Fique atento, fique protegido

Receba as últimas notícias, informações e tendências sobre as suas necessidades de segurança.

Os detalhados alertas de vírus, as últimas dicas e sugestões de como se proteger e pontos de vista da equipe AVG te ajudarão a ficar um passo à frente dos cibercriminosos.

Siga-nos no Facebook Siga-nos no Twitter

Os vírus atacam os antivírus

Normalmente, quando falamos em vírus e antivírus, já os relacionamos com as possíveis detecções e formas de proteção. Mas, e se um malware utilizar um antivírus para fazer seu ataque? Isso soa diferente…

Descobrimos recentemente um novo tipo de malware que usa o Webshield da Kingsoft, uma das empresas de antivírus mais populares na China, para alcançar o seu objetivo. O Webshield é projetado para proteger os usuários contra phishing e sites contaminados. Ele tem duas funções bem conhecidas: o bloqueio da página inicial do Internet Explorer (para que não seja alterado) e redirecionamento de páginas -que são exatamente as que os malwares exploram.

“A Kingsoft WebShield é muito popular e infelizmente, pessoas mal intencionadas descobriram como utilizá-lo para atacar os seus usuários”, comentou Mariano Sumrell, da AVG Brasil.

Os pesquisadores do AVG Virus Lab distrincharam o funcionamento desse novo malware que é apresentado a seguir.O malware combina módulos da Kingsoft:

 

Fica mais claro se analisarmos as assinaturas digitais:

 

E, então, modifica os arquivos de configuração:

 

Onde o kws.ini contém configurações de página inicial, claro que cheio de falsas URLs, como podemos ver neste detalhe:

 

Modifica também o Spitesp.dat, que contém a lista de URLs que é usada para o redirecionamento da página inicial. Isso significa que, se você tentar acessar essas URLs, será redirecionado para a página inicial ou uma determinada URL já configurada:

 

Basta dar uma olhada nestas URLs. Podemos ver que alguns dos sites mais populares da Internet também estão inclusos.

 

E, assim, como este malware utiliza a Kingsoft WebShield para fazer ataques? Na verdade, este malware é embalado no Nullsoft Install System- NSIS. Abaixo está o script decodificadopela máquina de detecção da AVG:

 

Primeiro, vemos que este malware procura o processo denominado “KSWebShield.exe” que significa que o Kingsoft WebShield já está em execução. Se ela o encontra, irá pará-lo e remover o serviço Kingsoft WebShield.

 

Depois, o malware copia os módulos de Kingsoft WebShield que precisa para o diretório abaixo:

 

Em seguida, irá mover os arquivos de configuração já mencionados para o diretório que o Webshield lê por default:

 

Por fim, este malware irá instalar e executar o serviço Kingsoft WebShield:

 

Agora o Kingsoft WebShield, maliciosamente configurado, entrou em vigor. Isso significa que a página inicial do seu browser é falsa, e, se você tentar acessar os URLs listados no arquivo de configuração, você será redirecionado para outras páginas, também falsas.


Publicado em Segurança Doméstica por avg em 16 de June de 2011.
Tags: ,

Deixe seu comentário