segunda-feira, 20 de maio de 2013

Os virus atacam antivirus?


Todos nós já ouvimos falar sobre os vírus digitais que atacam o seu PC e o seu Celular.
Mas você já ouviu falar sobre vírus que atacam o antivírus?
Se já ouviu, sabe como funcionam?
Saiba nessa matéria.




Para esclarecermos esse assunto, usarei o exemplo da kingsoft.

Um tipo de malware que usava o Webshield da Kingsoft, uma das empresas de antivírus mais populares na China, Foi detectado e destrinchado pela AVG em 2011.

 O Webshield é projetado para proteger os usuários contra phishing e sites contaminados. Ele tem duas funções bem conhecidas: o bloqueio da página inicial do Internet Explorer (para que não seja alterado) e redirecionamento de páginas -que são exatamente as que os malwares exploram.

O malware combina módulos da Kingsoft:


Ao analisar as assinaturas digitais, isso se torna mais evidente:


E, então, modifica os arquivos de configuração:


Onde o kws.ini contém configurações de página inicial, claro que cheio de falsas URLs, como podemos ver neste detalhe:


Modifica também o Spitesp.dat, que contém a lista de URLs que é usada para o redirecionamento da página inicial.

Isso significa que, se você tentar acessar essas URLs, será redirecionado para a página inicial ou uma determinada URL já configurada:


Basta dar uma olhada nestas URLs. Podemos ver que alguns dos sites mais populares da Internet também estão inclusos.

Mas,  como este malware utiliza a Kingsoft WebShield para fazer ataques?

Na verdade, este malware é embalado no Nullsoft Install System- NSIS. Abaixo está o script decodificado pela máquina de detecção da AVG:


Primeiro, vemos que este malware procura o processo denominado “KSWebShield.exe” que significa que o Kingsoft WebShield já está em execução. 

Se ela o encontra, irá pará-lo e remover o serviço Kingsoft WebShield.

Depois, o malware copia os módulos de Kingsoft WebShield que precisa para o diretório abaixo:
 


Em seguida, irá mover os arquivos de configuração já mencionados para o diretório que o Webshield lê por default:

 

Por fim, este malware irá instalar e executar o serviço Kingsoft WebShield:


Agora o Kingsoft WebShield, maliciosamente configurado, entrou em vigor. Isso significa que a página inicial do seu browser é falsa, e, se você tentar acessar os URLs listados no arquivo de configuração, você será redirecionado para outras páginas, também falsas.

* Alguns vírus apenas desativam o antivírus, outros porém, desativam e injetam vírus na maquina.

* os métodos utilizados para infectar esse antivírus são os mesmo usados para infectar outros.

 Fonte: AVG.
Marcadores: ,
Comentarios
0 Comentarios

0 comentarios:

Deixe um comentario

Assinar: Postar comentários (Atom)
Tecnologia do Blogger.