.
De acordo com o veículo, os hackers, aparentemente de origem grega, postaram uma nota na qual expunham os defeitos do sistema de segurança do projeto.
Os piratas estiveram "a apenas um passo" de entrar no sistema de controle de um dos enormes detectores do LHC, um ímã de 12,5 toneladas, segundo o jornal.
Ainda de acordo com o Daily Telegraph, os hackers asseguraram que não queriam interromper a experiência, que começou quarta-feira no Cern, mas sim expor os riscos que correm sua infra-estrutura. – Estamos arriando suas calças porque não queremos vê-los correr nus por todas as partes tentando se esconder quando estiverem em pânico – escreveram.
O jornal britânico informou que apenas um arquivo foi prejudicado.

EUA, Rússia, Turquia e China lideram envio de spams. Brasil teve 4% de participação no envio de spams mundial, diz Symantec.

O Brasil é o quinto maior emissor de spams no mundo, revela o Relatório Sobre Ameaças de Segurança na Internet, divulgado nesta terça-feira (14/04) pela Symantec. Mundialmente, o País foi responsável por 4% de todo o spam enviado. Na América Latina, o Brasil liderou o envio de mensagens não solicitadas, com 29% de participação na região, em 2008.

O uso de serviços financeiros para envio de phishing cresceu de pouco mais de 50% para 76% das tentativas de golpes virtuais por e-mail em 2008. Os spams relacionados à categoria de internet cresceram de 19% para 24% em um ano.

Durante o ano passado, a Symantec observou um aumento de 192% na detecção de spams em toda a rede mundial. O volume cresceu de 119,6 bilhões de mensagens em 2007 para 349,6 bilhões de spams no ano passado.

Atualmente, entre 60% e 85% dos e-mails enviados em todo o mundo representam mensagens indesejadas, de spam ou phishing, destaca Paulo Vendramini, diretor de engenharia de sistemas da Symantec na América Latina.

Os Estados Unidos lideram o ranking de envio de spams embora tenham apresentado uma queda de participação de 45% em 2007 para 25% em 2008. A Rússia, em segundo lugar, dobrou sua participação entre os países que mais enviam spam - de 3% em 2007 para 6% em 2008. Em terceiro lugar está a Turquia, cuja participação neste ranking também aumentou de 1% para 5% em um ano, e em quarto lugar está a China.

Brasil subiu de oitava para quinta posição em ranking da Symantec, tendo gerado 4% dos ataques a redes globais em 2008.

O Brasil foi o quinto país que mais originou e recebeu ataques a redes de computadores em 2008, tendo representado 4% das movimentações globais de ameaças globalmente, revela o Relatório Sobre Ameaças de Segurança na Internet, divulgado nesta terça-feira (14/04) pela Symantec. No relatório anterior, o Brasil ocupava a oitava posição e representada 2% das atividades maliciosas globalmente.

A inclusão digital é o principal motivador do crescimento de atividades maliciosas no Brasil, segundo a Symantec. "Com o aumento do acesso a computadores e das ofertas de banda larga - o Brasil responde por 40% das conexões rápidas na América Latina - geram novos usuários que ainda não estão amadurecidos em relação à segurança", afirma Paulo Vendramini, diretor de engenharia de sistemas da Symantec para a América Latina.

Somente na América Latina, o Brasil lidera o ranking de atividades maliciosas, respondendo por 34% delas, bem como o número de máquinas infectadas por bots - 42% das máquinas infectadas com estes programas maliciosos capazes de usar os sistemas para promover ataques remotamente eram brasileiras no ano passado.

O Brasil também lidera o ranking de países latino-americanos que mais geram spam. Em 2008, 29% de todo o spam detectado na região partiu do Brasil. Mundialmente, o País gerou 4% das mensagens indesejadas.

Os Estados Unidos estão no topo da lista de países que mais originam ataques a redes localizadas na América Latina, com 58% de participação nos ataques detectados pela região em 2008. O país também lidera o ranking de ataques a alvos mundiais, com 25% das incidências.

O volume de códigos maliciosos detectados em 2008 pela Symantec superou 1,65 milhão, o que representa mais do que dobro em relação a 2007, quando foram detectados 624,2 mil códigos, e mais de 60% de todas as ameaças já identificadas pela empresa desde 2002.

"A motivação continua sendo financeira, especialmente em relação ao mercado negro de informações confidenciais" aponta Vendramini.

