domingo, 8 de julho de 2012

Máquinas infectadas sofrerão apagão na próxima segunda-feira (09/07)

Usuários com máquinas infectadas pelo malware DNSChanger devem ficar atentos: na próxima segunda-feira (09/07), o FBI vai desligar os servidores que disponibilizam internet para esses PCs contaminados em um apagão mundial. 


Internet
O DNSChanger é um vírus que modifica as configurações de DNS dos computadores (Windows ou Mac OS X) e redireciona páginas e resultados de pesquisas dos usuários para sites infectados ou de origem maliciosa. Ele também bloqueia o acesso a links que possam oferecer soluções para limpar a máquina dessa ameaça. 

Em novembro de 2011, autoridades americanas prenderam seis homens na Estônia pela criação e disseminação do DNSChanger. Segundo o próprio FBI, omalware atinge computadores em mais de 100 países, incluindo meio milhão de PCs nos Estados Unidos e seis mil no Brasil.

Para encontrar formas de erradicar o vírus, o FBI conseguiu uma ordem judicial para substituir os servidores infectados por novos aparelhos juntamente com especialistas do site DCWG, além de recorrer a uma empresa privada para instalar dois servidores de "limpeza" para combater o malware em máquinas e dispositivos contaminados. O problema é que esse sistema de segurança é temporário e o prazo de validade acaba ao meio-dia de 9 de julho de 2012.

Desde o início de junho deste ano, o FBI tem notificado as vítimas do vírus para que limpem seus computadores e evitem o apagão. A organização americana até disponibilizou um relatório completo sobre o DNSChanger (clique aqui para acessar).

Como saber se seu PC está infectado?

O Facebook e o Google, por exemplo, avisam os internautas com alertas em caso de qualquer site suspeito que possa comprometer a máquina. Na página do DCWG, é possível acessar ferramentas para resolver o problema.

A McAfee também disponibilizou um recurso em seu site para ajudar os usuários, tanto consumidores como funcionários de redes corporativas, a identificar se foram afetados pelo DNSChanger. Para acessar o serviço, siga as instruções:

  1. Acesse mcafee.com/dnscheck;
  2. Clicar no botão "Check Now" (que em português significa "Verificar Agora") para identificar se o computador foi infectado pelo DNSChanger;
  3. Se o computador estiver infectado, você será redirecionado para uma página que oferecerá uma solução gratuita para remoção do DNSChanger e atualizará suas configurações de internet;
  4. Se o computador não estiver infectado, você recebe automaticamente a mensagem em sua tela "Congratulations, you are OK" ("Parabéns! Seu PC está bem") e nenhuma ação adicional será necessária.
É importante lembrar também que ter um antivírus é bom e, sob qualquer suspeita de link malicioso, jamais clique ou permita a instalação de serviços desconhecidos. Dessa forma, você garante um pouco mais de segurança para sua máquina e seus dados pessoais.



Fonte: Olhar Digital

quarta-feira, 13 de junho de 2012

Criminosos brasileiros criam página para roubar vale-alimentação






E-mail falso usando o nome da Sodexo. (Foto: Reprodução)

A marca Sodexo está sendo utilizada por criminosos para roubar dados de cartões de vale-alimentação operados pela empresa. O golpe utiliza-se de um e-mail falso que envia a vítima para uma página clonada (phishing).
No corpo da mensagem existe uma informação de que o cartão encontra-se bloqueado por falta de atualização cadastral no sistema e que para evitar o cancelamento é necessário acessar o site para a regularização. Caso a vítima clique no botão “Sodexo.com”, um direcionamento para o site falso é feito.
O site falso utiliza um formulário para roudar os dados do cartão de alimentação, transporte e outros fornecidos pela Sodexo. Se a vítima digitar o número do cartão, o CPF e a senha, essas informações serão capturadas e enviadas para o criminoso. Em seguida, o navegador será direcionado para a página legítima da Sodexo.


Site clonado solicita dados do cartão da vítima. (Foto: Reprodução)

No momento da análise do golpe, a equipe do ARIS da Linha Defensiva conseguiu identificar uma pasta dentro do site falso que armazena as informações dos cartões das vítimas. O golpe somava um total de 20 vítimas.
Procurada pela Linha Defensiva na quinta-feira, dia 31 de maio, a Sodexo não se pronunciou sobre o golpe até esta terça-feira (12/06).


