A internet é uma rede de computadores que compartilham serviços e informações pelo mundo todo, um mecanismo que ultrapassa todas as barreiras e sem dúvida é indispensável para todos nós. Fazer compras pela Internet é algo tão comum como tomar um copo de água. Redes sociais como o Orkut e outros são considerados os maiores responsáveis por esta febre de usuários que cada vez mais estão sedentos para entrarem de cabeça no mundo digital. Quem não possui Orkut ou Facebook esta de fora e corre o risco de ficar parado no tempo. Temos que estar antenados e ligados, se você não pensa assim, breve estará descobrindo que esta ficando para traz.
É claro que tudo isso trouxe várias conseqüências e perigos para nossos dias, estou falando com os Internautas. Um mecanismo de comunicação como a Internet nos leva a pensar e a querer explorar todas as possibilidades possíveis. Não vou dizer que assaltar uma senhora que acabou de pegar sua aposentadoria no banco virou coisa do passado, porque isso infelizmente ainda acontece. Mas aqueles que possuem um pouco de conhecimento podem facilmente usar essa grande rede que é a Internet para tentar roubar as pobres “senhoras” que estão espalhadas pelo mundo digital. E neste caso, senhoras não diz respeito à idade e sim a todos que por falta de conhecimento e cuidado são enganados.
A maneira mais utilizada hoje por estes “assaltantes digitais” é através de vírus e malwares. Sabe aquele email que chegou pra você, que por sinal foi um amigo seu que lhe enviou e como corpo de mensagem diz algo do tipo:
“Ei achei sua foto, tá muito legal”
Em anexo ao email você tem um arquivo para você abrir. Pois é, pode ser um tipo de malware pronto para se instalar na sua máquina, roubar suas informações e usar sua lista de contados para se propagar pela Internet, assim como o malware fez com o seu amigo, que não lhe enviou a mensagem e sim o malware.
Neste post vou mostrar o que você deve fazer quando receber por email algum arquivo suspeito, mesmo que tenha vindo do seu melhor amigo. Lembre-se que o malware vai se propagar pela Internet usando as máquinas infectadas sem os responsáveis saberem.
Não vou mostrar como você pode suspeitar de um email e nem os procedimentos adequados para que você possa evitar ser infectado por este tipo de malware. A idéia aqui é analisar o arquivo enviado para termos a certeza se é ou não uma ameaça.
Recentemente recebi um email desses. Veja a figura abaixo:
Esse ícone indica que o tipo de arquivo é uma foto, mas isso não é regra. Existem programas que podem associar este tipo de ícone a um aplicativo (como um malware). Como iremos saber se neste caso é uma foto ou um arquivo suspeito? Se você colocar o mouse com o ponteiro parado em cima do ícone do arquivo (figura 1) na barra inferior do seu Browser do lado esquerdo, no meu caso estou usando o Google Chrome, aparecerá o link para onde esse arquivo esta apontando. Veja a figura abaixo:
Veja que ele esta apontando para o site comunidadefotos.qipim.ru e o arquivo “ver.exe” será baixado para a minha máquina.
O simples fato de não aparecer nada quando você fizer este procedimento não quer dizer que o arquivo seja confiável. Alguns ataques já enviam o próprio malware direto para o email, neste caso foi diferente, onde clicando sobre o arquivo ele vai baixar para a minha máquina o arquivo ver.exe do domínio comunidadefotos.qipim.ru. Eles (os “assaltantes”) normalmente não enviam o malware direto para o email porque o seu servidor de email, no meu caso o Hotmail, pode detectar que é um malware e automaticamente vai eliminar este arquivo ou lhe informar que é um arquivo suspeito. Outro problema seria na propagação do malware pela Internet, onde isso seria difícil porque como política de segurança os servidores de email não permitem o envio de arquivos com a extensão EXE. Por estes motivos a maioria dos emails suspeitos vai tentar baixar suas “pragas” de outros sites e não enviar direto para o seu email.
Baixei este arquivo para a minha máquina, mas de forma alguma devemos executá-lo. Clicando com o botão direito do mouse sobre o arquivo e clicamos em “Propriedades” que é última opção, veja a figura:
Perceba que o ícone do arquivo que baixamos para a máquina é referente a uma imagem, mas na propriedade do arquivo podemos ver que ele é um executável (.exe).
Até aqui já temos a certeza que este email não é confiável e esta foto é uma armadilha. Vamos um pouco além. Vamos ver se conseguimos mais detalhes sobre este arquivo.
Alguns sites oferecem este serviço de analise de arquivo para detectar malware, vamos mostrar aqui o que cada um deles pode detectar.
