Ótimo artigo que achei lá no Blog Da Kaspersky Brazil:
Nos últimos meses temos observado o ressurgimento de worms criados para se disseminarem em redes locais e unidades removíveis, porém numa roupagem diferente do que haviamos visto até então. Esses worms são escritos em Java, JavaScript ou VBScript, se aproveitam da presença do Java Runtime ou dos interpretadores de linguagem script instalados nos sistemas operacionais para se disseminar com certa facilidade numa rede infectada.
Nossos produtos tem detectado esses worms com os nomes Worm.JS.AutoRun e Worm.Java.AutoRun. Eles também são detectados heuristicamente com o nome Worm.Script.Generic e HEUR: Worm.Java.Generic, respectivamente.
Os worms possuem algumas características semelhantes: forte obfuscação do código, funcionalidades básicas de backdoor e o mesmo método de distribuição. Tanto o Worm.JS.AutoRun quanto o Worm.Java.AutoRun se auto copiam para unidades removíveis e drives de rede, usando arquivos autorun.inf na raiz da unidade. Ao acessarem o recurso compartilhado, os computadores numa rede são infectados e o worm é gravado no registro, iniciando suas funcionalidades de ataque.
De fato worms autorun não são novos, de acordo com a KSN (Kaspersky Security Network) sua detecção se manteve estável nos últimos meses, porém nós ultimos 2 meses temos visto um aumento considerável de novas modificações:
Tanto o Worm.JS.AutoRun quanto o Worm.Java.AutoRun são polimórficos, ou seja, eles modificam seu conteúdo a cada infecção, visando dificultar a detecção e bloquear sua disseminação.
Vamos nesse artigo detalhar o funcionamento dos dois worms e como prevenir esse tipo de infecção em ambientes corporativos.
Worm.Java.AutoRun
Malware residente na memória que se utilize do Java para se disseminar não é algo comum, por isso resolvemos análisa-lo em detalhes.
Depois de infectar um computador, o worm se divide em 4 arquivos:
1 – Arquivo .jar: o principal componente da infecção, com nomes diferentes a cada infecção, depois de executado irá se copiar para a pasta %TEMP%\jar_cache*.tmp.
2 – Autorun.inf: é um arquivo de configuração que ativa o recurso de Autorun do worm, quando acessado a partir de uma unidade removível ou compartilhada;
3 – arquivo .DLL: o nome do arquivo é determinado no momento da infecção, a DLL é copiada para a pasta %TEMP%\hsperfdata_%USERNAME%\.
4 – Java.exe: o executável legítimo que está presente nos computadores que o tem instalado, ele é usado pelo worm para carregar-se na memória do computador infectado.
Durante a infecção o arquivo Java.exe é copiado da pasta %ProgramFiles% para a pasta temporária onde está o arquivo a DLL descrita acima, usando um nome de um processo legítimo do sistema, como por exemplo winlogon, csrss, services, etc, instalando-o na inicialização do sistema operacional. Logo depois a praga irá injetar a DLL maliciosa no processo legítimo do Java, e começa a distribuir o arquivo .jar malicioso nas unidades acessíveis, buscando conexão com o C&C, aguardando comandos dos criadores da praga.
Além do polimorfismo, o worm também possui uma forte obfuscação de código, usando para isso o pacote ZelixKlassMaster, visando dificultar a detecção dos antivirus.
Worm.JS.AutoRun
Para se disseminar esse worm usa não somente os métodos decritos acima, através do autorun.inf mas também servidores FTP, catálogos de acesso público, mas também CDs e DVDs quando gravados.
O worm se multiplica copiando-se para o diretório “Inicializar” e assim verificando o ambiente em que está instalado. Se o computador infectado é real, ou seja, não se trata de uma máquina virtual, o worm começa procurar por softwares de proteção instalados.
O worm recebe comandos que são baixados através de uma conexão a C&C (central de Controle e Comando). Basicamente os criminosos fazem com que o worm passe a coletar informações do sistema infectado, versão dos produtos de segurança instalados e dados do usuário.
Assim como o Worm.Java.Autorun, o Worm.JS.AutoRun também possui um conteúdo obfuscado que muda de acordo com o sistema infectado.