Pasta encontrada pela Linha Defensiva contendo lista de vítimas do golpe da Sodexo. (Foto: Reprodução)

Autor: Guilherme Scombatti

Vítimas do DNSChanger receberão alerta no Facebook

Servidores DNS do trojan devem ser fechados dia 9 de julho.
Desligamento deixará usuários infectados sem acesso a internet.


Um golpe na rede social Facebook tenta enganar os usuários com a falsa promessa da adição do botão “Não Gosto” ou “não curtir”, algo contrário ao famoso botão do polegar para cima (Curtir) presente na rede. O golpe é distribuído por um app da rede social que instala uma extensão no navegador da vítima.
O golpe foi primeiramente noticiado por sites gregos onde era anunciado em língua inglesa como “Dislike Button“, e, ao que parece, acabou sendo “importado” para o público brasileiro: a mensagem inicial de um aplicativo presente no Facebook está em português.

Página incial do aplicativo usado para promover o golpe na rede social Facebook (Foto: Reprodução)

O scam é distribuído através de solicitações de usuários que já instalaram o falso aplicativo.


Notificação de amigos "infectados" solicitando o uso do app (Foto: Reprodução)

Caso a vítima clique na solicitação e aceite a instalação do aplicativo, acabará dando acesso à informações que estão públicas no Facebook, como id de usuário e outras quaisquer que não sejam privadas.

Solicitação para liberação do aplicativo no Facebook (Foto: Reprodução)
Para que realmente o golpe seja concretizado será necessário que o usuário clique em “Ative o Não Gostar“. Depois será solicitado a instalação de uma extensão para o navegador, que é a responsável por chamar seus amigos e liberar o botão “anti-like”. Uma vez ativado, o aplicativo exibe uma mensagem no mural do usuário sugerindo a amigos o download do suposto botão além de enviar spam.



Falsa extensão distribuída no golpe (Foto: Reprodução)
A extensão tem autorização para adquirir dados em qualquer site que o usuário navegar, visto que ela estará rodando em junto do navegador.
A farsa do “Dislike” realmente adiciona um botão do tipo “Não Curti” em seu perfil, porém caso utilize o botão apenas você poderá ver que não foi curtido alguma publicação.

Botão é adiconado em seu perfil, porém só você pode ver (Foto: Reprodução)

Muito parecido com outros golpes já notificados pela Linha Defensiva, esse afeta usuários dos navegadores Firefox e Chrome além de usuários do navegador Safari da Apple, dando um erro de instalação em outros navegadores. As extensões são baixadas de um servidor francês.
O golpe já afetou mais de 22 mil pessoas, segundo estatísticas presentes ao ativar o aplicativo no Facebook.
O Facebook já afirmou que não incluirá em sua rede o botão “Dislike” — inclusive desenvolvedores são proibidos de utilizar o “Não curti” como nome de aplicação na rede.

Como remover o aplicativo?

Caso você tenha clicado acidentalmente nos links é necessário remover o aplicativo que estará em seus app do Facebook com o nome de “enable dislike button“. Para acessar os aplicativos presentes em seu perfil, clique aqui.
Feito isso agora é necessário remover a extensão de seu navegador que possui o nome de “Dislike It” ou qualquer outra nova extensão desconhecida. Para saber como remover extensões do seu navegador, clique aqui.

Autor: Giovane Martins
Fonte: Linha Defensiva

segunda-feira, 14 de maio de 2012

App da Microsoft faz relatório completo da sua vida no Facebook


Com ferramenta, usuários descobrem quais foram seus posts mais comentados, fotos mais populares e até em que local do mundo vivem seus amigos


