Ultimas Notícias
Sem ataques evidentes, novo malware desafia empresas de segurança
Por
Jeremy Kirk, para o IDG Now!*
31-10-2006
Disfarçado em spams, praga conhecida como "Warezov," "Stration" ou "Stratio" obriga
correções constantes por mutações em seu
código
Um novo programa malicioso se tornou prevalente em spams, mas experts
não sabem o que seus criadores pretendem fazer com o software.
Muitos fabricantes estão classificando o malware, chamado de "Warezov," "Stration" ou "Stratio",
como de baixo risco, mas todos concordam que ainda é difícil
lidar com a praga.
O malware é um worm em massa que afeta máquinas rodando
o sistema operacional Windows. Quando o malware infecta o computador
- geralmente após o usuário ter aberto um anexo contendo
a praga em um spam -, ele se envia para outros endereços eletrônicos
encontrados na máquina.
O código é capaz de baixar atualizações
a cada 30 minutos a partir de diversos sites, disse Mikko Hypponen,
chief research office da F-Secure.
As novas versões são criadas por um programa em um servidor
controlador por um cracker, disse Hypponen.
No passado, malware ganhou popularidade por criar variações
próprias, mas o código para criar estas variações
estava contidas dentro da praga. Quando uma amostra era obtida, analistas
de segurança poderiam estudá-la e identificar novas versões
em potencial, disse ele.
Neste caso, o programa do hacker está compilando o código
e divulgando rapidamente novas versões, mas analistas não
sabem como o novo código é gerado.
Esta característica é uma dor de cabeça para empresas
de segurança que divulgaram atualizações especiais
para que seus softwares detectassem a praga. Só a F-Secure divulgou
150 vacinas diferentes para o malware.
"
Está se tornando muito complexo detectar um ataque como este
pelas mudanças constantes do código", disse Hypponen.
A empresa de segurança Sophos detectou mais de 300 versões
do malware. Em outubro, a praga era um dos pedaços de código
malicioso mais corriqueiro em mensagens não solicitadas, disse
Carole Theriault, consultor-sênior da Sophos.
Como máquinas infectadas procuram por outros domínios
para receber códigos atualizados, a F-Secure tem trabalhado
com provedores de internet para fechar domínios que hospedem
novas variantes. Até agora, 90% dos domínios foram fechados.
Estranhamente, o malware parece não fazer nada no computador
da vítima. Hypponen estima que deve haver cerca de "centenas
de milhares PCs infectados", um número considerável,
mas pequeno comparado a infecções em massa detectadas
em outras ocasiões.
Um cracker poderia esperar por um número definido e máquinas
infectadas para começar um ataque do tipo "negação
de serviço", enviar spams ou alugar a rede para spammers,
disse Hypponen.
"
Esperamos descobrir um dia o que está sendo feito", disse
Hypponen. "Torcemos para que não seja algo tão ruim".
*Jeremy Kirk é editor do IDG News Service, em Londres
144 Videos hackers não acredita? então confira aqui