O Blue Pill (Pílula Azul), rootkit considerado “indetectável” pela sua criadora, Joanna Rutkowska, teve seu código fonte disponibilizado na web no site Blue Pill Project, que foi anunciado nesta quinta-feira (02/08) por Rutkowska na conferência Black Hat, em Las Vegas.

Para se esconder do sistema operacional, o Blue Pill tenta “virtualizar” o sistema operacional usando tecnologias recentemente introduzidas em processadores. Estas tecnologias são criadas para facilitar a virtualização de aplicativos e sistemas operacionais — procedimento cada vez mais comum em empresas para facilitar o gerenciamento de servidores. O Blue Pill poderia ser usado para, por exemplo, esconder ferramentas de um indivíduo que conseguiu invadir o sistema.

O rootkit foi desafiado por um grupo de pesquisadores de segurança da Matasano, Root Labs e Symantec, que afirma que o mesmo pode ser detectado, ao contrário do que afirma sua criadora. O desafio, que deveria ter acontecido na Black Hat, não ocorreu devido a “condições” impostas por Rutkowska. De acordo com reportagem do ZDNet Zero Day, o grupo afirmou durante a conferência que planeja lançar uma plataforma de detecção de rootkits virtualizados chamada de Samara.

Nate Lawson, um dos pesquisadores do grupo, reconhece que, como em outras áreas, trata-se um de jogo de gato e rato, com atacantes e criminosos constantemente tentando burlar as defesas existentes, enquanto programadores de softwares de segurança fecham as novas entradas que são encontradas.

Rutkowska acredita que o Blue Pill pode ser melhorado e que, com estas melhorias, o rootkit seja capaz de enganar qualquer software de detecção de rootkit. Em seu estado atual, no entanto, o rootkit tem problemas que tornam sua presença facilmente verificável: o Virtual PC 2007, por exemplo, trava completamente em qualquer computador que esteja com o blue pill em execução.

Os criadores de pragas virtuais estão a todo vapor, pelo levantamento
da Sophos. 23.864 novas ameaças foram criadas no primeiro trimestre do
ano, contra 9.450 do mesmo período do ano passado.

Outro dado alarmante divulgado pela empresa aponta para os sites. De
acordo com a companhia, em média, foram identificadas 5 mil novas
páginas na web contaminadas por dia. Segundo os especialistas da
empresa, com o crescimento da preocupação por parte dos usuários em
proteger seus computadores de vírus e outros tipos de pragas virtuais,
os criminosos resolveram investir na web como principal alvo.

Confira a lista das pragas virtuais mais ativas no 1º trimestre do ano
e o ranking dos países que hospedaram o maior volume de programas
nocivos, segundo a Sophos:

Pragas mais Ativas:
1. Troj/Fujif 50,8%
2. Troj/Ifradv 12,1%
3. Troj/Decdec 10,4%
4. Mal/Packer 6,3%
5. JS/EncIFra 5,5%
6. Mal/FunDF 2,3%
7. Troj/Psyme 2,2%
8. Troj/Zlob 2%
9. Mal/Behav 1,2%
10. Mal/DelpBanc 0,4%

Países com mais sites daninhos hospedados:
1. China 41,1%
2. Estados Unidos 29,2%
3. Rússia 4,6%
4. Alemanha 4,6%
5. Ucrânia 3,9%
6. Reino Unido 3%
7. França 2,2%
8. Holanda 1,9%
9. Coréia do Sul 1,3%
10. Taiwan 1%
11. Outros 8,1%

Os criadores de pragas virtuais estão a todo vapor, pelo levantamento
da Sophos. 23.864 novas ameaças foram criadas no primeiro trimestre do
ano, contra 9.450 do mesmo período do ano passado.

Outro dado alarmante divulgado pela empresa aponta para os sites. De
acordo com a companhia, em média, foram identificadas 5 mil novas
páginas na web contaminadas por dia. Segundo os especialistas da
empresa, com o crescimento da preocupação por parte dos usuários em
proteger seus computadores de vírus e outros tipos de pragas virtuais,
os criminosos resolveram investir na web como principal alvo.

