Hackers invertem nome de arquivos para criar extensões "seguras"

Recurso Unicode utilizado para infectar computadores baseado em pagamento por instalação

Praga, República Tcheca, 7 de setembro de 2011 - "O que você vê não é o que você obtém", graças a nova onda de malwares que utilizam o recurso de exibição especial de linguagem para enganar as pessoas na abertura de sites suportamente seguros. A nova faácnha uitliza as funcionalidades do Unicode - o padrão da indústria da computação para a representação de texto - para mascarar o malware executável como arquivos "seguros" com a extensão .doc ou .jpg. Foi chamado de "Unitrix" pelos analistas da AVAST Software

O recurso Unicode é projetado para exibir alfabetos escritos em um esquema da direita para a esquerda, como o árabe ou hebraico e vira o texto exibido após códigos especiais escondidos, como o 0x202E (substituir da direita para a esquerda), são adicionados ao nome do arquivo. Por exemplo, o arquivo malware executável terminando com "gpj.exe" é exibido para o destinatário como o inocente "photo_D18727_Collexe.jpg".


Fonte: AVAST Virus Lab

"O usuário comum apenas olha para a extensão no seu fim; por exemplo, jpg para uma foto. E é onde está o perigo." disse Jindrich Kubec, chefe do AVAST Virus Lab. "A única maneira que um usuário pode saber que este é um arquivo executável é se eles têm alguns detalhes adicionais exibidos em outros lugares em seu computador ou se um aviso aparece quando eles tentam e executar o arquivo."

O AVAST Virus Lab detectou um aumento constante no número de detecções durante agosto, com um pico diário de mais de 25.000. "Desde as mensagens de e-mail e o padrão de tráfego, isto esta claramente voltado às empresas," disse o Sr. Kubec. Os ataques são quase exclusivamente feitos durante a semana de trabalho, com as detecções diárias caindo para menos de 5.000 no fim de semana.

O arquivo Unitrix mais comum é um descarregador de malwares com conexões para vários endereços URL que, então, atuam como centros de comando e controle. "Com base em nossa análise de mais de cinqüenta amostras, parece ser parte de uma rede do tipo pague pela instalação, com a capacidade de enviar aos usuários infectados uma variedade de malwares", explica o Sr. Kubec. Informações adicionais do Unitrix estão no AVAST blog.

"Não é possível fazer uma única detecção, universal infalível, porque isso iria criar um monte de falsos positivos, mas há formas definidas para lidar com isso", disse Kubec. Ele ressaltou que os usuários do avast! antivírus estão protegidos de duas maneiras:

  1. Detecção simples quando um nome de arquivo usando este truque aparece em e-mails recebidos.
  2. Dentro do sistema de arquivos, o avast! automaticamente sugere que o arquivo suspeito seja aberto na sandbox, um ambiente virtualizado seguro.

"O problema é que esta é uma funcionalidade Unicode. Apesar de terem mencionado as implicações de segurança desta nas especificações, as pessoas só implementaram conforme o concebido e ninguém se importaou com isso. Isso tem sido mencionado em outros sites de laboratórios de antivírus, mas não é muito conhecido ", disse Kubec.

O seu navegador é obsoleto

1. No dia 8 de abril de 2014, a Microsoft cessará o suporte ao navegador Internet Explorer no Windows XP. Isto fará com que seus computador e dados, como cartão de crédito e detalhes de acesso a bancos online, fiquem vulneráveis a hackers e malwares.

2. Existem muitas alternativas de navegadores, mas nós na AVAST usamos e recomendamos o Chrome, por entendermos que ele é a opção mais segura disponível.