Já está disponível o novo aplicativo para Facebook da Microsoft, chamado OfficeBook, que utiliza a inteligência das ferramentas de Office para gerar arquivos Word 2010 contendo os momentos mais importantes registrados na página pessoal na rede social, em determinado período escolhido pelo usuário.
Com ele é possível registrar as principais interações no FB e ainda descobrir quais são os posts mais populares da timeline pessoal, em que parte do mundo os amigos vivem, o percentual de contatos entre homens e mulheres, quais fotos foram mais populares, entre outras curiosidades.
Sua utilização é bem fácil, bastando acessar a página oficial do app e se conectar com sua conta do facebook. Depois disso, o programa irá lhe perguntar sobre qual período você quer descobrir os detalhes de sua vida na rede, desde o dia que criou a sua conta até atualmente. Feito isso, o aplicativo já começa a gerar seu arquivo no formato Word 2010 (docx), que em segundos fica disponível para download e também pode ser salvo, impresso e compartilhado com quem você desejar.
A criação de documentos em PowerPoint e Excel estarão disponíveis em breve.

Fonte: IDG Now

domingo, 13 de maio de 2012

Suas informações em risco: Facebook não garante privacidade


Na rede social que mais cresce no mundo, o sigilo dos dados não é um ponto forte e mesmo nos perfis mais restritos sempre é possível descobrir algo sobre o proprietário.

Por: Jacques Miranda de Oliveira

Depois de pesquisar as redes sociais – em especial o Facebook – e os hábitos dos seus usuários por mais de dois anos, afirmo: por mais controle e segurança que exista na rede social mais popular do mundo, em nenhum grau é possível garantir privacidade.



Por mais que alguém se utilize de instrumentos de privacidade física, como o controle de senhas e limitações de acesso ao seu perfil para apenas determinadas pessoas, o que é exposto no Facebook para este grupo seleto não é objeto de seu controle.

O estudo, conduzido em nível de mestrado na Universidade Braz Cubas de Mogi das Cruzes, deixa claro alguns pontos, principalmente na maneira como cada pessoa interpreta aquilo que vê. Este é um fenômeno semiótico, que quer dizer “a maneira como eu, usuário do Facebook, tiro conclusões a respeito de determinadas pessoas com base em fotos inseridas, textos ou informações sobre o seu perfil”, em outras palavras, aquele que insere informações no Facebook não tem a menor ideia de como será interpretado e fica a mercê de um conceito – ou preconceitos – a respeito.

Todo indivíduo fica à sombra da descoberta por outras pessoas de uma nova identidade a seu respeito, que pode gerar admiração ou repulsa e não falamos de uma análise psicológica, mas sim de um conjunto de fatores que dizem por si só.

A pesquisa analisou algumas “personagens” da internet, incluindo personalidades como: cantores, apresentadores de TV e jogadores de futebol e conseguiu determinar características que certamente não são vistas ao primeiro, segundo, terceiro encontro, por exemplo.

Risco

Algumas pessoas entram no Facebook e acreditam: ali não terão sua intimidade invadida pelo simples fato de limitarem o acesso a determinadas pessoas.

Fazem um paralelo com a ideia: “seria o mesmo que permitir que somente apenas algumas pessoas frequentassem minha casa”. Entretanto, as pessoas podem contar para outras pessoas suas percepções e interpretar da forma que bem entender.

Parafraseando o Big Brother, personagem do livro de Orwell – 1984, pode-se afirmar que não há um caso sequer que não fora possível descobrir algo sobre determinada pessoa. Mesmo no perfil mais discreto e restrito é possível encontrar ou deduzir algo a respeito do proprietário com grandes chances de acerto.

A técnica utilizada para a descoberta das identidades ocultas é a semiótica greimasiana, uma disciplina de origem francesa que estuda os símbolos que o ser humano transmite, seja ao escrever, ao colocar uma foto, ao expor seus hábitos, suas tribos. Com ela, é possível determinar algumas características, em especial o que o usuário pretende dizer disso tudo, ou qual o recado ele quer mandar e nem imagina que está escrito lá.

Recomendação

Para todas as pessoas que não desejam ver suas vidas expostas, não usem as redes sociais, em especial o Facebook.

E não é radicalismo, sim realismo. Entretanto, na condição de especialista em marketing lembro: num mundo moderno, a comunicação é ponto-chave para o sucesso nos negócios, no relacionamento e na vida.