Confira a lista das pragas virtuais mais ativas no 1º trimestre do ano
e o ranking dos países que hospedaram o maior volume de programas
nocivos, segundo a Sophos:

Pragas mais Ativas:
1. Troj/Fujif 50,8%
2. Troj/Ifradv 12,1%
3. Troj/Decdec 10,4%
4. Mal/Packer 6,3%
5. JS/EncIFra 5,5%
6. Mal/FunDF 2,3%
7. Troj/Psyme 2,2%
8. Troj/Zlob 2%
9. Mal/Behav 1,2%
10. Mal/DelpBanc 0,4%

Países com mais sites daninhos hospedados:
1. China 41,1%
2. Estados Unidos 29,2%
3. Rússia 4,6%
4. Alemanha 4,6%
5. Ucrânia 3,9%
6. Reino Unido 3%
7. França 2,2%
8. Holanda 1,9%
9. Coréia do Sul 1,3%
10. Taiwan 1%
11. Outros 8,1%

Nova praga mira usuários do Skype

Informações da Skype dão conta de um vírus que ataca o aplicativo VoIP
e que está rastreando endereços de e-mail e direcionando usuários a
sites que hospedam softwares maliciosos.

Segundo o blog da F-Secure, uma vez que máquina é infectada, o vírus
manda um link malicioso via mensagens instantâneas para outros
usuários da lista de contatos do Skype da pessoa.

A F-Secure ainda informou que o link leva a um arquivo executável, que
faz o download de um cavalo-de-tróia capaz de baixar outros softwares
maliciosos. Então ele mostra a foto de uma mulher seminua.

O link também direciona os usuários para ao menos oito sites com
informações sobre a África. Segundo o consultor sênior de tecnologia
da Sophos PLC, Graham Cluley, ainda não está claro qual tipo de dano
essas páginas têm intenção de causar. Alguns dos sites, contudo,
possuem propagandas que indicam que este pode ser um tipo de fraude
por clique - truques usados para se obter cliques em banners de
anúncios, que geram rendimento aos donos dos sites.

A F-Secure chama o vírus de IM-Worm:W32/Pykse.A, enquanto a Sophos o
nomeou Mal/Pykse-A.

O Skype foi atingido por vírus no passado, mas nenhum deles causou
grandes danos - e dessa vez não deve ser diferente. “Acredito que esse
não é do tipo que vai longe,” disse Cluley.

O consultor ainda declarou que isso acontece principalmente porque o
malware espalhado via mensagens instantâneas geralmente não infecta
tantas pessoas quanto o malware espalhado através de maneiras mais
convencionais, como por e-mail. Uma opção é o usuário retornar a uma
mensagem instantânea suspeita e perguntar ao emissor sobre o link. A
ausência de resposta pode indicar que algo está incorreto.

Cluley diz que alguns malwares sofisticados, transmitidos por
mensagens instantâneas, podem gerar uma resposta automática para
enganar o usuário que clica no link. Porém esse não parece ter essa
capacidade. De qualquer forma, ele configura o Skype para o status
de “não perturbe”, que bloqueia chamadas que estão a caminho e outras
notificações, além de também prevenir o usuário de responder a uma
mensagem instantânea, disse Cluley.

Circula pela internet uma nova mensagem que utiliza o endereço
pedrovisckims@hotmail.com como remetente e afirma que a Microsoft divulgou
uma atualização crítica relacionada a arquivos WMF.

Além do remetente, que pode levar o destinatário a acreditar que é
mesmo um comunicado da Microsoft, o texto também segue o estilo dos
comunicados feitos pela empresa.

Segundo a empresa de segurança F-Secure, quem acredita no texto e
clica no link inserido na mensagem instala uma praga virtual (um
backdoor no caso) conhecido como W32/VanBot.CA.

