6 de jun. de 2013

OLHA ELE AÍ DE NOVO


Fique ligado: o cavalo de tróia Zbot, também conhecido como ZEUS que no passado já causou o desvio de cerca de 800 milhões de dólares, e um dos malwares mais perigosos e difíceis de detectar voltou a circular no Facebook.

Diferentemente de outros cavalos de tróia, o Zbot não é um programa desenvolvido por um hacker ou grupo de hackers. O Zbot é, na verdade, um kit de construção de malwares que permite a qualquer pessoa com algum conhecimento de programação o desenvolvimento de seu próprio cavalo de tróia.

E é considerado um negócio sério por seu criador, pois é distribuído com um sistema de licenciamento que só permite a cada cópia ser rodada em uma única máquina e regularmente atualizado (a versão sendo comercializada atualmente é a 1.3.4.x). O que o torna o primeiro software comercial de construção de vírus. E aparentemente bem rentável, pois por 3 mil dólares, qualquer um já pode baixar a base do programa e seus "plugins" ou "extensões" de podem chegar a custar mais de 30 mil dólares.

É por isso que não existe um Zbot, mas centenas de variações, talvez milhares circulando por aí, o que torna praticamente impossível sua erradicação, pois para cada atualização dos antivírus, novas versões do Zbot começam a circular.

Sua fonte primária de disseminação são emails, via de regra mimetizando emails de algum site ou instituição confiável dizendo que há problemas com seu login e pedindo que você clique num link. Como grande parte das pessoas não se dá ao trabalho de checar para onde o link aponta, acaba clicando e o trojan se instala em sua máquina antes que tenha tempo de desconfiar.

Eis uma relação das "capacidades" do Zbot até onde se sabe:

  1.  roubar dados inseridos em formulários HTTP
  2.  roubar senhas protegidas no Windows
  3.  roubar dados de certificação digital
  4.  roubar dados de login em FTP (transferência de arquivos) e POP (email)
  5.  roubar ou deletar HTTP e cookies de Flash
  6.  alterar o código-fonte de páginas dos sites visados para acessar dados de usuário
  7.  redirecionar usuários dos sites originais para cópias maliciosas
  8.  capturar telas e código-fonte de sites autênticos visitados pela máquina infectada
  9.  fazer o upload de arquivos com dados sensíveis da máquina infectada
  10. alterar arquivosa locais (%systemroot%\system32\drivers\etc\hosts)
  11. baixar e executar programas arbitrariamente
  12. deletar chaves de registro tornando o computador inutilizável

Uma vez instalado, o Zbot vasculha seu computador coletando todas as senhas (mesmo as protegidas) e fica na tocaia, sendo ativado a cada vez que você acessar alguma das páginas que ele está programado para monitorar. Aí ele pode tanto copiar todos os dados que você digitar, como interceptar a página original inserindo campos ou alterando completamente formulários online, como, por exemplo, acrescentando um campo pedindo sua data de nascimento num formulário de login que originalmente só pedia nome de usuário e senha.

Como se não bastasse, o Zbot é capaz de se comunicar com seu controlador e executar algumas "tarefas" adicionais como fazer o download e upload de arquivos, servir de zumbi em ataques coordenados a sites (como esse que a gente vê todo o dia contra instituições e sites governamentais), reiniciar ou desligar o computador, ou mesmo alterar ou deletar arquivos de sistema tornando impossível o uso do computador sem a total reinstalação do Sistema Operacional - lembra a história dos hackers russos que "sequestravam" computadores pra pedir resgate?

O Zbot é popular no submundo porque foi desenvolvido para roubar dados bancários e qualquer informação pessoal passível de comercialização no mercado negro. Mas o pior mesmo deste cavalo de tróia é que o usuário só descobre DEPOIS que o estrago foi feito, porque o Zbot é especificamente programado para ser invisível aos olhos do usuário comum: a máquina não fica mais lenta, a navegação continua exatamente igual, os programas que você usa abrem todos normalmente, não aparece nada, mas nada esquisito mesmo.

Você só vai ficar sabendo que está infectado quando o saldo de sua conta bancária zerar do dia para a noite, ou aparecer entre os procurados da Interpol por um cambalacho em Singapura sem nunca ter saído de Cachoeirinha.