Então, é melhor acostumar-se com o Big Brother do que ficar encapsulado num mundo offline. 
Fonte: Webinsider.uol

Sites pornôs são mais seguros do que sites de carros, saúde e música

Pelo menos é o que afirma a pesquisa realizada pela Symantec e divulgada esta semana. De acordo com o estudo "Internet Security Threat Report", sites de pornografia estão apenas em 10° lugar na lista de domínios mais perigosos. Segundo a empresa de segurança, apenas 2,4% dos sites pornôs estão contaminados com malware, abaixo até de endereços sobre saúde/medicina (2,7%), automotivos (3,8%) e entretenimento/música (3,8%). Na liderança distante, blogs, com quase 20% de endereços contaminados.

Outra descoberta é que sites religiosos e de política possuem o triplo de infecções e ameaças que os pornôs.

Para a Symantec, uma interpretação para este fenômeno é que os donos de sites pornográficos vivem da renda gerada pelos endereços, por isso o cuidado com a segurança.

Em geral, sites contaminados tentam injetar conteúdo malicioso no micro do internauta - este tipo de ataque é conhecido por "drive-by download". Se a máquina do usuário estiver sem um bom antivírus, as chances de ser infectado e nem perceber são grandes.

O relatório afirma que, embora o número de vulnerabilidades na internet tenha caído 20% ano passado, o de ataques maliciosos disparou 81%. Além disso, os cibertaques dirigidos contra empresas estão se espalhando e atingindo organizações de todos os tamanhos.

A empresa afirma ter bloqueado 5,5 bilhões de ataques em 2011. O número de malwares únicos aumentou para 403 milhões, enquanto a quantidade de ataques via web barrados diariamente cresceu 36%.

Ao mesmo tempo, os níveis de spam caíram 20%. O relatório diz que os cibercriminosos estão usando mais os kits de ferramentas (toolkits) para explorar melhor as brechas existentes. Outro movimento é que estão deixando de usar somente o e-mail e adotando também as redes sociais para lançar ataques.

Maiores informações e relatório completo disponíveis aqui.

Fonte: IDG Now!

quinta-feira, 3 de maio de 2012

DLL Injection e Debugging com o Immunity Debugger

Introdução


DLL, Dynamic Link Library, é a forma que o Windows utiliza para compartilhar bibliotecas de funções entre múltiplas aplicações. Internamente uma DLL é bem semelhante a um EXE, utiliza o formato PE e somente uma simples flag diferencia que é uma DLL e não um EXE (essa flag está no IMAGE_FILE_HEADER no campo Characteristics do PE Header). Além disso DLLs geralmente têm mais Exports que os executáveis.

DLL não é um arquivo standalone, se clicarmos duas vezes nela ela não vai executar, necessita de um processo host. Esse processo é o responsável por carregar a DLL para seu espaço de memória através da função LoadLibrary.

Assim como os executáveis, as DLLs também possuem seu entry point (é chamado de DllMain ou DllEntryPoint), que na teoria é o endereço da primeira instrução que será executada pela DLL assim que ela for carregada na memória do processo host. Assim que a LoadLibrary carrega uma DLL na memória, automaticamente ela executa a DllMain.

Para os malwares, as DLLs são ótimos lugares de armazenamento de códigos maliciosos, inclusive por sua análise ser um pouco mais complicada que a de um executável comum. Imagine uma DLL com um packer, se pretendemos retirar a proteção através de debugging temos que carregá-la na memória de um processo e colocar um breakpoint bem no entry point da DLL. Como fazer isso sabendo que um processo pode ter inúmeras DLLs em seu contexto?

É o que veremos agora através de um passo a passo.

Ambiente de testes

Foi utilizado o Immunity Debugger para injetar uma DLL em um processo e colocaremos um Breakpoint no entry point da DLL injetada para realizar o debugging desde a primeira instrução como se fosse um executável normal.

Apenas para título de demonstração o autor utilizou arquivos comuns do Windows, o processo host será o IEXPLORE.EXE e a DLL será a p2p.dll, localizada em “C:\windows\system32\”. O software utilizado é o Immunity Debugger que pode ser baixado aqui, e também é necessária a instalação do Python 2.7 que pode ser obtido aqui.

Injeção de DLL em um processo

Segue o passo a passo do procedimento:

1- Execute normalmente o programa que servirá como processo host da DLL, nesse caso foi utilizado o Internet Explorer.

