18/07/2013
O ressurgimento dos Worms Autorun(vírus de pendrive que cria atalhos nas pastas apontando para arquivo.js)
Nos últimos 2 meses temos observado o ressurgimento de worms criados para se disseminarem em redes locais e unidades removíveis,eles se propagam pelo computador através de vulnerabilidades javas conhecidas.
Oculta as pastas dos usuários e arquivos e no local deixam atalhos apontando para a execução do vírus,a diferença que ao contrário dos outros worms ele executa um arquivos .js que se comunica com o servidor e baixa o restante dos arquivos para infecção da máquina.
Altera todos os navegadores para página de pesquisa com mecanismo de busca do google que são monetizadas pelo adsense,gerando receita ao produtor do vírus de forma fraudulenta.
Uma das páginas conhecidas são:
www(.)brasil-pesquisa(.)pw
pesquisa-brasil(.)net
Que a todo momento que vai abrir os navegadores ou executáveis há uma tentativa de download da a um arquivo .exe,ocasionando acusação pelo antivírus ativo na máquina.
(((((((((((((((((Definições dos worms))))))))))))))))))))))))))
Os worms possuem algumas características semelhantes: forte ofuscação do código, funcionalidades básicas de backdoor e o mesmo método de distribuição. Tanto o Worm.JS.AutoRun quanto o Worm.Java.AutoRun se auto copiam para unidades removíveis e drives de rede, usando arquivos autorun.inf na raiz da unidade. Ao acessarem o recurso compartilhado, os computadores numa rede são infectados e o worm é gravado no registro, iniciando suas funcionalidades de ataque.
Tanto o Worm.JS.AutoRun quanto o Worm.Java.AutoRun são polimórficos, ou seja, eles modif**am seu conteúdo a cada infecção, visando dificultar a detecção e bloquear sua disseminação.
Worm.Java.AutoRun
Malware residente na memória que se utilize do Java para se disseminar não é algo comum, por isso resolvemos análisa-lo em detalhes.
Depois de infectar um computador, o worm se divide em 4 arquivos:
1 – Arquivo .jar: o principal componente da infecção, com nomes diferentes a cada infecção, depois de executado irá se copiar para a pasta %TEMP%\jar_cache*.tmp.
2 – Autorun.inf: é um arquivo de configuração que ativa o recurso de Autorun do worm, quando acessado a partir de uma unidade removível ou compartilhada;
3 – arquivo .DLL: o nome do arquivo é determinado no momento da infecção, a DLL é copiada para a pasta %TEMP%\hsperfdata_%USERNAME%\.
4 – Java.exe: o executável legítimo que está presente nos computadores que o tem instalado, ele é usado pelo worm para carregar-se na memória do computador infectado.
Fragmento do arquivo .class usado pelo Worm.Java.AutoRun
Durante a infecção o arquivo Java.exe é copiado da pasta %ProgramFiles% para a pasta temporária onde está o arquivo a DLL descrita acima, usando um nome de um processo legítimo do sistema, como por exemplo winlogon, csrss, services, etc, instalando-o na inicialização do sistema operacional. Logo depois a praga irá injetar a DLL maliciosa no processo legítimo do Java, e começa a distribuir o arquivo .jar malicioso nas unidades acessíveis, buscando conexão com o C&C, aguardando comandos dos criadores da praga.
Além do polimorfismo, o worm também possui uma forte obfuscação de código, usando para isso o pacote ZelixKlassMaster, visando dificultar a detecção dos antivirus.
Worm.JS.AutoRun
Para se disseminar esse worm usa não somente os métodos descritos acima, através do autorun.inf mas também servidores FTP, catálogos de acesso público, mas também CDs e DVDs quando gravados.
O nome dos arquivos .js nas unidades infectadas costuma ser aleatório, com letras e números, sempre acompanhado de um autorun.inf:
O worm se multiplica copiando-se para o diretório “Inicializar” e assim verif**ando o ambiente em que está instalado. Se o computador infectado é real, ou seja, não se trata de uma máquina virtual, o worm começa procurar por softwares de proteção instalados.
O worm recebe comandos que são baixados através de uma conexão a C&C (central de Controle e Comando). Basicamente os criminosos fazem com que o worm passe a coletar informações do sistema infectado, versão dos produtos de segurança instalados e dados do usuário.
Assim como o Worm.Java.Autorun, o Worm.JS.AutoRun também possui um conteúdo obfuscado que muda de acordo com o sistema infectado.
Propagação do virus
Os paises mais infectados por esses dois worms são aqueles onde o Windows XP é o sistema operacional mais popular(exemplo o ), especialmente os que possuem o recurso Autorun ainda ativo. Em versões mais novas do Windows o recurso é desativado por padrão, o que diminui bastante o risco de infecção.
