Hackers trocam nomes de ficheiros para criar extensões de ficheiro “seguras”.

Capacidade de Unicode usada para infectar computadores numa base de pagar para instalar

PRAGA, Républica Checa, Setembro 7, 2011 -- “Nem sempreo que parece é” graças a uma nova onda de malware que abusa de uma capacidade de exibição para levar as pessoas a abrir ficheiros supostamente “seguros”. Esta nova vaga explora as capacidades de Unicode – o standart da industria para representar texto – para mascarar malware executável com o ficheiros “seguros” com a extensão .doc ou .jpg. foi chamado "Unitrix" pelos analistas da AVAST Software.

A capacidade do Unicode foi desenhada para mostrar alfabetos escritos da direita para a esquerda como o Árabe ou Hebraico e troca o texto mostrado depois de código especiais escondidos como o 0x202E (direita-esquerda override) são adicionados ao nome do ficheiro. Por exemplo, o ficheiro executável de malware terminado com “gpj.exe” é mostrado ao utilizador como um ar bastante mais inocente de “photo_D18727_Collexe.jpg”.


Source: AVAST Virus Lab

“O utilizador tipico apenas olha para a extensão no fim do nome ficheiro; por exemplo, jpg para uma foto. É aqui que o perigo está, ” diz Jindrich Kubec, chefe do AVAST Virus Lab. “A única forma como o utilizador pode saber o que é um ficheiro executável é se tiver mais detalhes algures no seu computador ou por avisos de pop ups quando tentam executar o ficheiro.”

O AVAST Virus Lab segue o aumento constante do número de detecções durante Augusto, com um pico diário de mais de 25,000. “Desde mensagens de email e padrões de tráfego, este é claramente dirigido ás empresas.” diz Mr. Kubec. Os ataques são quase exclusivamente feitos durante a semana de trabalho, com as detecções diárias mais baixas que 5,000 durante o fim-de-semana.

O ficheiro mais comum de Unitrix é um malware transferivel a uma serie de endereços de URL que agem como comandos e centros de control. “Baseado na nossa análise de mais de 50, parece ser parte de uma rede de pagar por instalação com capacidade de enviar aos utilizadores infectados uma variedade de malware,” explica Mr. Kubec. Mais informação Unitrix na AVAST blog.

“Não é possivel fazer uma detecção a toda a prova universal porque isto ia criar muitos falsos positivos, mas há formas de lidar com isto,” diz Mr. Kubec. Ele apontou que os utilizadores do avast! Antivirus estão protegidos de duas formas:

  1. Detecção simples quando um nome de ficheiro aparece na Caixa de Entrada que usa a troca de extensões do nome do ficheiro
  2. Dentro do sistema do ficheiro, avast! sugere automáticamente que um ficheiro suspeito foi aberto na sandbox, um ambiente seguro e virtual.

“O problema é que isto é uma capacidade do Unicode. Apesar, de eles mencionarem as implicações de segurança nas especificações, as pessoas apenas implementaram e ninguem se preocupa. Tem sido mencionado por outros lab de antivirus mas não é conhecido pelo grande public.” disse Mr. Kubec.

O seu browser IE é obsoleto.

1. A 8 de Abril de 2014, a Microsoft deixa de dar suporte aos browsers Internet Explorer a executar no Windows XP. Isto colocará o seu computador e dados, tal como cartões de crédito e informações de online banking, expostos a um risco maior a hackers e malware.

2. Existem vários browsers como alternativa, mas nós na AVAST usamos e recomendamos o Chrome, até porque achamos que é a opção mais segura disponível.