O ARIS-LD, Grupo de Análise e Resposta a Incidentes de Segurança da Linha Defensiva, teve acesso a uma dezena de arquivos criados com o objetivo de eliminar completamente os plugins dos bancos. Os trojans tentam realizar este procedimento de várias formas — desde simples comando de remoção até anti-rootkits. Muitas vezes, a tentativa acaba em fracasso — o que não é o caso dos drivers.
Com a remoção dos plugins de segurança, os programadores de vírus podem criar arquivos com intenções maliciosas e colocá-los exatamente na mesma localização dos arquivos legítimos, dificultando assim a identificação de um arquivo malicioso e as chances do usuário suspeitar de algum problema, além de roubar livremente os dados enviados ao sistema de internet banking.
Drivers
Drivers são programas responsáveis por várias tarefas, sendo a mais importante delas a comunicação do sistema operacional com componentes de hardware (vídeo, mouse, teclado). São em geral carregados automaticamente na inicialização do sistema operacional. A extensão de arquivo dos drivers é a .sys, porém podem existir drivers com outras extensões, como .drv. Muitas vezes é necessário configurar o sistema para não esconder os arquivos “protegidos pelo sistema operacional” antes que se possa ver este tipo de arquivo.
Por realizarem tarefas tão importantes, drivers possuem privilégios maiores no sistema operacional e são executados antes de outros programas. Se forem programados de forma descuidada, eles também podem facilmente afetar toda a estabilidade do computador.
Para proteger os usuários de drivers de origem duvidosa, a Microsoft assina digitalmente os drivers que a empresa sabe serem seguros1. O usuário é alertado no momento da instalação de algum driver de origem desconhecida (que não possui assinatura), já que estes não passaram pelo controle de qualidade e podem ser maliciosos ou instáveis.
Nos golpes analisados pelo ARIS-LD, os trojans brasileiros, como muitos outros que se valem de drivers, desativam os avisos de assinatura. Depois, instalam um arquivo de driver programado especialmente para remover os plugins. Quando o computador reiniciar e o driver recém-instalado for executado, os plugins serão removidos.
Arquivos encontrados em análises do ARIS, cujos nomes deixam clara a sua intenção:
C:\WINDOWS\system32\removegb.sys
C:\WINDOWS\system32\gbfriend.sys
C:\WINDOWS\kernel32.sys
C:\WINDOWS\removegb.sys
C:\windows\system32\winered.sys
C:\WINDOWS\system32\PLUG.SYS
C:\windows\system32\wiiinnnzzzz.sys
C:\Win.sys
C:\Documents and Settings\Administrador\Dados de aplicativos\Win.sys
Os drivers maliciosos ainda não são detectados por alguns dos antivírus mais comuns; isto deve mudar em breve, conforme as atualizações sejam criadas. O ideal ainda é manter-se atento aos golpes que circulam na rede para não ser infectado. Quem já foi infectado pode utilizar o serviço gratuito de remoção de malware da Linha Defensiva.
Plugins também causam problemas
Várias instituições financeiras do Brasil exigem que os usuários façam instalem algum plugin antes que seja possível usar os serviços on-line. Grandes bancos como Banco do Brasil, Caixa Econômica Federal, Real, Banrisul, Bradesco, Unibanco, entre outros, exigem a instalação de algum programa do gênero. A instalação do plugin é efetuada logo no primeiro acesso ao serviço e geralmente acontece por meio de ActiveX.
A desinstalação dos plugins tende a ser difícil. Não é possível removê-los com os recursos de desinstalação oferecidos pelo Windows, como no “Adicionar/Remover Programas”. Se tais meios fossem habilitados, cavalos de tróia poderiam usá-los também. No passado, um plugin muito intrusivo chegou a utilizar técnicas de rootkit para esconder processos e camuflar sua presença.
Graças à este comportamento indesejável por parte dos plugins, não é raro encontrar usuários reclamando e afirmando que os mesmos causam diversos problemas, como lentidão e incômodas durante a navegação.
Outro problema comum são “alarmes falsos” gerados por alguns programas antivírus. No Fórum Linha Defensiva, aparece com certa freqüência um internauta dizendo que seu antivírus detectou algum arquivo que pertence a um plugin como vírus.
É bem possível que os desenvolvedores dos plugins tentem virar o jogo, adicionando proteções que impedem sua remoção por meio de drivers. Esta guerra, no entanto, irá resultar em programas de segurança cada vez mais intrusivos e complexos, que serão tão ruins e indesejados quanto o problema que se propõem a resolver.
Fonte: Linha Defensiva
Nenhum comentário:
Postar um comentário