Drive-by downloads dominam Top 20 do malware detectado em Novembro

14 dez 2010
Notícias de Vírus

A maior ameaça para os utilizadores em Novembro veio pela mão dos perigosos drive-by downloads, já que, durante este tipo de ataques, o computador das vítimas pode acabar infectado mesmo enquanto visita websites legítimos.

Convém aqui recordar como é que, afinal, estes downloads conseguem afectar os computadores. O utilizador começa por visitar um site, que, embora legítimo, foi alvo da colocação de um script por parte de um criminoso que remete para outra página. Um exemplo é um dos mais famosos script-redirects dos últimos tempos, o Trojan-Downloader.JS.Pegel. Com a ajuda deste redirect, o computador do utilizador é direccionado para um script-downloader, que por seu turno começa a lançar exploits. Geralmente, os exploits são descarregados nos computadores dos utilizadores e executam ficheiros executáveis maliciosos, que, na sua maior parte, são na realidade backdoors.

marko_exploitkits_pic07s

Redirects e script downloaders

Toda a cadeia de funcionamento dos drive-by downloads começa com um redirect. Entre os redirects que dominam a Internet estão o Trojan.HTML.IFrame.dl (quinta posição), o Trojan.JS.IFrame.pg (10? lugar), o Trojan.JS.Redirector.lc (20? lugar), o Trojan.JS.Redirector.np (25? posição) e o Trojan-Downloader.JS.Iframe.bzn (29? posição). O segundo posto entre os programas maliciosos detectados na Internet em Novembro foi ocupado pelo script download Trojan-Downloader.JS.Agent.frs. Se o utilizador chega a um site que tem um redirect que o remete para o Trojan-Downloader.JS.Agent.frs, este trata de usar os exploits para as vulnerabilidades dos ficheiros Java, PDF e JavaScript para descarregar no computador backdoors tão perigosas como o Backdoor.Win32.Shiz e o Backdoor.Win32.Blakken.

Downloaders e exploits escritos em Java

Os programas maliciosos escritos na linguagem multi-plataforma Java estão a multiplicar-se a olhos vistos. Se há um ano atrás era difícil encontrá-los, hoje em dia proliferam cada vez mais.

Nos últimos dois meses aumentou consideravelmente o número de programas maliciosos da família Trojan-Downloader.Java.OpenConnection. Durante os ataques drive-by, estes programas cumprem as mesmas funções dos exploits, mas, em vez de usarem as vulnerabilidades para descarregar programas maliciosos, recorrem ao método “OpenConnection” da classe URL.

Em Novembro, o primeiro lugar do TOP20 do malware na Internet foi reivindicado pelo Trojan-Downloader.Java.OpenConnection.bu, que está muito à frente do seu mais imediato seguidor. Outros dois programas a usarem o método “OpenConnection” ocupam também os lugares 21 e 26 da tabela. A difusão dos downloaders escritos em Java por países é semelhante à do Trojan-Downloader.JS.Agent.frs, o que indica que os delinquentes usam ao mesmo tempo descarregadores Java e scripts downloaders durante os ataques drive-by. Além dos downloaders em Java, existem também exploits escritos nesta linguagem de programação. Por exemplo, a vulnerabilidade CVE-2009-3867 na função getSoundBank, bastante antiga por certo, continua a ser muito utilizada nos exploits. O downloader Trojan-Downloader.JS.Agent.frs, que já mencionámos antes, também tem no seu arsenal exploits em Java.

Merece a pena destacar que Java é uma linguagem de programação multi-plataforma e os programas maliciosos escritos nela podem ser executados em todos os sistemas operativos que tenham instaladas máquinas virtuais Java.

Os exploits para PDF

Em Novembro também se detectaram exploits que se aproveitam das vulnerabilidades dos documentos PDF. Por regra, estão escritos em JavaScript. De acordo com o número de downloads únicos, as ameaças Exploit.JS.Pdfka.cyk e Exploit.JS.Pdfka.cyy ocuparam a 24? e a 28? posições, respectivamente. No entanto, a tendência mostra que o número de exploits PDF está a diminuir: nos últimos seis meses, o motor antivírus da Kaspersky Lab detectou quase três vezes menos programas maliciosos da família Pdfka.

O mais provável é que isto se deva ao facto e a Adobe estar a tomar medidas para tratar as vulnerabilidades expostas nos seus produtos. Com efeito, em Novembro saiu para o mercado o Adobe Reader X, que contém uma SandBox que permite combater os exploits.

Ficheiros falsificados

Outra tendência, sobre a qual já escrevemos antes, é a dos ficheiros falsificados, que ainda se mantém. Os ficheiros falsos propagam-se de uma forma muito eficaz: quando o utilizador procura algo nos motores de busca, são automaticamente geradas páginas com banners que oferecem a informação pretendida.

A essência deste tipo de esquema na Internet é simples. Para receber o conteúdo do ficheiro, o utilizador tem que enviar uma mensagem SMS paga. Mas uma vez enviada a SMS, acaba por não receber qualquer informação, porque o ficheiro vem vazio, danificado, contém um ficheiro torrent, entre outras possibilidades maliciosas.

A Kaspersky Lab detecta os ficheiros falsificados e classifica-os como parte da família Hoax.Win32.ArchSMS.

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para ou ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt. Para conhecer as últimas novidades em antivírus, antispyware e outros aspectos e tendências em segurança informática, visite www.securelist.com.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.