A detecção do worm tem sido mais prevalente na Ásia, especialmente na Indonésia e Vietnã. Na América Latina foram registradas infecções em empresas no Brasil e na Guatemala.
As detecções do Worm.JS.Autorun tem ocorrido em quantidades inferiores se comparadas com o Worm.Java.Autorun, porém temos observado que sua detecção tem crescido rapidamente
Mitigação
De acordo com dados obtidos pela KSN, os paises mais infectados por esses dois worms são aqueles onde o Windows XP é o sistema operacional mais popular, especialmente os que possuem o recurso Autorun ainda ativo. Em versões mais novas do Windows o recurso é desativado por padrão, o que diminui bastante o risco de infecção.
Manter os sistemas atualizados é o primeiro passo para proteção, instalando pelo menos as atualizações críticas, como a que desativa o Autorun. Para ajudar a proteger um ambiente corporativo, o Kaspersky Endpoint Security for Business traz recursos avançados que ajudam os administradores de rede a proteger o ambiente corporativo contra a disseminação desses worms, além de outras pragas mais antigas que ainda continuam a afetar empresas brasileiras; entre elas destacamos o Kido (aka Conficker) e o file-infector Sality.
O recurso “Atualizações do Windows” permite a um administrador gerenciar a instalação das atualizações críticas nos endpoints da rede, permitindo que as mesmas sejam instaladas remotamente:
O recurso “Controle de Dispositivo” permite bloquear o uso de unidades removíveis como pendrives, HDs externos, CDs, DVDs, etc, permitindo que o recurso seja habilitado apenas em endpoints ou dispostivos previamente selecionados:
Esse gerenciamento é mandatório para evitar que tais infecções se disseminem num ambiente corporativo.
Todos os Créditos vai Para a Equipe da Brazil Kaspersky desse ótimo artigo
Nos últimos meses temos observado o ressurgimento de worms criados para se disseminarem em redes locais e unidades removíveis, porém numa roupagem diferente do que haviamos visto até então. Esses worms são escritos em Java, JavaScript ou VBScript, se aproveitam da presença do Java Runtime ou dos interpretadores de linguagem script instalados nos sistemas operacionais para se disseminar com certa facilidade numa rede infectada.
Nossos produtos tem detectado esses worms com os nomes Worm.JS.AutoRun e Worm.Java.AutoRun. Eles também são detectados heuristicamente com o nome Worm.Script.Generic e HEUR: Worm.Java.Generic, respectivamente.
Os worms possuem algumas características semelhantes: forte obfuscação do código, funcionalidades básicas de backdoor e o mesmo método de distribuição. Tanto o Worm.JS.AutoRun quanto o Worm.Java.AutoRun se auto copiam para unidades removíveis e drives de rede, usando arquivos autorun.inf na raiz da unidade. Ao acessarem o recurso compartilhado, os computadores numa rede são infectados e o worm é gravado no registro, iniciando suas funcionalidades de ataque.
De fato worms autorun não são novos, de acordo com a KSN (Kaspersky Security Network) sua detecção se manteve estável nos últimos meses, porém nós ultimos 2 meses temos visto um aumento considerável de novas modificações:
Estatísticas
de detecção de Worm Script entre Abril de 2012 e Maio de 2013
Tanto o Worm.JS.AutoRun quanto o Worm.Java.AutoRun são polimórficos, ou seja, eles modificam seu conteúdo a cada infecção, visando dificultar a detecção e bloquear sua disseminação.
Novas detecções dos Worm.JS.AutoRun e
Worm.Java.AutoRun , incluindo detecções heuristicas entre Agosto de 2011 a Maio
de 2013
Vamos nesse artigo detalhar o funcionamento dos dois worms e como prevenir esse tipo de infecção em ambientes corporativos.
Worm.Java.AutoRun
Malware residente na memória que se utilize do Java para se disseminar não é algo comum, por isso resolvemos análisa-lo em detalhes.
Depois de infectar um computador, o worm se divide em 4 arquivos:
1 – Arquivo .jar: o principal componente da infecção, com nomes diferentes a cada infecção, depois de executado irá se copiar para a pasta %TEMP%\jar_cache*.tmp.
