Praga não se aloja no disco, apenas na memória RAM. (Foto: Marin Myftiu / SXC)

Um novo malware que explora uma falha no Java e se instala na memória foi descoberto pela Kaspersky Lab. O vírus é disseminado através de uma técnica chamada drive-by-download, onde o usuário não precisa fazer nada para instalar o malware, apenas visitar um site ou abrir um e-mail. Nesse caso, as vítimas são visitantes de conhecidos sites de notícias russos, que carregam banners infectados.

Como funciona

Ao acessar o site, o malware é baixado automaticamente, e explora diretamente uma falha no Java, conhecida como “Java Rhino”.  Descoberta em 2011, essa falha permite a injeção do código malicioso no processo legítimo do Java.

Normalmente, os vírus instalam um arquivo no disco após explorar a falha. Nesse caso, o vírus permanece apenas na memória, o que dificulta ainda mais a identificação do malware, já que o mesmo não cria nenhuma entrada no disco rígido da vítima.

Depois de instalado na memória RAM, o vírus passa a agir como um “bot”, enviando uma série de informações a respeito do sistema infectado a um servidor malicioso, como o histórico da vítima e informações técnicas. O servidor envia de volta comandos ao malware.

O vírus também utiliza uma série de métodos para desabilitar o UAC (Controle de Conta do Usuário), responsável por limitar certas modificações, só possíveis a usuários com poderes administrativos.

Por trabalhar apenas na memória do Windows, o malware é “desinstalado” assim que o sistema é reiniciado. Porém, isso não chega a ser um problema aos criadores da praga, argumenta a Kaspersky, porque os sites de notícias são populares e a pessoa voltaria a ser infectada. Além disso, em alguns casos o vírus também é capaz de instalar o trojan Lurk, que rouba senhas bancárias e que ficará de forma permanente no sistema.

Segundo a Kaspersky, a conta de um dos clientes da AdFox estava sendo usada para modificar os banners, inserindo os scripts maliciosos.

Como se proteger

Uma forma de se proteger dessa ameaça é mantendo o Java atualizado. Existe uma correção para a falha, disponível no site da Oracle. Entretanto, o mais aconselhável é desativar por completo o uso do programa dentro do navegador, que é usado por diversos exploits.

Alguns bancos podem necessitar a utilização do Java. Nesse caso é aconselhável usar um navegador diferente do principal ou habilitar o Java temporariamente.

Usuários de qualquer país podem ser vítimas da praga – apesar dela estar atualmente atingindo especialmente internautas russos, já que os banners da AdFox, que estão presentes em diversos sites no mundo todo, estão sendo usados como forma de disseminação.

Criminosos brasileiros já criaram técnicas parecidas, utilizando-se dessa falha,e  indicando a atenção dos cibercriminosos em relação a novas vulnerabilidades.

Veja também

Anúncios

Escrito por Giovane Martins

Acadêmico de Filosofia - Licenciatura pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Bolsista de Iniciação Científica do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq), sendo membro do grupo de pesquisas Filosofia e Interdisciplinaridade, sob a orientação do prof. Dr. Agemir Bavaresco. Realiza pesquisas nos seguintes temas: Opinião Pública, Democracia e Representação Política. É pesquisador do Centro de Estudos em Filosofia Americana (CEFA), sob a orientação do prof. Dr. Paulo Ghiraldelli Jr., participando do grupo de pesquisa Filosofia e Subjetividade, da Universidade Federal Rural do Rio de Janeiro (UFRRJ), trabalhando com o tema da teoria das esferas do filósofo alemão Peter Sloterdijk. Membro do GT da ANPOF "Semiótica e Pragmatismo" e membro associado da The Richard Rorty Society. Site pessoal: http://www.giovanemartins.com.br/

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s