O ressurgimento dos Worms Autorun

Por Colaborador externo | 21 de Junho de 2013 às 07h45

Por Fábio Assolini*

Nos últimos meses temos observado o ressurgimento de worms criados para se disseminarem em redes locais e unidades removíveis (como pen drives), porém numa roupagem diferente do que costumávamos ver até então. Esses worms são escritos em Java, JavaScript ou VBScript e se aproveitam da presença do Java Runtime ou dos interpretadores de linguagem script instalados nos sistemas operacionais para se disseminar com certa facilidade numa rede infectada.

Os worms possuem forte ofuscação de código para dificultar a detecção de antivírus, funcionalidades básicas de backdoor e método de distribuição de auto cópia para unidades removíveis e drives de rede. Ao acessarem o recurso compartilhado, os computadores numa rede são infectados e o worm é gravado no registro, iniciando suas funcionalidades de ataque.

De fato worms autorun não são novos. De acordo com a KSN (Kaspersky Security Network – tecnologia de proteção híbrida) sua detecção se manteve estável nos últimos meses, porém desde março de 2013 temos visto um aumento considerável de novas variantes do worm. Os novos Worm autorun são polimórficos, ou seja, modificam seu conteúdo a cada infecção, dificultando a detecção e o bloqueio de sua disseminação.

Worms Autorun

Estatísticas de detecção de Worm Script entre Abril de 2012 e Maio de 2013

Worms Autorun

Novas detecções dos Worm.JS.AutoRun e Worm.Java.AutoRun , incluindo detecções heurísticas entre Agosto de 2011 a Maio de 2013

Para se disseminar ele usa ainda servidores FTP, catálogos de acesso público e CDs/DVDs gravados nas máquinas infectadas. O worm se multiplica copiando-se para o diretório “Inicializar” e assim verificando o ambiente em que está instalado. Se o computador infectado é real, ou seja, não se trata de uma máquina virtual, o worm começa procurar por softwares de proteção instalados.

Por meio de uma conexão a C&C (central de Controle e Comando), o worm recebe comandos dos criminosos para, basicamente, coletar informações do sistema infectado, versão dos produtos de segurança instalados e dados do usuário.

A detecção do worm tem sido mais prevalente na Ásia, especialmente na Indonésia e Vietnã. Na América Latina foram registradas infecções em empresas no Brasil e na Guatemala. As detecções do worm tem ocorrido em quantidades inferiores se comparadas com outros worm, porém temos observado que sua detecção tem crescido rapidamente.

Worms Autorun

Número de usuários protegidos das infecções Worm.Java.Autorun nos meses de Abril e Maio de 2013

De acordo com dados obtidos pela KSN, a infecção é mais comum em países onde o Windows XP é o sistema operacional mais popular, especialmente os que possuem o recurso Autorun ainda ativo. Nas novas versões do Windows o recurso é desativado por padrão, o que diminui bastante o risco de infecção. Manter os sistemas atualizados é o primeiro passo para proteção, instalando pelo menos as atualizações críticas, como a que desativa o Autorun. Sistemas não originais, onde geralmente as atualizações de segurança são desativadas são os que correm mais riscos.

*Fábio Assolini é analista de malware sênior da Kaspersky Lab no Brasil

Canaltech no Facebook

Mais de 370K likes. Curta nossa página você!