Novo tipo de vírus pode afetar tanto Windows quanto Linux
Neste artigo você entenderá basicamente como funciona um vírus novo e por enquanto, invisível à maioria dos atuais antivírus. São uma nova geração de vírus totalmente baseada nas linguagens JAVA, PHP, CSS além das implementações HTML, XML e XHTML.
Novo Tipo de Vírus pode afetar tanto Windows quanto Linux
CUIDADO!
Não sei se já é fato, mas somente agora eu descobri um novo tipo de vírus que não pode, teoricamente, ser detectado nem pelos mais atuais antivírus existentes. Tratam-se de vírus projetados totalmente em linguagem orientada à objeto como Java e implementado por PHP, CSS e HTML.
Estes vírus aproveitam-se de que o Windows e o Linux aprovam a presença não escaneada de cookies e scripts inocentes à princípio, mas tratam-se de uma dor de cabeça. Pesquisando mais sobre o assunto, percebi que já existem sites com antivírus contra "scripts maliciosos", todos devidamente pagos e em sites suspeitos.
A princípio, parece que esses softwares foram desenvolvidos conforme a lenda do surgimentos dos vírus de computador: Quem fabrica os vírus e os antivírus são as mesmas pessoas/empresas. Neste caso é perfeitamente aplicável, pois nos sites onde você pega o vírus, você também pode "comprar" o antivírus.
Os dois que infectaram meu PC estavam dentro do diretório (estupidamente) oculto "Temporary Internet Files" na pasta Dados de Aplicativos em cada perfil de usuário. São programados para ativarem um "Active Desktop" com o logo do "antivírus" deles, e após, em intervalos de 5 à 7 minutos, abrirem uma caixa de diálogo dizendo que seu PC está lento ou que está em risco, e mesmo que clique em cancelar, este abre a janela do Internet Explorer e enche a nossa paciência, fazendo-nos fechar o IE de 5 em 5 minutos.
Fora o fato de que, por persistência, outras entradas são criadas e mais sites e/ou banners de "softwares antivírus" são apresentadas, além do fato de seu papel de parede (isso mesmo!) ser alterado! Nem desativando o Active Desktop o script pára. E mais: Eu fui até o registro do Windows e apaguei muitas entradas com o nome ou logo do "antivírus", e mesmo assim elas eram recriadas sempre que o IE abria a página deste "antivírus".
Por mais que se buscasse a fonte dos códigos maliciosos, não se achavam nada além de pastas vazias. A solução foi utilizar um aplicativo chamado Process Explorer (gratuito) e descobrir de onde esta página estava sendo executada, e estavam no diretório listado acima.
Analisando os scripts, encontrei algumas surpresas: Eles se auto instalam e instalam um serviço JAVA na inicialização que não é listado no MSCONFIG, que inicializa o serviço por background e não permite que seja desativado. Pior do que isso, com a ajuda de um software antivírus chamado Spyware Terminator, que, enquanto ativo, mostra todas as requisições do sistema, desde abertura até a criação de itens, permitidos ou não, e graças à isso consegui encontrar a origem do vírus: várias DLLs, algumas de sistema. Excluí todas, e logicamente, precisei restaurá-las através do CD de instalação do Windows XP. Após, passei 4 vezes todos os meus 3 antivírus (avast, SpyBot e Spyware Terminator), e então, me livrei destas pragas. Mas o que isso tem à ver com Linux? Prestem atenção nesta linha:
Se o navegador é IE ou Opera... e algumas distros vem com Opera por padrão, e muitos utilizam Opera. E como as linguagens Java, CSS e PHP, além da implementação HTML, XML, XHTML serem padrão para os navegadores de qualquer SO, então nem o Linux está seguro.
Devo ressaltar que ainda não testei no meu Ubuntu. Por enquanto, estes vírus não passam de banners incômodos, mas logo irão evoluir, e nossos antivírus não estão preparados para eles. À quem estiver interessado e quiser os arquivos completos para análise, posso mandar os b-vírus (browser vírus - nome de minha autoria :-P) zipados, basta enviarem e-mail para viniciusff7ac@gmail.com.
E para previní-los, aí vai um dos endereços de onde peguei os vírus, mas não recomendo entrarem nele, a não ser que queiram uma tremenda dor de cabeça. Cuidem também com qualquer vídeo de internet que peça download de um arquivo chamado "VidePlugin.exe", pois foi através dele que instalei o vírus em minha máquina. Olho vivo! O.O'
Não sei se já é fato, mas somente agora eu descobri um novo tipo de vírus que não pode, teoricamente, ser detectado nem pelos mais atuais antivírus existentes. Tratam-se de vírus projetados totalmente em linguagem orientada à objeto como Java e implementado por PHP, CSS e HTML.