Como cautela e canja de galinha nunca são demais, seguem algumas dicas para você se proteger tanto quanto possível:

1 - Se você tem uma empresa ou negócio e efetua transações online, acostume-se a dedicar uma única máquina exclusivamente para essas transações e nada mais: nada de navegar na internet ou ler emails naquela máquina. Para navegar e  ler emails, use outra máquina - se não tiver, compre um netbook, um tablet ou mesmo outro pc mais baratinho e crie o hábito de não manter nenhuma informação importante de sua empresa ou negócio na mesma máquina que usa para surfar na internet.

2 - Não custa lembrar: mantenha seu sistema operacional e o antivírus sempre atualizados.

3 - Não abra, mas em hipótese alguma qualquer anexo ou link de pessoas que não conhece e, se conhece, procure se informar antes se a pessoa realmente enviou aquele email - pode até servir de desculpa pra marcar um jantar, happy hour ou até aquele cafezinho que vocês estão se devendo há tempos.

4 - Acostume-se a olhar a barra de informações de seu browser e do software de email que usa conferindo o endereço de internet antes de clicar em cada link.

5 - Procure aprender a visualizar o código-fonte em seu aplicativo de email sempre que desconfiar de uma mensagem: isso é bem mais fácil do que parece e vai evitar muita dor de cabeça, porque só por visualizar o código-fonte você não está exatamente abrindo o email, mas tem acesso ao conteúdo da mensagem e, melhor: no código-fonte você vê para onde verdadeiramente apontam os links nos emails. Para identificar um endereço de internet no código-fonte de uma mensagem, basta procurar pela expressão "a href": o que vier entre as aspas logo depois do sinal de =, é o endereço real para onde o link aponta.

6 - Sabe aquele power point com uma mensagem linda que sua tia mandou com todo o amor e carinho? Seja insenvível: delete sem abrir. Peça desculpas depois.

7 - Procure navegar com mais segurança e não vá clicando em todos os links que seus amigos postam nas redes sociais, principalmente se vierem acompanhados de textos que não parecem ter sido escritos por seus amigos.

8 - Habitue-se a limpar regularmente seu histórico de navegação excluindo todos os cookies e aplicativos instalados (como o active X).

9 - Configure seu browser para não aceitar cookies de terceiros. Se o site que você queria ver não abrir direito por causa disso, azar dele, segurança sua.

10 - Finalmente, vale o ditado: a curiosidade matou o gato. Não se deixe levar pelo sensacionalismo nas redes sociais. Fuja como o diabo da cruz das fotos de gente pelada, celebridades em situações embaraçosas, escândalos, "revelações" sobre ovnis, paranormalidade e qualquer assunto desses que inflamam a nossa curiosidade: 9 entre 10 desses links estão contaminados com vírus que podem ir dos mais chinelos a coisa séria mesmo.

Lembre-se: com a popularização, a internet virou praça pública. Você andaria com a bolsa aberta na Praça XV em plena hora do rush? Então seja cuidadoso aqui.

Existem várias ferramentas que usadas juntamente com um bom antivírus e um sistema operacional atualizado facilitam bastante a vida. Eu costumo usar essas três:

Web Of Trust - WOT (http://www.mywot.com/), por exemplo, é um plugin para navegadores que insere um ícone ao lado dos links indicando sua confiabilidade. As cores vão do vermelho ao verde. O sistema é baseado em avaliações de usuários e da própria equipe da WOT. Tem o plugin da WOT instalado e viu um anel laranja ou vermelho ao lado do link? Não clique. Simples assim.

URL X-ray (http://urlxray.com/): não precisa instalar, mas só funciona pra endereços resumidos (shortened URL's). É só uma página com uma caixa de diálogo onde você insere esses endereços abreviados de link que ficaram populares com o Twitter mas que são um prato cheio pra gente do mal, e ela informa o endereço real.

SpyBot - Search & Destroy (http://www.safer-networking.org/): um aplicativo que você instala em sua máquina (e atualiza regularmente, é bom lembrar) e que é super-eficiente para detectar e remover parte significativa dos malwares que infestam a internet.

Nenhum comentário:

Postar um comentário