Aprenda a lidar com links suspeitos sem colocar a integridade de seu PC em risco
Nem mesmo o melhor software de segurança poderá protegê-lo da dor de cabeça que você terá se clicar em um link malicioso. Eles chegam disfarçados como links para vídeos engraçados, notícias chocantes, promoções imperdíveis ou botões de “Curtir”, mas na verdade foram projetados para facilitar o roubo de informações e outros tipos de ataque ao seu computador.
Até mesmo seus amigos podem disseminar, sem querer, links maliciosos em mensagens de e-mail, recados no Facebook ou mensagens instantâneas. Muitas vezes eles nem sabem que isto está acontecendo, já que o computador pode estar agindo “por conta própria” depois que eles mesmos clicaram em um link similar. Você também encontrará estes links em propagandas na web e resultados de buscas.
Use as dicas a seguir para analisar links suspeitos e identificar possíveis ameaças. Todas as soluções aqui mencionadas são gratuitas, e você não precisará instalar nada no computador.
Pare o cursor sobre o link
É muito comum um link “mascarar” o verdadeiro endereço de destino. Se você parar a setinha do mouse sobre ele, sem clicar, verá no rodapé da janela do navegador o endereço real para onde ele aponta. Quer um exemplo? www.cliqueparaganharipadgratis.com parece uma promoção imperdível, mas pare a setinha sobre o link e preste atenção… ele leva para o site do Seumicroseguro! Entendeu o truque? Se você suspeita que um link leva a um lugar diferente de onde deveria, não clique!
Use um analisador de links
Um analisador de links (Link Scanner) é um site ou complemento para o navegador que, como o nome diz, analisa um link e a página para onde ele aponta para identificar se há alguma ameaça oculta. Há muitos analisadores gratuitos, mas recomendamos que você experimente o URLVoid, já que ele passa o link por vários serviços de uma só vez, como o Google, MyWOT e Norton SafeWeb, e relata os resultados rapidamente.
Fique de olho em links encurtados
O URLVoid ainda não consegue lidar corretamente com links encurtados com serviços como o Bit.ly, Ow.ly e TinyURL, então para analisá-los você deve usar uma outra ferramenta, como o Sucuri. Este serviço “expande” o link e o repassa a serviços como o Google, Norton SafeWeb e PhishTank, que o analisam em busca de ameaças e retornam o resultado. Você também pode usar o Sucuri para links não encurtados, mas o URLVoid usa mais fontes para analisar um link, e portanto tem melhores resultados.
Copie um link do jeito certo
Serviços como o URL Void e o Sucuri exigem que você digite ou cole o link suspeito, mas como copiá-lo sem correr o risco de abri-lo por engano? Fácil: clique com o botão direito do mouse sobre o link para abrir um menu contextual e escola a opção Copiar atalho (no Internet Explorer), Copiar Link (Firefox) ou Copiar endereço do link (Chrome). Pronto, o endereço agora está na área de transferência do Windows, e você pode colá-lo (basta digitar Ctrl+V) com segurança em qualquer campo de texto num dos sites acima.
Agradeço ao Vanderlei, nosso amigo e colaborador deste site, pela referência a esta notícia.
O pessoal do site Linha Defensiva analisou um Trojan brasileiro que usa uma técnica especial para injetar seu código no sistema.
A técnica consiste em substituir o boot loader por um arquivo especialmente preparado para inicializar o Windows e ao mesmo tempo executar o código malicioso, dificultando a remoção e a identificação da praga.
A novidade do vírus encontrado pelo pessoal do site Linha Defensiva é que a técnica foi adotada com sucesso no Windows 7, mesmo em 64 bits.
Até agora, os vírus brasileiros só usavam essa técnica no XP.
Por algum motivo, a praga é instável no Windows XP. Nos testes da Linha Defensiva, a instalação do vírus destruiu o sistema, que ficou travado em uma tela da Ferramenta de Remoção de Software Mal-intencionado (MSRT) da Microsoft.
