Microsoft descobre malware que apaga arquivos para não ser identificado

Downloader torna irrecuperáveis os arquivos de componente baixados, de modo que não podem ser isolados e analisados.

A Microsoft identificou um trojan (Cavalo de Troia) incomum que é capaz de apagar os arquivos que baixa, a fim de mantê-los longe de investigadores forenses e pesquisadores.

O downloader, chamado Win32/Nemim.gen!A, é o mais recente exemplo de como os criadores de malware estão usando técnicas sofisticadas para proteger seus próprios segredos comerciais. O Cavalo de Troia essencialmente torna irrecuperáveis os arquivos de componente baixados, de modo que não podem ser isolados e analisados.

“Durante a análise do downloader, não pudemos encontrar facilmente qualquer arquivo de componente baixado no sistema”, disse Jonathan San Jose, membro do Centro de Proteção contra Malware da Microsoft, em um post no blog. “Mesmo ao usar ferramentas de recuperação de arquivos, podemos ver nomes pouco suspeitos de arquivos apagados, mas podemos não ser capazes de recuperar o conteúdo correto do arquivo.”

A Microsoft conseguiu “pegar” alguns componentes enquanto eles estavam sendo baixados de um servidor remoto. As duas finalidades do malware são infectar arquivos executáveis ​​em drives removíveis, e rodar um “ladrão de senhas” para roubar credenciais de contas de e-mail, Windows Live Messenger, Gmail Notifier, Google Desktop e Google Talk.

Normalmente, o único trabalho dos downloaders é entregar o malware principal. Neste caso, o downloader entrega o software malicioso e continua a ser uma parte integrante da operação.

Evolução

Em geral, o malware se tornou melhor em se esconder do radar. Alguns dos vírus desse tipo são usados em ameaças persistentes avançadas (APTs), destinadas a atacar organizações específicas. “O vírus que esconde suas trilhas para impedir a comunidade de segurança de desenvolver assinaturas defensivas rápidas é a norma hoje”, disse Paul Henry, um analista forense da Lumension.

Por algum tempo, os cibercriminosos desenvolveram um malware que pode sentir quando está em uma estação de trabalho virtualizada comumente utilizada pelos pesquisadores para isolar e estudar o código malicioso. Quando está em tal ambiente, o malware entrará em um estado “dormente”, por isso não pode ser facilmente descoberto.

Outros vírus inserem seu código malicioso na memória do sistema, e nunca deixam rastros no registro ou disco rígido do computador infectado, disse Henry. “As soluções de segurança de seu avô vão deixar você totalmente indefeso contra ameaças em evolução de hoje”, disse.

 

Por IDG Now! – Publicado em 18/04/2013

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s