Vírus faz atualização causar 'tela azul da morte'

Tweet

Pragas digitais também são “preguiçosas”, como demonstra o caso do rootkit TDSS, um dos mais avançados em circulação. Para poupar trabalho, os autores do vírus usaram um método manual para realizar as funções que tornam os arquivos maliciosos invisíveis. Devido ao “atalho” tomado pela praga, uma atualização da Microsoft acabou fazendo com que ela parasse de funcionar corretamente. O resultado foi uma tela azul da morte para os usuários infectados.

Também nesta semana: Competição dará US$ 100 mil em prêmios por falhas de segurança; 80% dos códigos maliciosos em sites web tentam explorar brechas no Adobe Reader.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras. 

Atualização faz vírus parar de funcionar corretamente, causando travamento do Windows. (Foto: Reprodução)

>>>Vírus faz atualização da Microsoft causar tela azul da morte 
Depois de instalar a atualização MS10-015 para o Windows, lançada na terça-feira passada (9), muitos usuários começaram a reclamar de erros graves, normalmente reconhecidos pela “tela azul da morte”. Empresas de segurança identificaram que o problema na verdade é causado por um rootkit conhecido como TDL3, TDSS ou Alureon. 

Na quarta-feira (17), a Microsoft confirmou que a causa do problema é mesmo o cavalo de troia. 

O TDSS é um rootkit que existe há alguns anos. Segundo a Microsoft, ele realiza diversas funções, como redirecionamentos, fraudes de cliques (em anúncios pagos por clique) e sequestro de pesquisas em sites de busca, redirecionando ou modificando resultados. 

Para dificultar sua remoção e permanecer oculto, o TDSS tenta “grampear” funções do Windows e alterar os dados associados a elas, para garantir que os arquivos e registros do vírus fiquem invisíveis. Esse é um procedimento complicado e, para conseguir realizá-lo, o TDSS usava um método “manual”. Depois que a atualização do Windows era aplicada, um arquivo do kernel do Windows era alterado, e o método usado pelo TDSS parava de funcionar, o que gerava o erro grave. 

A coluna Segurança para o PC de quarta-feira (17), que comentou um pouco sobre rootkits, explicou que a complexidade dessas pragas pode facilmente fazer com que elas causem erros no sistema. 

Os autores do TDSS providenciaram uma atualização que resolve o problema. De agora em diante, usuários que tiverem o Windows atualizado não mais receberão o erro. 

Segundo a Microsoft, a única maneira de recuperar um sistema que não para de travar é a substituição do driver modificado pelo vírus – um procedimento que só pode ser realizado por meio do Console de Recuperação do sistema. 

>>>Competição dará US$ 100 mil em prêmios por falhas de segurança 
A polêmica competição “Pwn2Own”, que premia os especialistas que conseguirem explorar com sucesso brechas em navegadores, sistemas operacionais e smartphones está de volta este ano. Nesta versão, a disputa oferece um total de US$ 100 mil em prêmios para os vencedores. A competição ocorre na conferência de segurança CanSecWest, e é patrocinada pelo Zero Day Initiative (ZDI) da TippingPoint. 

O ZDI paga os pesquisadores que derem acesso exclusivo às informações sobre as falhas que descobrirem para a TippingPoint. Na Pwn2Own, o competidor precisa concordar que qualquer brecha utilizada passe a ser de propriedade da TippingPoint. A TippingPoint é uma empresa da 3COM, conhecida fabricante de equipamentos de rede como placas, switches e modems. 

Tanto o modelo da competição como o modelo do ZDI são polêmicos, porque recompensam os pesquisadores pela descoberta de falhas para as quais eles não foram contratados para descobrir. 

O foco da competição este ano está nos dispositivos portáteis. Quatro smartphones estarão disponíveis, e explorar com sucesso uma brecha em cada um deles vale US$ 15 mil, para um total de U$ 60 mil. Os celulares disponíveis na competição serão o iPhone 3GS, um BlackBerry, um Nokia rodando o sistema operacional Symbian e também um Motorola com o Android, do Google. 

Os competidores poderão também tentar explorar brechas no Windows 7 (no primeiro dia), Vista (no segundo dia), XP (no terceiro dia) e no MacOS X (nos três dias), nos navegadores Internet Explorer 7 (segundo e terceiro dia) e 8 (primeiro dia), Mozilla Firefox 3, Google Chrome 5 e Safari (somente no Mac). O prêmio em dinheiro nessa categoria é de US$ 10 mil. Como são 4 notebooks (três com Windows, com cada navegador, e um com o Mac), o total de prêmios em dinheiro é de US$ 40 mil. 

Quem conseguir obter o controle total do sistema atacado leva o notebook (ou o celular), além do em dinheiro. Em alguns casos, há outras regalias, como uma viagem paga para a conferência de segurança DEFCON em Las Vegas. 

No ano passado, os navegadores Firefox, Internet Explorer e Safari foram todos atacados com sucesso por um estudante anônimo conhecido apenas como “Nils” e pelo pesquisador Charlie Miller. O Chrome e os celulares, que já faziam parte da competição, saíram ilesos, apesar de várias tentativas de exploração. Cada competidor tem apenas 30 minutos para tentar o ataque.

Confira a cobertura da coluna da Pwn2Own 2009

Tentativas de exploração do Adobe Reader cresceram junto do número de brechas encontradas em produtos da Adobe. (Foto: Divulgação/Scansafe)

>>>80% dos códigos maliciosos em sites web tentam explorar brechas no Adobe Reader 
Segundo um relatório da empresa Scansafe, que analisa o tráfego da web, 80% de todos os códigos maliciosos hospedados em sites web que tentavam explorar brechas nos internautas tinham como "canal de entrada" alguma versão do Reader, o leitor de PDFs da Adobe. 

O número é referente aos "exploits", como são chamados os códigos que exploram vulnerabilidades. Na web, os exploits normalmente vêm em kits, que tentam explorar brechas não apenas nos navegadores, mas também em todos os plugins, como Flash, PDF e reprodutores de mídia. 

A marca de 80% se refere ao último trimestre de 2009 e representa um aumento significativo em relação ao número de 56% encontrado no primeiro trimestre. O número de tentativas de exploração de brechas no Adobe Flash, em contrapartida, caiu de 40% no início do ano para 18% no final. 

Apenas 1% dos códigos maliciosos na web tentava explorar brechas no Word e no Excel. 

A Scansafe também constatou que 45% dos códigos maliciosos eram acessados por meio "iframes". “Iframe” é o nome de um código que carrega um site dentro de outro. Códigos iframes são normalmente usados quando o site foi invadido, ou seja, quando o site infectado foi, na verdade, alterado por hackers. 
 
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na páginahttp://twitter.com/g1seguranca.