2 – Autorun.inf: é um arquivo de configuração que ativa o recurso de Autorun do worm, quando acessado a partir de uma unidade removível ou compartilhada;
3 – arquivo .DLL: o nome do arquivo é determinado no momento da infecção, a DLL é copiada para a pasta %TEMP%\hsperfdata_%USERNAME%\.
4 – Java.exe: o executável legítimo que está presente nos computadores que o tem instalado, ele é usado pelo worm para carregar-se na memória do computador infectado.
Fragmento do arquivo .class usado pelo
Worm.Java.AutoRun
Durante a infecção o arquivo Java.exe é copiado da pasta %ProgramFiles% para a pasta temporária onde está o arquivo a DLL descrita acima, usando um nome de um processo legítimo do sistema, como por exemplo winlogon, csrss, services, etc, instalando-o na inicialização do sistema operacional. Logo depois a praga irá injetar a DLL maliciosa no processo legítimo do Java, e começa a distribuir o arquivo .jar malicioso nas unidades acessíveis, buscando conexão com o C&C, aguardando comandos dos criadores da praga.
Além do polimorfismo, o worm também possui uma forte obfuscação de código, usando para isso o pacote ZelixKlassMaster, visando dificultar a detecção dos antivirus.
Worm.JS.AutoRun
Para se disseminar esse worm usa não somente os métodos decritos acima, através do autorun.inf mas também servidores FTP, catálogos de acesso público, mas também CDs e DVDs quando gravados.
O
nome dos arquivos .js nas unidades infectadas costuma ser aleatório,
com letras e números, sempre acompanhado de um autorun.inf:
O worm se multiplica copiando-se para o diretório “Inicializar” e assim verificando o ambiente em que está instalado. Se o computador infectado é real, ou seja, não se trata de uma máquina virtual, o worm começa procurar por softwares de proteção instalados.
O worm recebe comandos que são baixados através de uma conexão a C&C (central de Controle e Comando). Basicamente os criminosos fazem com que o worm passe a coletar informações do sistema infectado, versão dos produtos de segurança instalados e dados do usuário.
Assim como o Worm.Java.Autorun, o Worm.JS.AutoRun também possui um conteúdo obfuscado que muda de acordo com o sistema infectado.
Código do Worm.JS.Autorun
A detecção do worm tem sido mais prevalente na Ásia, especialmente na Indonésia e Vietnã. Na América Latina foram registradas infecções em empresas no Brasil e na Guatemala.
Distribuição geográfica das detecções
do Worm.JS.AutoRun (Janeiro a Maio de 2013)
As detecções do Worm.JS.Autorun tem ocorrido em quantidades inferiores se comparadas com o Worm.Java.Autorun, porém temos observado que sua detecção tem crescido rapidamente
Número de usuários protegidos das
infecções Worm.Java.Autorun nos meses de Abril e Maio de 2013
Mitigação
De acordo com dados obtidos pela KSN, os paises mais infectados por esses dois worms são aqueles onde o Windows XP é o sistema operacional mais popular, especialmente os que possuem o recurso Autorun ainda ativo. Em versões mais novas do Windows o recurso é desativado por padrão, o que diminui bastante o risco de infecção.
Manter os sistemas atualizados é o primeiro passo para proteção, instalando pelo menos as atualizações críticas, como a que desativa o Autorun. Para ajudar a proteger um ambiente corporativo, o Kaspersky Endpoint Security for Business traz recursos avançados que ajudam os administradores de rede a proteger o ambiente corporativo contra a disseminação desses worms, além de outras pragas mais antigas que ainda continuam a afetar empresas brasileiras; entre elas destacamos o Kido (aka Conficker) e o file-infector Sality.
O recurso “Atualizações do Windows” permite a um administrador gerenciar a instalação das atualizações críticas nos endpoints da rede, permitindo que as mesmas sejam instaladas remotamente:
O recurso “Controle de Dispositivo” permite bloquear o uso de unidades removíveis como pendrives, HDs externos, CDs, DVDs, etc, permitindo que o recurso seja habilitado apenas em endpoints ou dispostivos previamente selecionados:
Esse gerenciamento é mandatório para evitar que tais infecções se disseminem num ambiente corporativo.
Todos os Créditos vai Para a Equipe da Brazil Kaspersky desse ótimo artigo
0 comentários:
Postar um comentário