No site Anubis você pode informar o link do arquivo suspeito, que no nosso caso seria http://comunidadefotos.qipim.ru/ver.exe?tsid=20101119-222648-1b7410c2?0.03630 ou você pode fazer o UPLOAD do arquivo, veja a figura abaixo:
Depois de analisar o Anubis faz um relatório que pode ser visto no formato: PDF, Text, HTML e XML. Podendo ainda baixar o arquivo “traffic.pcap” que contém todas as atividades geradas pelo suposto malware, com isso você pode analisar depois este tráfego no Wireshark.
Para ver o relatório clique aqui. Só para adiantar foi detectado como sendo o malware “Trojan-Downloader.Win32.Delf”.
O VirusTotal analisa o arquivo usando a base de informações de vários antivírus. Quando enviamos o arquivo foi detectado que o mesmo já havia sido enviado anteriormente por alguém. Neste caso temos duas opções: fazer uma nova analise ou ver o relatório antigo. Vamos fazer uma nova analise, já que a base de informações pode ter se atualizado para uma versão que já detecta esse malware. Veja a figura abaixo:
Para você ver este relatório clique aqui. Segue abaixo a lista de alguns antivírus que não detectaram este malware: Avast5, Microsoft e TrendMicro. Este teste foi realizado dia 23 de novembro de 2010.
O Norman SandBox permite apenas que você faça o UPLOAD do arquivo para ser analisado e depois enviado o relatório para o seu email. Abaixo segue parte do relatório que foi enviado para o meu email:
-------- inicio -------
ver.exe : Not detected by Sandbox (Signature: W32/Obfuscated)
[ DetectionInfo ]
* Filename: C:\analyzer\scan\ver.exe.
* Sandbox name: NO_MALWARE
* Signature name: W32/Obfuscated.A!genr.
* Compressed: NO.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* File length: 529920 bytes.
* MD5 hash: b3914350b4e603952322f7a28264e3cb.
* SHA1 hash: 9faef5cbd13f03a119eef007ece4a583655891d7.
* Entry-point detection: BobSoft Mini Delphi.
[ Changes to registry ]
* Accesses Registry key "HKCU\Software\Borland\Locales".
* Accesses Registry key "HKLM\Software\Borland\Locales".
* Accesses Registry key "HKCU\Software\Borland\Delphi\Locales".
[ Process/window information ]
* Creates an unnamed event.
* Creates a window with caption sample and classname TApplication.
* Creates a window with caption and classname TPUtilWindow.
* Creates dialog control (Tjerusalem) with id 0 and caption ok.
(C) 2004-2010 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.
[ DetectionInfo ]
* Filename: C:\analyzer\scan\ver.exe.
* Sandbox name: NO_MALWARE
* Signature name: W32/Obfuscated.A!genr.
* Compressed: NO.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* File length: 529920 bytes.
* MD5 hash: b3914350b4e603952322f7a28264e3cb.
* SHA1 hash: 9faef5cbd13f03a119eef007ece4a583655891d7.
* Entry-point detection: BobSoft Mini Delphi.
[ Changes to registry ]
* Accesses Registry key "HKCU\Software\Borland\Locales".
* Accesses Registry key "HKLM\Software\Borland\Locales".
* Accesses Registry key "HKCU\Software\Borland\Delphi\Locales".
[ Process/window information ]
* Creates an unnamed event.
* Creates a window with caption sample and classname TApplication.
* Creates a window with caption and classname TPUtilWindow.
* Creates dialog control (Tjerusalem) with id 0 and caption ok.
(C) 2004-2010 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.
-------- fim -------
Bom, não obtivemos muitas informações. No começo do relatório temos a informação que nos interessa “ver.exe : Not detected by Sandbox (Signature: W32/Obfuscated)”.
Por último vamos testar o JoeBox que busca por malware para Windows. Veja a figura abaixo:
Você precisa informar o seu email para receber o relatório. Escolha que sistema ele deve simular para analisar o arquivo. Você também pode pedir para gerar um arquivo PCAP para ser analisado no Wireshark. Para ver o relatório clique aqui.
Por último temos o ThreatExpert que infelizmente não conseguiu detectar o arquivo. Veja a figura abaixo:
Podemos concluir que pequenos cuidados podem ser adotados para nos livrar de certos malwares. Não discutimos aqui os melhores procedimentos para evitar essas pragas, mas podemos usar os métodos aqui demonstrados para garantir a autenticidade da informação. Tenha sempre em mente que o que foi demonstrado aqui é apenas uma forma entre várias que pode ser usado para lhe ajudar a detectar esse tipo de ataque, mas não esqueça que os “assaltantes” estão sempre descobrindo meios novos e ousados para tentar lhe roubar. Para se defender é necessário um conjunto de conhecimento e técnica, como essa apresentada, que serviram como base para suas conclusões. Ainda que você tenha 98% de certeza que é um email original, não esqueça que os 2% é o suficiente para que você seja uma vítima.
by Osvaldo H Peixoto
Nenhum comentário:
Postar um comentário