Novo Vírus Propaga-se Rapidamente na Internet

[Alvaro Anjos]

O PandaLabs, o laboratório anti-malware da Panda Security detectou um novo vírus que está a propagar-se rapidamente na Internet e a provocar danos em redes informáticas em todo o mundo. Uma variante da família de malware Sality, este novo código malicioso é especialmente perigoso devido à sua elevada infecciosidade e as características de ocultação. O Sality pode propagar-se por diversos tipos de meios, incluindo e-mails, dispositivos USB ou localizações partilhadas nas redes informáticas. O PandaLabs detectou um número assinalável de amostras distribuídas com recurso a e-mails com notícias falsas. Ao serem abertos estes e-mails e corridos os ficheiros em anexo, os utilizadores podem de imediato ficar infectados.

Ao infectar um computador, o Sality cria uma ligação com o exterior, possibilitando aos criadores deste vírus o total controlo remoto do mesmo, podendo as máquinas afectadas serem utilizadas para qualquer tipo de função, como furto dos dados pessoais dos utilizadores ou ataques de negação de serviços a outros computadores na Internet.



A Panda Security, já detectou a presença de infecções deste malware em Portugal. Para Rui Lopes, Director-Técnico do PandaLabs, "trata-se de uma variante muito recente e bastante perigosa, e alguns fabricantes de soluções antivírus estão com dificuldades na sua detecção e remoção, pelo que esperamos que a situação se agrave nos próximos dias".

Os efeitos levados a cabo pelo Sality são os seguintes:

· Disponibiliza aos seus criadores o controlo remoto de todos os computadores infectados: Todos os computadores infectados com este código malicioso abrem uma ligação com o exterior, utilizando o protocolo IRC e ficheiros HTML locais, sendo a partir desta possível controlar o computador para actualizar o vírus, adicionar-lhe novas funcionalidades, utilizar o sistema para lançar ataques de negação de serviços, distribuir spam, etc.

· Provoca perdas de produtividade nos sistemas e nas redes: Ao procurar propagar-se, impede que algumas funções do sistema operativo sejam correctamente utilizadas e diminui o desempenho das máquinas. As redes também sofrem com a tentativa de distribuição do vírus em todos os recursos partilhados. Como o computador pode ser controlado remotamente, os seus recursos e os das redes informáticas a que estão ligados podem ser utilizados pelos criadores dos vírus para todo o tipo de acções maliciosas, provocando perdas de desempenho e danos financeiros (por exemplo, com os custos da ligação à Internet).

· Degrada o nível de segurança do computador: Altera as permissões do sistema operativo, diminuindo desta forma o nível de protecção dos dados.

O Sality utiliza os seguintes meios de propagação e distribuição:

· Exploração de vulnerabilidades, com a intervenção do utilizador: aproveita-se de erros específicos em formatos de ficheiro ou aplicações para, quando o utilizador corre um ficheiro infectado (por exemplo abrindo um documento, acedendo a uma página Web maliciosa, abrindo o e-mail, etc.) o vírus fique imediatamente activo no computador.

· Cria cópias de si mesmo para pastas e outros recursos partilhados em rede, com vista a procurar que outros utilizadores o executem e infectem as suas máquinas. No caso de localizações protegidas, procura adivinhar as passwords desses recursos, com vista a obter as permissões necessárias para se propagar.

· Infecta diversos tipos de ficheiros, sendo que estes podem depois ser distribuídos por qualquer meio: disquetes, pen drives, e-mails, downloads da Internet, redes P2P, etc.

Para dificultar a detecção por parte dos antivírus, o Sality utiliza as seguintes estratégias:

· Residente na memória: quando infecta um computador, o vírus permanece na memória e bloqueia funções do sistema operativo. Desta forma, sempre que essas funções são invocadas, é o Sality que responde, infectado novos ficheiros. Isto diminui as possibilidades de detecção, pois aparentemente tratam-se de funções normais do sistema operativo e não de um código malicioso a operar.Oculto: quando está na memória, o vírus oculta as modificações executadas ao computador, nomeadamente ao sector de arranque da drive e aos ficheiros, procurando assim evitar detecções baseadas nas alterações realizadas.

· Polimórfico: encripta-se a si próprio de forma diferente em cada nova infecção, utilizando de cada vez novos métodos, o que altera as suas características, pois a cada infecção o ficheiro do vírus é diferente. Também permanece encriptado a maior parte do tempo que está em memória.

· Tira partido dos espaços vazios nos ficheiros: para infectar outros ficheiros, tira partido dos seus espaços vazios dividindo-se em pequenas partes e distribuindo-se por estes. Desta forma, os ficheiros infectados não aumentam de tamanho.

Para proteger os computadores do Sality, a Panda Security deixa algumas recomendações:

· Instalação de um bom pacote de segurança, nomeadamente com tecnologias proactivas que detectam vírus desconhecidos e protecção a partir da Internet.
· Manter a solução de segurança actualizada, verificando sempre se o programa está configurado para actualizar-se automaticamente.

· Manter a protecção em tempo real do antivírus sempre activada.

· Efectuar backups regulares do sistema e dos ficheiros mais importantes

· Não abrir e-mails suspeitos, e evitar de uma forma geral abrir ficheiros desconhecidos ou cuja proveniência não possa ser verificada.

· Verificar a segurança do sistema, obtendo uma segunda opinião sobre a protecção do computador.

Sabem o que vos digo, estão tramados.

Falando serio, estes indevidos não devem de ter nada que fazer