A ferramenta, chamada Debank, foi construída pela empresa Fitsec, que a tem usado para efetuar varreduras nas máquinas de seus clientes, disse o fundador da empresa Toni Koivunen.
A ferramenta funciona por meio da varredura dos processos carregados na memória do computador, explicou Koivunen. A maioria dos programas maliciosos atuais é empacotada, ou “comprimida”, antes de ser distribuída. Isso pode enganar os programas de antivírus, já que o malware pode fingir ser um programa diferente cada vez que é reempacotado.
Koivunen disse que os programas antivírus frequentemente apoiam-se na heurística como uma forma alternativa de detectar malware, além da tradicional análise de assinatura. Mas este método nem sempre é tão bem sucedido quanto uma análise completa da memória.
O Debank procura pelo programa depois que ele foi executado pelo computador. Os autores de malware raramente mudam o código básico do programa, que é o que o Debank analisa.
Em Windows
Koivunen disse que o Debank pode detectar praticamente todas as variações dos malwares SpyEye, Zeus, CarBerp, Gozi e Patcher, que são os cinco mais conhecidos. O malware tem de estar rodando para que o Debank possa detectá-lo e a ferramenta funciona apenas em computadores rodando Windows, disse.
O Debank foi capaz de detectar mais de 200 variants do Patcher depois que a FitSic encontrou um pedaço de seu código comum a todas as variações. A FitSec também o testou contra centenas de variantes do SpyEye, um pedaço avançado de código que opera como parte de uma botnet. Ela pode vasculhar credenciais de contas online e também iniciar transações mesmo enquanto uma pessoa estiver logada em sua conta.
A Fitsec decidiu distribuir gratuitamente a ferramenta e a colocou para download em seu blog. “Não temos razão nenhuma para começarmos a cobrar por ela”, disse Koivunen. “Basicamente, nós odiamos malware.”
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário