Praga não se aloja no disco, apenas na memória RAM. (Foto: Marin Myftiu / SXC)
Um novo malware que explora uma falha no Java e se instala na memória foi descoberto pela Kaspersky Lab. O vírus é disseminado através de uma técnica chamada drive-by-download, onde o usuário não precisa fazer nada para instalar o malware, apenas visitar um site ou abrir um e-mail. Nesse caso, as vítimas são visitantes de conhecidos sites de notícias russos, que carregam banners infectados.
Como funciona
Ao acessar o site, o malware é baixado automaticamente, e explora diretamente uma falha no Java, conhecida como “Java Rhino”. Descoberta em 2011, essa falha permite a injeção do código malicioso no processo legítimo do Java.
Normalmente, os vírus instalam um arquivo no disco após explorar a falha. Nesse caso, o vírus permanece apenas na memória, o que dificulta ainda mais a identificação do malware, já que o mesmo não cria nenhuma entrada no disco rígido da vítima.
Depois de instalado na memória RAM, o vírus passa a agir como um “bot”, enviando uma série de informações a respeito do sistema infectado a um servidor malicioso, como o histórico da vítima e informações técnicas. O servidor envia de volta comandos ao malware.
O vírus também utiliza uma série de métodos para desabilitar o UAC (Controle de Conta do Usuário), responsável por limitar certas modificações, só possíveis a usuários com poderes administrativos.
Por trabalhar apenas na memória do Windows, o malware é “desinstalado” assim que o sistema é reiniciado. Porém, isso não chega a ser um problema aos criadores da praga, argumenta a Kaspersky, porque os sites de notícias são populares e a pessoa voltaria a ser infectada. Além disso, em alguns casos o vírus também é capaz de instalar o trojan Lurk, que rouba senhas bancárias e que ficará de forma permanente no sistema.
Segundo a Kaspersky, a conta de um dos clientes da AdFox estava sendo usada para modificar os banners, inserindo os scripts maliciosos.
Como se proteger
Uma forma de se proteger dessa ameaça é mantendo o Java atualizado. Existe uma correção para a falha, disponível no site da Oracle. Entretanto, o mais aconselhável é desativar por completo o uso do programa dentro do navegador, que é usado por diversos exploits.
Alguns bancos podem necessitar a utilização do Java. Nesse caso é aconselhável usar um navegador diferente do principal ou habilitar o Java temporariamente.
Usuários de qualquer país podem ser vítimas da praga – apesar dela estar atualmente atingindo especialmente internautas russos, já que os banners da AdFox, que estão presentes em diversos sites no mundo todo, estão sendo usados como forma de disseminação.
Criminosos brasileiros já criaram técnicas parecidas, utilizando-se dessa falha,e indicando a atenção dos cibercriminosos em relação a novas vulnerabilidades.
Veja também
- Como funcionam as infecções por applets Java (e como desativar o Java em seu navegador)
Linha Defensiva 