Crescimento do malware através do Facebook
Especialistas acreditam que as infecções estão acontecendo por meio de uma combinação de PCs desatualizados, pastas e arquivos compartilhados e mídias sociais
Os fornecedores de antivírus estão alertando clientes para um malware que está se espalhando na rede e pode infectar computadores por meio de um bug do software AutoRun do Windows, usado para iniciar automaticamente programas em um aparelho de DVD ou USB.
Especialistas em segurança acreditam que as infecções estão acontecendo por conta de uma combinação de computadores desatualizados, pastas e arquivos compartilhados e mídias sociais.
Alguém que inserir uma unidade USB ou cartão de memória infectado com o malware pode infectar PCs desatualizados. A contaminação também pode ocorrer por meio de compartilhamentos de rede, uma vez que o malware pode comprometer links ou pastas. A Trend Micro informou que a ameaça também foi detectada no Facebook.
A McAfee, Symantec e Sophos também identificaram o malware. Embora seja interessante o fato de que os cibercriminosos ainda estão a explorar uma falha de quatro anos do AutoRun, a empresa de segurança Sophos diz que a maioria dos PCs corporativos estão sendo infectadas por meio de compartilhamento de rede.
“Eu diria que o AutoRun provavelmente não é a fonte da maioria das infecções”, disse o conselheiro sênior de segurança da Sophos, Chester Wisniewski, na sexta-feira. “É apenas interessante o fato de os criminosos ainda usá-lo. Disseminá-lo por meio de compartilhamento de arquivos é provavelmente o principal vetor.”
A Microsoft lançou um patch de AutoRun em 2009, um mês após a Equipe de Resposta para Incidentes de Segurança de Computadores dos EUA (US-CERT) emitir um alerta de que o Windows 2000, XP e Server 2003 não desativaram o recurso devidamente. A Microsoft tinha corrigido o AutoRun um ano antes, no Windows Vista e Windows Server 2008.
O malware se disfarça como arquivos e pastas em compartilhamento de rede graváveis e dispositivos removíveis, enquanto esconde os arquivos originais. O aplicativo também cria arquivos .exe chamados “porn” e “sexy” em uma pasta “senhas”, a fim de incentivar as pessoas a clicar sobre eles, disse a Sophos.
A ameaça também adiciona uma chave de registro para que possa iniciar junto com o PC. Algumas variantes da aplicação desabilitam o Windows Uptade para prevenir que a vítima não baixe correções que possam eliminar o malware da máquina.
Uma vez que um PC é infectado, a aplicação segue o procedimento típico de um software malicioso. Entra em contato com um servidor de comando e controle para receber instruções e outras aplicações. Os malwares baixados incluem Cavalos de Troia da família Zeus / Zbot, que rouba dados bancários online, disse a Sophos.
Para combater o malware, especialistas em segurança recomendam desativar o AutoRun em todos os sistemas operacionais Windows e restringir as permissões de gravação e compartilhamento. Dependendo do fornecedor de antivírus, o malware pode ser identificado de formas diferentes, incluindo W32/VBNA-X, W32/Autorun.worm.aaeb, W32.ChangeUp e WORM_VOBFUS.