A ameaça infecta outros computadores conectados em rede e permite a
seu criador destruir arquivos, baixar novos programas nocivos para os
equipamentos infectados e controlar remotamente as máquinas para o
envio de e-mails.

Falso boletim de segurança da Microsoft instala vírus

Circula pela internet uma nova mensagem que utiliza o endereço
pedrovisckims@hotmail.com como remetente e afirma que a Microsoft divulgou
uma atualização crítica relacionada a arquivos WMF.

Além do remetente, que pode levar o destinatário a acreditar que é
mesmo um comunicado da Microsoft, o texto também segue o estilo dos
comunicados feitos pela empresa.

Segundo a empresa de segurança F-Secure, quem acredita no texto e
clica no link inserido na mensagem instala uma praga virtual (um
backdoor no caso) conhecido como W32/VanBot.CA.

A ameaça infecta outros computadores conectados em rede e permite a
seu criador destruir arquivos, baixar novos programas nocivos para os
equipamentos infectados e controlar remotamente as máquinas para o
envio de e-mails.

Depois de um ataque à sua rede, a Câmara Municipal de Uberaba (MG)
percebeu que tinha uma internet absolutamente desprotegida e partiu
para uma solução do problema.

Apesar do servidor Linux de e-mail e do provedor de página, o órgão
sofreu uma invasão em que os hackers tiraram a página do ar e
disseminaram um vírus na rede interna.

“Alerta por causa dessa situação, que aconteceu no final de 2006, a
companhia correu atrás de um sistema de forma urgente”, explica o
diretor do departamento de informática da Câmara, Luis Cláudio Silva
Argondizzi.

O caráter da situação e o cenário vulnerável excluíram a necessidade
de uma licitação e o órgão resolveu ouvir a dica da Universidade
local. Assim, foram investidos 13 mil reais em um contrato de um ano
com a Fortinet.

Câmara de Uberaba invadida abandona sistema gratuito de segurança

Depois de um ataque à sua rede, a Câmara Municipal de Uberaba (MG)
percebeu que tinha uma internet absolutamente desprotegida e partiu
para uma solução do problema.

Apesar do servidor Linux de e-mail e do provedor de página, o órgão
sofreu uma invasão em que os hackers tiraram a página do ar e
disseminaram um vírus na rede interna.

“Alerta por causa dessa situação, que aconteceu no final de 2006, a
companhia correu atrás de um sistema de forma urgente”, explica o
diretor do departamento de informática da Câmara, Luis Cláudio Silva
Argondizzi.

O caráter da situação e o cenário vulnerável excluíram a necessidade
de uma licitação e o órgão resolveu ouvir a dica da Universidade
local. Assim, foram investidos 13 mil reais em um contrato de um ano
com a Fortinet.

A empresa de segurança de e-mail Commtouch informou ter registrado
diversos spams no último final de semana contendo anexos de Excel com
nomes de arquivos como “invoice20202.xls” e “stock information-
3572.xls”.

Nas planilhas, os criminosos digitais classificam diversas pequenas
companhias como ótimas oportunidades de investimentos e “prontas para
estourar”. Como eles compraram ações dessas empresas, eles esperam a
alta artificial causada pelo spam enviado a milhares de investidores
para venderem estas ações com lucro.

Spams apostam em arquivos Excel para driblar segurança

A empresa de segurança de e-mail Commtouch informou ter registrado
diversos spams no último final de semana contendo anexos de Excel com
nomes de arquivos como “invoice20202.xls” e “stock information-
3572.xls”.

Nas planilhas, os criminosos digitais classificam diversas pequenas
companhias como ótimas oportunidades de investimentos e “prontas para
estourar”. Como eles compraram ações dessas empresas, eles esperam a
alta artificial causada pelo spam enviado a milhares de investidores
para venderem estas ações com lucro.

Hackers criam novo malware para extorquir usuários

Um ransomware visto no final de 2006 reapareceu nas últimas semanas,
tentando extorquir 300 dólares das vítimas que são alvo do ataque,
afirma uma empresa de pesquisa em segurança da Rússia.

