Home > Notícias

Sem ataques evidentes, novo malware desafia empresas de segurança

Disfarçado em spams, praga conhecida como "Warezov," "Stration" ou "Stratio" obriga correções constantes por mutações em seu código

Por Jeremy Kirk, para o IDG Now!*

31/10/2006 às 10h22

Foto:

Disfarçado em spams, praga conhecida como "Warezov," "Stration" ou "Stratio" obriga correções constantes por mutações em seu código

Um novo programa malicioso se tornou prevalente em spams, mas experts não sabem o que seus criadores pretendem fazer com o software.

Muitos fabricantes estão classificando o malware, chamado de "Warezov," "Stration" ou "Stratio", como de baixo risco, mas todos concordam que ainda é difícil lidar com a praga.

O malware é um worm em massa que afeta máquinas rodando o sistema operacional Windows. Quando o malware infecta o computador - geralmente após o usuário ter aberto um anexo contendo a praga em um spam -, ele se envia para outros endereços eletrônicos encontrados na máquina.

O código é capaz de baixar atualizações a cada 30 minutos a partir de diversos sites, disse Mikko Hypponen, chief research office da F-Secure.

As novas versões são criadas por um programa em um servidor controlador por um cracker, disse Hypponen.

No passado, malware ganhou popularidade por criar variações próprias, mas o código para criar estas variações estava contidas dentro da praga. Quando uma amostra era obtida, analistas de segurança poderiam estudá-la e identificar novas versões em potencial, disse ele.

Neste caso, o programa do hacker está compilando o código e divulgando rapidamente novas versões, mas analistas não sabem como o novo código é gerado.

Esta característica é uma dor de cabeça para empresas de segurança que divulgaram atualizações especiais para que seus softwares detectassem a praga. Só a F-Secure divulgou 150 vacinas diferentes para o malware.

"Está se tornando muito complexo detectar um ataque como este pelas mudanças constantes do código", disse Hypponen.

A empresa de segurança Sophos detectou mais de 300 versões do malware. Em outubro, a praga era um dos pedaços de código malicioso mais corriqueiro em mensagens não solicitadas, disse Carole Theriault, consultor-sênior da Sophos.

Como máquinas infectadas procuram por outros domínios para receber códigos atualizados, a F-Secure tem trabalhado com provedores de internet para fechar domínios que hospedem novas variantes. Até agora, 90% dos domínios foram fechados.

Estranhamente, o malware parece não fazer nada no computador da vítima. Hypponen estima que deve haver cerca de "centenas de milhares PCs infectados", um número considerável, mas pequeno comparado a infecções em massa detectadas em outras ocasiões.

Um cracker poderia esperar por um número definido e máquinas infectadas para começar um ataque do tipo "negação de serviço", enviar spams ou alugar a rede para spammers, disse Hypponen.

"Esperamos descobrir um dia o que está sendo feito", disse Hypponen. "Torcemos para que não seja algo tão ruim".

*Jeremy Kirk é editor do IDG News Service, em Londres.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail