São Paulo, março de 2011 – Normalmente, quando falamos em vírus e antivírus, já os relacionamos com as possíveis detecções e formas de proteção. Mas, e se um malware utilizar um antivírus para fazer seu ataque? Isso soa diferente…
Foi o que a AVG Technologies, fabricante de softwares de segurança, descobriu recentemente. Um novo tipo de malware usa o Webshield da Kingsoft, uma das empresas de antivírus mais populares na China, para alcançar o seu objetivo. O Webshield é projetado para proteger os usuários contra phishing e sites contaminados. Ele tem duas funções bem conhecidas: o bloqueio da página inicial do Internet Explorer (para que não seja alterado) e redirecionamento de páginas -que são exatamente as que os malwares exploram.
“A Kingsoft WebShield é muito popular e infelizmente, pessoas mal intencionadas descobriram como utilizá-lo para atacar os seus usuários”, comentou Mariano Sumrell, diretor de marketing da AVG Brasil.
Os pesquisadores do AVG Virus Lab distrincharam o funcionamento desse novo malware que é apresentado a seguir.O malware combina módulos da Kingsoft:
Fica mais claro se analisarmos as assinaturas digitais:
E, então, modifica os arquivos de configuração:
Onde o kws.ini contém configurações de página inicial, claro que cheio de falsas URLs, como podemos ver neste detalhe:
Modifica também o Spitesp.dat, que contém a lista de URLs que é usada para o redirecionamento da página inicial. Isso significa que, se você tentar acessar essas URLs, será redirecionado para a página inicial ou uma determinada URL já configurada:
Basta dar uma olhada nestas URLs. Podemos ver que alguns dos sites mais populares da Internet também estão inclusos.
E, assim, como este malware utiliza a Kingsoft WebShield para fazer ataques? Na verdade, este malware é embalado no Nullsoft Install System- NSIS. Abaixo está o script decodificadopela máquina de detecção da AVG:
Primeiro, vemos que este malware procura o processo denominado "KSWebShield.exe” que significa que o Kingsoft WebShield já está em execução. Se ela o encontra, irá pará-lo e remover o serviço Kingsoft WebShield.
Depois, o malware copia os módulos de Kingsoft WebShield que precisa para o diretório abaixo:
Em seguida, irá mover os arquivos de configuração já mencionados para o diretório que o Webshield lê por default:
Por fim, este malware irá instalar e executar o serviço Kingsoft WebShield:
Agora o Kingsoft WebShield, maliciosamente configurado, entrou em vigor. Isso significa que a página inicial do seu browser é falsa, e, se você tentar acessar os URLs listados no arquivo de configuração, você será redirecionado para outras páginas, também falsas.
Sobre AVG Technologies
AVG é uma das líderes globais em solução de segurança, protegendo mais de 110 milhões de usuários em 167 países das crescentes ameaças da web, como vírus, spam, golpes eletrônicos e de hackers na Internet. A AVG tem quase 20 anos de experiência em combater o cibercrime e possui um dos mais avançados laboratórios para detecção, apreensão e combate a ameaças na Internet. O seu software gratuito, que pode ser baixado na Internet, permite que usuários iniciantes tenham proteção básica e, com baixos custos, evoluam para maiores níveis de proteção e satisfação. A AVG possui cerca de seis mil revendas, distribuidores e parceiros em todos os lugares do mundo, incluindo Amazon.com, CNET, Cisco, Ingram Micro, Wal-Mart, and Yahoo! No Brasil, no Brasil, a Winco é a distribuidora exclusiva das soluções da fabricante.
Siga o perfil exclusivo da Trama sobre tecnologia: @tramati