Sites legítimos

Páginas e portais com maior volume de utilização são os principais alvos de crackers atualmente. "Esta é a grande preocupação hoje. Os criminosos conseguem implantar até um botão transparente para uma ameaça em um site verdadeiro, por exemplo" afirma o executivo da Symantec.

"Boa parte das ameaças envolve web sites, embora o volume tenha caído de mais de 17 mil em 2007 para mais de 12 mil em 2008, o volume de ameaças envolvendo aplicações web".

Em 2008, 66% das infecções foram geradas por códigos maliciosos atrelados a executáveis, um aumento expressivo em relação à incidência de 44% deste tipo de ataque registrada em 2007.

Página oficial de Paul McCartney é alterada para distribuir vírus

O site oficial do cantor, compositor e ex-Beatle Paul McCartney foi comprometido na segunda-feira (dia 6 de abril) para distribuir um código malicioso programado para roubar senhas de vários serviços usados na internet. A página do músico é apenas mais uma entre várias outras alteradas numa série de ataques.
Como a maioria dos vírus recentes está relacionada com o cibercrime, e portanto com ganhos financeiros, muitos não mais incluem nenhuma função para danificar intencionalmente o sistema. Em vez disso, eles tentam tornar o computador mais estável, eliminando pragas concorrentes e fechando os buracos pelos quais entraram.
Algumas pragas até possuem “controle de carga”, para impedir que a atividade maliciosa seja percebida pelo usuário da máquina. A lógica para essa prática é simples: um computador inoperante é inútil para o criminoso. Gegeny analisou três pragas, entre elas o Zeusbot (ou Zbot), instalado pelo código inserido no site de Paul McCartney. Enquanto os outros dois códigos maliciosos analisados tentam inutilizar o sistema apagando arquivos, o Zbot realiza a mesma função apagando as chaves mais importantes do chamado “registro do Windows”, onde são armazenadas as configurações do computador. Sem essas informações de configuração, o Windows não conseguirá iniciar.
O especialista não conseguiu determinar ao certo, porém, por que a praga possui essa função. Para ele, a hipótese mais provável é a destruição do computador depois que os dados roubados já foram usados. Isso impediria que o usuário notasse o problema rapidamente – tal como transferências bancárias não-autorizadas –, dando mais tempo para o criminoso agir.

Neeris, praga com quatro anos de existência, ataca PCs da mesma maneira que o Conficker e pode ser transmitida via USB.

Um antigo e pouco conhecido worm já utilizava as técnicas de infecção disseminadas pelo Conficker, disseram especialistas em segurança da Microsoft.
Chamado de Neeris, a praga foi criada em maio de 2005 e explora a mesma falha no Windows que o Conficker utiliza. Além disso, é também transmitido por drivers de memória flash, outra característica do Conficker, aponta Ziv Mador e Aaron Putnam, pesquisadores do Microsoft Malware Protection Center.
Segundo eles, os criadores do Neeris adicionaram exploit para outra vulnerabilidade do Windows, a MS08-067, falha no serviço usado para compartilhamento de arquivos e impressoras. A brecha foi corrigida em atualização de emergência enviada em outubro de 2008.Assim como o Neeris, o Conficker também foi atualizado remotamente para explorar a mesma falha MS08-067 e atingir cerca de 15 milhões de PCs pelo mundo. "Neeris [também] se espalhou através do Autorun e, a nova variante da praga adiciona também a opção ‘Abra a pasta para ver os arquivos’ no AutoPlay assim como o Conficker", escreveram Mador e Putnam no blog.
O Conficker se espalha nos PCs infectados ao adicionar um arquivo autorun.inf no diretório raiz de qualquer memória USB. Quando esta memória é conectada a um outro computador, o autorun.inf copia o worm para a nova máquina.De acordo com os pesquisadores, os criadores do Conficker e do Neeris podem compartilhar informações e estratégias. "As amostras mais antigas do Neeris são de maio de 2005, então o Conficker pode ser a cópia. No entanto, os criadores do Neeris adicionaram o exploit do MS08-067 depois do que o Conficker. Isso pode signficiar que eles estão colaborando entre si ou conhecem as pragas dos outros", defenderam.Ainda que o Neeris tenha sido identificado quase quatro anos atrás, a Microsoft não criou uma assinatura para o worm na sua ferramenta de anti-malware, a Malicious Software Removal Tool (MSRT). A MSRT escaneia a máquina em busca de conhecidas pragas para retirá-las do sistema. A empresa adicionou o Conficker ao MSRT em janeiro."Graças as semelhanças com o Conficker, as estratégias de combate também se aplicam [ao Neeris]. Instale a correção MS08-067 e só utilize as opções de AutoPlay se você conhece a fundo, além disso é possível desabilitar o Autorun completamente para dar mais segurança”, defenderam Mador e Putnam.

