Normalmente, quando falamos em vírus e antivírus, já os relacionamos com as possíveis detecções e formas de proteção. Mas, e se um malware utilizar um antivírus para fazer seu ataque? Isso soa diferente…
Descobrimos recentemente um novo tipo de malware que usa o Webshield da Kingsoft, uma das empresas de antivírus mais populares na China, para alcançar o seu objetivo. O Webshield é projetado para proteger os usuários contra phishing e sites contaminados. Ele tem duas funções bem conhecidas: o bloqueio da página inicial do Internet Explorer (para que não seja alterado) e redirecionamento de páginas -que são exatamente as que os malwares exploram.
“A Kingsoft WebShield é muito popular e infelizmente, pessoas mal intencionadas descobriram como utilizá-lo para atacar os seus usuários”, comentou Mariano Sumrell, da AVG Brasil.
Os pesquisadores do AVG Virus Lab distrincharam o funcionamento desse novo malware que é apresentado a seguir.O malware combina módulos da Kingsoft:
Fica mais claro se analisarmos as assinaturas digitais:
E, então, modifica os arquivos de configuração:
Onde o kws.ini contém configurações de página inicial, claro que cheio de falsas URLs, como podemos ver neste detalhe:
Modifica também o Spitesp.dat, que contém a lista de URLs que é usada para o redirecionamento da página inicial. Isso significa que, se você tentar acessar essas URLs, será redirecionado para a página inicial ou uma determinada URL já configurada:
Basta dar uma olhada nestas URLs. Podemos ver que alguns dos sites mais populares da Internet também estão inclusos.
E, assim, como este malware utiliza a Kingsoft WebShield para fazer ataques? Na verdade, este malware é embalado no Nullsoft Install System- NSIS. Abaixo está o script decodificadopela máquina de detecção da AVG:
Primeiro, vemos que este malware procura o processo denominado “KSWebShield.exe” que significa que o Kingsoft WebShield já está em execução. Se ela o encontra, irá pará-lo e remover o serviço Kingsoft WebShield.
Depois, o malware copia os módulos de Kingsoft WebShield que precisa para o diretório abaixo:
Em seguida, irá mover os arquivos de configuração já mencionados para o diretório que o Webshield lê por default:
Por fim, este malware irá instalar e executar o serviço Kingsoft WebShield:
Agora o Kingsoft WebShield, maliciosamente configurado, entrou em vigor. Isso significa que a página inicial do seu browser é falsa, e, se você tentar acessar os URLs listados no arquivo de configuração, você será redirecionado para outras páginas, também falsas.
Quer melhorar a segurança digital da sua empresa?
- Winco Firewall – Solução completa UTM com Filtro de Conteúdo.
- Winco Talk Manager – Controle e monitore o Skype e o Eikon Messenger da sua empresa.
- Connectas Cloud – Disponibilize acesso seguro e controlado para os colaboradores externos.
- Winco DDNS – Acesse facilmente na internet suas câmeras, computadores e outros dispositivos.
Uma opinião sobre “Os vírus atacam os antivírus”