Estes vírus aproveitam-se de que o Windows e o Linux aprovam a presença não escaneada de cookies e scripts inocentes à princípio, mas tratam-se de uma dor de cabeça. Pesquisando mais sobre o assunto, percebi que já existem sites com antivírus contra "scripts maliciosos", todos devidamente pagos e em sites suspeitos.
A princípio, parece que esses softwares foram desenvolvidos conforme a lenda do surgimentos dos vírus de computador: Quem fabrica os vírus e os antivírus são as mesmas pessoas/empresas. Neste caso é perfeitamente aplicável, pois nos sites onde você pega o vírus, você também pode "comprar" o antivírus.
Os dois que infectaram meu PC estavam dentro do diretório (estupidamente) oculto "Temporary Internet Files" na pasta Dados de Aplicativos em cada perfil de usuário. São programados para ativarem um "Active Desktop" com o logo do "antivírus" deles, e após, em intervalos de 5 à 7 minutos, abrirem uma caixa de diálogo dizendo que seu PC está lento ou que está em risco, e mesmo que clique em cancelar, este abre a janela do Internet Explorer e enche a nossa paciência, fazendo-nos fechar o IE de 5 em 5 minutos.
Fora o fato de que, por persistência, outras entradas são criadas e mais sites e/ou banners de "softwares antivírus" são apresentadas, além do fato de seu papel de parede (isso mesmo!) ser alterado! Nem desativando o Active Desktop o script pára. E mais: Eu fui até o registro do Windows e apaguei muitas entradas com o nome ou logo do "antivírus", e mesmo assim elas eram recriadas sempre que o IE abria a página deste "antivírus".
Por mais que se buscasse a fonte dos códigos maliciosos, não se achavam nada além de pastas vazias. A solução foi utilizar um aplicativo chamado Process Explorer (gratuito) e descobrir de onde esta página estava sendo executada, e estavam no diretório listado acima.
Analisando os scripts, encontrei algumas surpresas: Eles se auto instalam e instalam um serviço JAVA na inicialização que não é listado no MSCONFIG, que inicializa o serviço por background e não permite que seja desativado. Pior do que isso, com a ajuda de um software antivírus chamado Spyware Terminator, que, enquanto ativo, mostra todas as requisições do sistema, desde abertura até a criação de itens, permitidos ou não, e graças à isso consegui encontrar a origem do vírus: várias DLLs, algumas de sistema. Excluí todas, e logicamente, precisei restaurá-las através do CD de instalação do Windows XP. Após, passei 4 vezes todos os meus 3 antivírus (avast, SpyBot e Spyware Terminator), e então, me livrei destas pragas. Mas o que isso tem à ver com Linux? Prestem atenção nesta linha:
s_XP_SP2 = (navigator.userAgent.indexOf("SV1") != -1) || (navigator.appMinorVersion && (navigator.appMinorVersion.indexOf('SP2') != -1));
is_IE=false;
if (navigator.appName.toLowerCase()=='microsoft internet explorer'){
if (navigator.userAgent.toLowerCase().indexOf('opera')<=0) { is_IE=true; }
}
is_IE=false;
if (navigator.appName.toLowerCase()=='microsoft internet explorer'){
if (navigator.userAgent.toLowerCase().indexOf('opera')<=0) { is_IE=true; }
}
Se o navegador é IE ou Opera... e algumas distros vem com Opera por padrão, e muitos utilizam Opera. E como as linguagens Java, CSS e PHP, além da implementação HTML, XML, XHTML serem padrão para os navegadores de qualquer SO, então nem o Linux está seguro.
Devo ressaltar que ainda não testei no meu Ubuntu. Por enquanto, estes vírus não passam de banners incômodos, mas logo irão evoluir, e nossos antivírus não estão preparados para eles. À quem estiver interessado e quiser os arquivos completos para análise, posso mandar os b-vírus (browser vírus - nome de minha autoria :-P) zipados, basta enviarem e-mail para viniciusff7ac@gmail.com.
E para previní-los, aí vai um dos endereços de onde peguei os vírus, mas não recomendo entrarem nele, a não ser que queiram uma tremenda dor de cabeça. Cuidem também com qualquer vídeo de internet que peça download de um arquivo chamado "VidePlugin.exe", pois foi através dele que instalei o vírus em minha máquina. Olho vivo! O.O'