Malware explora vulnerabilidade em AutoRun do Windows

Especialistas acreditam que as infecções estão acontecendo por meio de uma combinação de PCs desatualizados, pastas e arquivos compartilhados e mídias sociais.

Os fornecedores de antivírus estão alertando os clientes para um malware que está se espalhando na rede e pode infectar computadores por meio de um bug do software AutoRun do Windows, usado para iniciar automaticamente programas em um aparelho de DVD ou USB.

O aumento significativo da infecção é curioso, porque o Windows 7 e o Windows 8 não vão ter mais arquivos autorun.inf e a Microsoft liberou dois patches de segurança para sistemas anteriores.
Especialistas em segurança acreditam que as infecções estão acontecendo por meio de uma combinação de computadores desatualizados, pastas e arquivos compartilhados e mídias sociais.

Alguém que inserir uma unidade USB ou cartão de memória infectado com o malware pode infectar PCs desatualizados. A contaminação também pode ocorrer por meio de compartilhamentos de rede, uma vez que o pode comprometer links ou pastas. A Trend Micro informou que o malware também foi detectado no Facebook.

A McAfee, Symantec e Sophos também identificaram o malware. Embora seja interessante o fato de que os cibercriminosos ainda estão a explorar uma falha de quatro anos do AutoRun, a empresa de segurança Sophos diz que a maioria dos PCs corporativos estão sendo infectadas por meio de compartilhamento de rede.

“Eu diria que o AutoRun provavelmente não é a fonte da maioria das infecções”, disse o conselheiro sênior de segurança da Sophos, Chester Wisniewski, na sexta-feira. “É apenas interessante o fato de os criminosos ainda usá-lo. Disseminá-lo por meio de compartilhamento de arquivos é provavelmente o principal vetor.”

A Microsoft lançou um patch de AutoRun em 2009, um mês após a Equipe de Resposta para Incidentes de Segurança de Computadores dos EUA (US-CERT) emitiu um alerta de que o Windows 2000, XP e Server 2003 não desativaram o recurso devidamente. A Microsoft tinha corrigido o AutoRun um ano antes, no Windows Vista e Windows Server 2008.

O malware se disfarça como arquivos e pastas em compartilhamento de rede graváveis e dispositivos removíveis, enquanto esconde os arquivos originais. O aplicativo também cria arquivos .exe chamados “porn” e “sexy” em uma pasta “senhas”, para incentivar as pessoas a clicar sobre eles, disse a Sophos.

A ameaça também adiciona uma chave de registro para que possa iniciar junto com o PC. Algumas variantes da aplicação desabilitam o Windows Uptade para prevenir que a vítima não baixe correções que possam eliminar o malware da máquina.

Uma vez que um PC é infectado, a aplicação segue o procedimento típico de um software malicioso. Entra em contato com um servidor de comando e controle para instruções e para receber outras aplicações. Os malwares baixados incluem Cavalos de Troia da família Zeus / Zbot, que rouba dados bancários online, disse a Sophos.

Para combater o malware, especialistas em segurança recomendam desativar o AutoRun em todos os sistemas operacionais Windows e restringir as permissões de gravação e compartilhamento. Dependendo do fornecedor de antivírus, o malware pode ser identificado de formas diferentes, incluindo W32/VBNA-X, W32/Autorun.worm.aaeb, W32.ChangeUp e WORM_VOBFUS.

 

Por IDG Now! – Publicado em 04/12/2012

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s