O vírus analisado é um Banker – praga que busca roubar senhas de bancos. Os componentes da praga têm mais de 25 MB de tamanho. A utilização de técnicas complexas como essa dificulta a identificação e a remoção do vírus, além de dar prioridade à praga, para que ela consiga remover softwares de segurança.
Entenda como funciona
Ao ligar o computador, o processador procura em determinados locais específicos um software que é capaz de iniciar o sistema operacional. Esse programa é chamado boot loader. É um arquivo que contém uma série de instruções para carregar o sistema operacional.
O trojan substitui o boot loader padrão do Windows pelo boot loader malicioso, que nada mais é do que o GRUB – um boot loader legítimo usado no Linux – especialmente modificado para executar outros arquivos maliciosos durante o carregamento do sistema operacional.
Em dezembro a Kaspersky analisou outro vírus brasileiro que substitui o ntldr, o boot loader do Windows XP. O vírus identificado pela Linha Defensiva também é capaz de substituir o bootmgr (boot loader usado no Windows Vista e mais novos) no Windows 7, tanto em 32 como em 64 bits.
O vírus contém defeitos no código e o sistema ficou instável após a instalação da praga, reiniciando constantemente. No entanto, percebe-se o interesse dos criminosos em criar pragas compatíveis com Windows 64 bits, que é uma plataforma nativamente mais robusta e segura do que os 32 bits.
Agradeço ao Vanderlei, nosso amigo e colaborador deste site, pela referência a esta notícia.
Ouviu falar que o FBI irá “desligar” a Internet neste mês?
Como muitos boatos circulando por aí, este terrível aviso está rodando em blogs e sites. Ele ainda cita uma data: 8 de março como o dia em que o FBI pode “desligar a Internet.” Mas relaxe, não é realmente o caso.
Embora sim, um número incontável de pessoas possam perder sua conexão com a Internet em menos de três semanas, se isso acontecer é culpa de cibercriminosos, e não do FBI.
Se pessoas ficarem offline em 8 de março, é porque ainda estão infectados com um malware sobre o qual o FBI alertou em novembro do ano passado. Naquele mês, a polícia federal dos EUA fechou um esquema hospedado na Estônia, que usava vírus capazes de sequestrar a conexão do usuário (DNS changer).
O malware funciona substituindo os servidores DNS (Domain Name System) definidos no computador da vítima, apontando para endereços fraudulentos operados pelos criminosos. Como resultado, os visitantes são redirecionados, sem saber, para sites que distribuem software fraudulento ou exibem anúncios lucrativos para o cibercrime.
A pior parte: o malware também impede atualizações de segurança e desativa softwares de segurança da máquina.
Para ajudar a proteger as vítimas, o FBI substituiu os servidores desonestos por legítimos – uma medida da agência disse que entraria em vigor por 120 dias. Se não tivesse feito isso e simplesmente desligado os servidores criminosos em novembro, os computadores infectados teriam sido imediatamente impedidos de acessar a Internet.
Portanto, o problema atual não é que o FBI vai desligar a Internet quando os 120 dias terminarem em 8 de março. É que muitas pessoas e organizações não removeram o malware de seus computadores. Na verdade, metade das empresas Fortune 500 e agências governamentais estão contaminadas, de acordo com alguns relatórios.
E o que fazer?
Então, como você sabe se seu computador ou roteador está infectado com DNSChanger?
Você poderá saber acessando este site http://www.dns-changer.eu/en/check.html e realizando o teste proposto.
A Qualys também oferece ferramenta gratuita para que o usuário verifique se seu computador está infectado com o DNS Changer. Seu teste também possibilita verificar a atualização de complementos e plugins.
O FBI diz que a melhor maneira de saber é por um profissional de informática, uma informação reconhecidamente não muito útil.
No entanto, ele oferece um guia [PDF] com orientação para fazer essa checagem, embora, mesmo se você descobrir que seu sistema está infectado, o FBI diz que você ainda precisa de um profissional para limpar sua máquina.