Após falhas, Telefônica diz que Speedy funciona normalmente

A Telefônica informou neste sábado (11), via assessoria de imprensa, que o serviço de banda larga Speedy está funcionando normalmente. Na sexta (10), a companhia divulgou um comunicado afirmando que os ataques de hackers que atingiram sua rede nesta semana deixaram de ser registrados por volta de 21h30 quarta-feira (8). Os problemas tiveram início na segunda-feira (6), e até sexta, muitos clientes ainda reclamavam de instabilidade e problemas de conexão.

Entenda como funciona o ataque que derrubou o Speedy

Os clientes do Speedy não pagarão pelo período que ficaram sem acesso ao serviço. Na nota de sexta-feira, a Telefônica informou estar em contato com a Anatel e entidades de defesa do consumidor “para que, nos termos da regulamentação vigente, não sejam cobrados os períodos de instabilidade do serviço”. A empresa ainda não divulgou se o desconto será automático ou como os clientes deverão proceder para obter o abatimento na conta.

Nas redes sociais utilizadas durante a semana para reclamar do problema, os ânimos dos usuários se acalmaram. No sábado, eles repercutem os problemas enfrentados nos últimos dias e muitos relatam que voltaram a acessar a web via Speedy.

O site de microblog Twitter, que divulga as mensagens de até 140 caracteres em tempo real, mostra que a situação está melhor. “Speedy deu tilt, mas já voltou!”, “hoje aqui em casa o Speedy deu uma melhorada. Tomara que continue assim” e “dia ensolarado, Speedy funciona normalmente” são algumas das mensagens postadas neste sábado. Ainda há, no entanto, aqueles que falam em lentidão: “conexão Speedy da casa da minha irmã. Parece internet a gás” e “há momentos em que o meu Speedy fica turbo, porém há momentos em que não consigo acompanhar um vídeo no YouTube sem que ele trave”.

Na comunidade do Orkut onde na sexta-feira muitos reclamavam, o clima é mais calmo. Em um tópico chamado “boas notícias”, eles descrevem a situação deste sábado. “Aparentemente o problema está se solucionando, já consegui ver alguns vídeos no YouTube e a taxa de downloads voltou ao normal”, “aqui tá normal” e “navegação boa, YouTube ruim”. Ainda há, no entanto, algumas reclamações: “tinha melhorado, agora está um pouco lento”, “aqui melhorou, mas ainda não está bom” e “nao está normal”.
Semana
Os problemas começaram a afetar diversos usuários na noite de segunda-feira. Na quarta (08), a Telefônica liberou uma nota dizendo que havia identificado alguns problemas, mas eles foram solucionados na noite de terça (7). Por isso, dizia, seu serviço de banda larga funcionava normalmente.

Os internautas continuaram relatando dificuldades de acesso e instabilidade, e na quinta-feira (9) a companhia divulgou outro comunicado explicando que ataques de hackers seriam a causa do problema.“A Telefônica informa que, nos últimos dias, parte da sua infraestrutura que dá suporte ao acesso à internet tem sido alvo de ações deliberadas e de origem externa que acarretaram dificuldades de navegação em páginas da internet aos seus clientes.”

Na ocasião, a empresa afirmou ainda que as ações externas desestabilizaram os servidores DNS (Servidor de Nome de Domínio, em português). Esses servidores funcionam como um “mapa” da internet: quando o usuário pede para acessar o site “www.globo.com”, por exemplo, o servidor “traduz” o comando em um código numérico chamado endereço IP. Sem o DNS, o internauta não consegue, ao digitar o endereço, ser encaminhado para o site que está tentando acessar.

Já na sexta-feira (10), quando as reclamações continuavam, a companhia soltou outra nota, dizendo que esses ataques não eram identificados desde a noite de quarta-feira.
As ações externas teriam sido realizadas em momentos específicos, e com duração definida: 06 de abril (por volta de 22h15, com duração aproximada de 30 minutos), 07 de abril (por volta de 11h15, com duração aproximada de 3 horas e 45 minutos; volta de 17h45, com duração aproximada de 3 horas e 45 minutos) e 08 de abril ( por volta de 01h40, com duração aproximada de 10 minutos; por volta de 21h00, com duração aproximada de 01 hora e 40 minutos).