Connforme softwares ganham em complexidade, mais elaborados se tornam os malwares destinados a prejudicar seu funcionamento, como bem demonstra uma descoberta recente do Kaspersky Labs. A empresa de segurança identificou um novo trojan inteiramente escrito em Java capaz de infectar máquinas com os sistemas operacionais Windows, Linux e OS X.

Conhecida como “HEUR: Backdoor.Java.Agent”, a ameaça se infiltra em computadores através de sites infectados, forçando-os a entrar em uma botnet utilizada para realizar ataques DDoS contra outras páginas da internet. Vale notar que a vulnerabilidade do Java explorada pelo malware já foi corrigida em junho de 2013, então quem possui uma versão atualizada do aplicativo não tem motivos para preocupação.

Um dos problemas nesse sentido é o fato de que o Java utiliza um processo de atualização manual, o que significa que milhões de pessoas ainda estão suscetíveis ao problema. No caso do “HEUR: Backdoor.Java.Agent”, isso se torna especialmente preocupante devido à maneira inteligente como o malware age.

Malware inteligente

Após infectar uma máquina, o software malicioso identifica qual o sistema operacional instalado e se adapta automaticamente às suas características. Enquanto no PC o trojan modificada o registro do Windows, no OS X e no Linux ele modificada os arquivos “launchd” e “init.d” para se certificar que o acesso à botnet acontece assim que a máquina é ligada.

A ameaça incorpora um ofuscador de códigos que faz com que bits e bytes se rearranjem de forma a dificultar a ação de antivírus e de pesquisadores especializados na área de segurança — incluindo até mesmo partes de códigos que estão criptografadas. Os dispositivos que se transformam em bots são controlados através do protocolo IRC e ganham uma identidade própria, que permite um gerenciamento mais eficiente da rede.

Através do IRC, o responsável por controlar a botnet insere os IPs dos sites que devem ser atacados e a duração planejada para cada ação. Durante um ataque, cada bot seleciona aleatoriamente uma espécie de disfarce que emula o comportamento de determinados navegadores e plataformas.