O ransomware é um malware que codifica os arquivos da máquina
infectada e cobra por um software para restaurá-los. Segundo um post
de Aleks Gostev, analista de vírus da Kaspersky Lab Inc. em Moscou, o
trojam GpCode reapareceu.

“...alguns de nossos usuários fora da Rússia nos informaram que seus
documentos, fotos, arquivos etc. viraram um monte de lixo. Um arquivo
chamado ‘read_me.txt’ apareceu no sistema”, conta Gostev.

O arquivo continha a mensagem: “Olá, seus arquivos foram codificados
com o algoritmo RSA-4096. Você precisará de alguns anos para
decodificá-los sem nosso software. Toda sua informação dos últimos
três meses foi enviada para nós. Para decodificar seus arquivos você
precisa de nosso software. Ele custa 300 dólares”.

Os chantagistas afirmam que os arquivos foram codificados com o
algoritmo RSA-4096, isso é falso segundo Gostev. Outra informação
estranha, acrescenta, é o fato de a vida-útil do trojan ser muito
curta: de 10 a 15 de julho.

Gostev suspeita que o chantagista seja russo. “O e-mail é o mesmo que
vimos no LdPinch e Banker (ambos trojans), que são claramente de
origem russa”.

A Kaspersky está trabalhando em um programa para decodificar os
arquivos, esse processo tem sido a única salvação dos atacados por
ransomware. A empresa adverte, “Se você for vítima de algum tipo de
ransomware, nunca deve pagar, contate seu fornecedor de antivírus e realize back up constante”.

Donos da loja de doces até já se acostumaram. O bichinho prefere os ovos de chocolate com brinquedo dentro.


Donos de uma loja de doces em Jyvaskyla, na Finlândia, acostumaram-se a uma visita diária inusitada: um esquilo que rouba chocolate.

Todos os dias o pequeno animal entra na casa e vai direto para a área de chocolates. E ele é exigente: prefere os ovos de chocolate que têm brinquedos dentro.

"Ele remove o papel de embrulho cuidadosamente, come o chocolate e deixa o brinquedo", diz Irene Lindroos, a gerente da loja.

O esquilo é um animal que tem a reputação de ser inteligente. Para Lindroos, até demais.

Estas grandes operárias foram especialmente treinadas por cientistas da Faculdade de Agronomia de Zagreb para que sejam capazes de identificar o cheiro dos explosivos.

Em pouco tempo, elas devem ser levadas a campos minados de verdade na Croácia que, doze anos depois do fim da guerra (1991-1995), ainda possui minas instaladas nas antigas zonas de combate.

"Até agora tivemos excelentes resultados, mesmo que o nível sensorial desejado das abelhas ainda não tenha sido atingido. Isso depende a partir de agora de nossa própria tenacidade", comemora Nikola Kezic, professor da faculdade.

Para ensinar às abelhas a sentirem o cheiro das minas, os treinadores põem pequenas quantidades de TNT em taças e as colocam ao lado dos recipientes onde fica a comida dos insetos. O objetivo é fazê-los associar o odor do explosivo ao do alimento.

"As abelhas voam sobre estas mostras de TNT, mas o odor exalado pelo explosivo de uma mina escondida na terra é muito mais fraco. Nós queremos então que as abelhas sejam atraídas por cheiros menos intensos", explica Kezic.

De acordo com o pesquisador, são necessários apenas quatro dias para treinar estes insetos a rastrarem o cheiro do explosivo.

"Por enquanto, nós ainda não as levaremos para os verdadeiros campos minados. Estamos esperando que este método seja validado", afirma ele. Em breve, este esquadrão antibombas voador será utilizado para controlar as zonas que foram "limpas" pelos métodos clássicos.

"Nenhum campo foi 100% limpo e qualquer método com o qual nós melhoramos a segurança tem um valor inestimável", explica Kezic.

Ainda hoje cerca de 1.100 km2 do território croata, 2% da superfície total do país, são infestados por aproximadamente 250.000 minas e outros explosivos.