Como alternativa, você pode usar o Avira Repair Tool DNS para descobrir se um computador está usando um dos servidores temporários DNS. Infelizmente, a ferramenta só funciona em Windows e não remove o Trojan.
De fato, a remoção do malware é um desafio, e muitas pessoas ficarão sem acesso à Internet em 8 de março, diz o site de segurança KrebsonSecurity.
Para obter ajuda, os administradores de rede podem enviar uma solicitação para um dos membros doo DNSChanger Working Group, e usuários domésticos podem usar as instruções passo-a-passo no site da DCWG para ver se estão infectados com o malware.
Se você descobrir que seu PC está infectado, você pode começar do zero e reinstalar seu sistema operacional, ou seguir o conselho do FBI e obter ajuda de um profissional, se quiser permanecer on-line após 08 de março.
Agradeço ao Vanderlei e Samuel Lins, amigos e colaboradores deste site, por colaborarem com referências a esta notícia.
O F-Prot é um antivírus tradicional que baseia a sua proteção em assinaturas de detecção e no uso de heurística.
Oferece proteção em tempo real contra vírus, Trojans e worms presentes em e-mails e sites da Internet. Oferece opções de agendamento prévio de escaneamentos e tarefas específicas.
Segundo o seu fabricante cuja sede fica na Islândia, o F-Prot faz uso de uma tecologia de heurística avançada capaz de detectar a presença de ameaças novas ou muito recentes, garantindo assim uma proteção efetiva para o computador.
A versão 6.0 tras como sua principal novidade a capacidade de escaneamento de arquivos compactados como Zip, 7Z, RAR e CAB.
Prós • Proteção antivírus eem tempo real • Atualização rápida de sua base de dados • Boa capacidade de detecção de exploits
Contras • Baixa detecção de ameaças • Ausência de um detector de comportamento • Escaneamento completo demorado • Elevado consumo de memória RAM
Segurança: ♦ ♦ (Regular)
Performance: ♦ ♦ (Regular)
Neste teste, o PC Tools F-Prot v6.0 é colocado frente a vários links contendo arquivos nocivos. Assista ao vídeo e conheça os resultados e a performance dele frente às ameaças a que foi exposto:
A Bitdefender® localizou um novo trojan que aproveita uma vulnerabilidade do Windows para permanecer oculto e ativo nos computadores infectados.
De fato, este trojan, denominado Trojan. Dropper.UAJ modifica dll vital do sistema (comres.dll) obrigando fazendo com que todos os aplicativos que precisam desta dll a executar também esta ameaça.
A novidade deste trojan é o fato de que busca o arquivo comres.dll original, modifica-o e depois guarda-o na sua localização original. A modificação da DLL inclui um código que pode agregar ou eliminar usuários, modificar senhas, adicionar ou eliminar privilégios de usuário e executar arquivos.
Com esta alteração, os cibercriminosos conseguem que a parte maliciosa do arquivo seja executada toda a vez que a DLL original. seja inicializada.
A tática utilizada até ao aparecimento deste trojan tão inovador era simples: o malware copiava-se para o mesmo lugar e com o mesmo nome que a DLL original, substituindo-a, mas desta maneira eram fáceis de detetar. Com a modificação da DLL original e a sua posterior restituição ao lugar de origem, este trojan pode se ocultar de forma muito melhor.
“Os cibercriminosos elegeram o arquivo comres.dll porque é muito utilizado pela maioria dos browsers da Internet, e alguns aplicativos ou ferramentas de comunicação na rede, o que o torna muito popular e, basicamente, indispensável para o sistema operacional”, explica Catalin Cosoi, Chief Security Researcher da Bitdefender.
O Trojan.Dropper.UAJ pode executar-se no Windows 7, Windows Vista, Windows, Windows 2003, Windows 2000 e Windows NT em ambientes de 32 e 64 bits.
Agradeço ao Vanderlei, nosso amigo e colaborador do Seu micro seguro, pela referência a esta notícia.
