Normalmente, quando falamos em vírus e antivírus, já os relacionamos com as possíveis detecções e formas de proteção. Mas, e se um malware utilizar um antivírus para fazer seu ataque? Isso soa diferente…

Descobrimos recentemente um novo tipo de malware que usa o Webshield da Kingsoft, uma das empresas de antivírus mais populares na China, para alcançar o seu objetivo. O Webshield é projetado para proteger os usuários contra phishing e sites contaminados. Ele tem duas funções bem conhecidas: o bloqueio da página inicial do Internet Explorer (para que não seja alterado) e redirecionamento de páginas -que são exatamente as que os malwares exploram.

“A Kingsoft WebShield é muito popular e infelizmente, pessoas mal intencionadas descobriram como utilizá-lo para atacar os seus usuários”, comentou Mariano Sumrell, da AVG Brasil.

Os pesquisadores do AVG Virus Lab distrincharam o funcionamento desse novo malware que é apresentado a seguir.O malware combina módulos da Kingsoft:

 

Fica mais claro se analisarmos as assinaturas digitais:

 

E, então, modifica os arquivos de configuração:

 

Onde o kws.ini contém configurações de página inicial, claro que cheio de falsas URLs, como podemos ver neste detalhe:

 

Modifica também o Spitesp.dat, que contém a lista de URLs que é usada para o redirecionamento da página inicial. Isso significa que, se você tentar acessar essas URLs, será redirecionado para a página inicial ou uma determinada URL já configurada:

 

Basta dar uma olhada nestas URLs. Podemos ver que alguns dos sites mais populares da Internet também estão inclusos.

 

E, assim, como este malware utiliza a Kingsoft WebShield para fazer ataques? Na verdade, este malware é embalado no Nullsoft Install System- NSIS. Abaixo está o script decodificadopela máquina de detecção da AVG:

 

Primeiro, vemos que este malware procura o processo denominado “KSWebShield.exe” que significa que o Kingsoft WebShield já está em execução. Se ela o encontra, irá pará-lo e remover o serviço Kingsoft WebShield.

 

Depois, o malware copia os módulos de Kingsoft WebShield que precisa para o diretório abaixo:

 

Em seguida, irá mover os arquivos de configuração já mencionados para o diretório que o Webshield lê por default:

 

Por fim, este malware irá instalar e executar o serviço Kingsoft WebShield:

 

Agora o Kingsoft WebShield, maliciosamente configurado, entrou em vigor. Isso significa que a página inicial do seu browser é falsa, e, se você tentar acessar os URLs listados no arquivo de configuração, você será redirecionado para outras páginas, também falsas.

Quer melhorar a segurança digital da sua empresa?

A Winco desenvolve há mais de 20 anos soluções de conectividade e segurança digital corporativa para a máxima proteção dos dados da sua empresa. Conheça os nossos produtos:

Winco Firewall – Solução completa UTM com Filtro de Conteúdo.
Winco Talk Manager – Controle e monitore o Skype e o Eikon Messenger da sua empresa.
Winco Cloud VPN – Disponibilize acesso seguro e controlado para os colaboradores externos.
Winco DDNS – Acesse facilmente na internet suas câmeras, computadores e outros dispositivos.