2- Abra o Immunity Debugger e clique em File – Attach para selecionar o processo no qual o ImmDbg irá anexar para debugar. Será exibida uma janela com todos os processos em execução. Selecione o IEXPLORE e clique em Attach.


3- O ImmDbg irá abrir o processo IEXPLORE.exe em seu ambiente e irá pausar a execução. Queremos injetar uma DLL no processo e parar a execução exatamente no Entry Point da DLL.

Aqui temos um problema, a função que faz a injeção da DLL é a LoadLibrary() e sabemos que quando ela carregar a DLL na memória do processo ela automaticamente executará o entry point da DLL não dando tempo de colocar um breakpoint aí.

Para lidar com isso o ImmDbg possui uma opção, clique em Options – Debugging options e selecione a aba Events. Marque a opção “Break on new module (DLL)” e clique em OK. Assim o debugger irá parar a execução bem após ter carregado a DLL na memória e antes de executar o entry point.


4- Estamos prontos para injetar a DLL. Clique no segundo botão da barra de tarefas do ImmDbg para a abrir a Python Shell.


5- A shell que se abriu nos permite executar comando Python e ter acesso a API Python do debugger. Para obter a documentação da API há o menu ImmLib – Help no próprio ImmDbg ou ainda na pasta de instalação do programa: Immunity Debugger\Documentation\Ref\toc.html.

6- No momento que injetamos a DLL no processo é criada uma nova Thread para essa DLL, então vamos injetar nossa DLL e recuperar e exibir o número da Thread. Para isso digite os seguintes comandos na shell:

>>>thread = imm.injectDll("c:\\p2p.dll")
>>>
>>>print "Thread ID: 0x%X" % thread
Thread ID: 0x134

Injetamos a DLL e já recuperamos o número da nova Thread em um variável, depois exibimos esse número no formato hexadecimal.

7- A DLL foi injetada na memória do processo mas o módulo ainda não foi carregado pela LoadLibrary(). Precisamos executar o programa para que nosso módulo seja chamado. Pode ser que ele não seja o próximo módulo a ser carregado, talvez precisemos executar o programa (F9) mais de uma vez.

Quando pressionarmos F9 para a execução, teremos que ficar de olho na janela de módulos carregados (Window – 3 Executable modules) para descobrir se o nosso está lá. Às vezes o ImmDbg nos apresenta essa janela assim que o módulo é carregado e ele estará destacado em vermelho.

8- Pressione F9 e observe os resultados, caso não tenha carregado a DLL pressione novamente F9 até atingi-la. No momento que carregar o nosso módulo injetado será exibida na janela de módulos essa linha em vermelho:


9- Nosso módulo foi carregado e o entry point da DLL ainda não foi executado. Agora vamos voltar para a Python Shell para colocar um breakpoint no entry point da DLL carregada. Utilize os comandos abaixo.

>>>mod = imm.getModule("p2p.dll")
>>>
>>>print "Module ImageBase: 0x%X" % mod.getBase()
Module ImageBase: 0x4EFB0000
>>>
>>>print "Module EntryPoint: 0x%X" % mod.getEntry()
Module EntryPoint: 0x4EFC22E4
>>>
>>>imm.setBreakpoint(mod.getEntry())
0
>>>

Primeiro atribuímos para uma variável o módulo carregado, em seguida apenas por questões de estudo imprimimos os endereços do ImageBase e EntryPoint do módulo, com as funções getBase() e getEntry() respectivamente. Por fim colocamos o breakpoint exatamente no EntryPoint do módulo. Se olharmos na janela de breakpoint do ImmDbg ele estará lá.


10- Agora retire aquela opção de parar a execução nos módulos e execute o programa novamente com F9 ou com o comando imm.run() no Python Shell. A execução irá parar em nosso breakpoint e a partir daí é só debugar a DLL normalmente.



Conclusão

Essa injeção de DLL com o uso do ImmDebugger não é muito conhecida, é difícil encontrar documentação a respeito e até em uma fonte mais confiável como um livro não apresenta o procedimento de forma precisa, são necessários vários testes até atingir os resultados esperados.