Halloween: O Top 5 do malware mais assustador

Que código malicioso seria mais assustador se partes sinistras de malware se transformassem em zombies neste Halloween?

CIH (aka Chernobyl)

O CIH é o malware mais antigo desta lista e foi descoberto pela primeira vez em 1998. Este vírus causava problemas tão graves às vítimas que surgia com muita frequência nas notícias e todos os anos parecia ter uma alcunha diferente atribuída pela imprensa. A variante payload.CIH foi a mais popular pelo facto de ocupar os espaços vazios em ficheiros inocentes, tornando a remoção muito difícil – a dimensão desses espaços vazios varia muito, daí a dificuldade na remoção. Por este motivo, a solução na grande maioria dos casos passava por substituir vários ficheiros executáveis. Pior do que isto, se o sistema estivesse infectado no dia 26 de Abril (o aniversário do acidente em Chernobyl) o vírus escrevia nos primeiros megabytes do disco rígido, o que dava origem a erros de ecrã azul e fazia com que o sistema operativo deixasse de funcionar. Em alguns casos o vírus conseguia ainda fazer um flash à BIOS, o que impossibilitava o uso do computador uma vez que escrevia no chip que permite aos PCs iniciarem. Este vírus infectou mais de um milhão de computadores em todo o mundo e continuou a reinar durante muitos anos, mesmo após a última variante ter sido descoberta.

ExploreZip

O ExploreZip é um vírus também antigo, descoberto pela primeira vez em 1999. É do tempo em que os  utilizadores usavam o termo “ataque combinado” para descrever a táctica muito popular dos worms se espalharem através de diversos mecanismos diferentes. Este, em concreto, espalhava-se através de uma resposta a email não lido, com uma cópia para si próprio, para além de procurar por partilhas de rede para onde se pudesse copiar silenciosamente.  Assim que era iniciado, mostrava uma mensagem que parecia indicar que o utilizador tinha executado um ficheiro ZIP corrompido, ou seja, nada de aparentemente anormal. Porém, em plano de fundo, este ficheiro escrevia por cima dos ficheiros .DOC e não só, com zeros, significando que os ficheiros eram destruídos de uma forma que tornava muito difícil a recuperação.

Mebromi

O Mebromi foi descoberto em 2011 e talvez por inspiração na ameaça CIH (aka Chernobyl), escrevia na BIOS para armazenar algum do seu código. Deste modo e deixando o código malicioso fora do disco rígido, os antivírus comuns não conseguiam limpá-lo. Isto significava na grande maioria dos casos uma troca de motherboard ou pelo menos do chip da BIOS.

ZMist

Provavelmente já ouviu falar de vírus polimórficos, que são ameaças que mudam a aparência do seu código para tentarem ludibriar os sistema de análise anti-malware. Embora tentem passar despercebidos, o código utilizado para a mudança é estático e os antivírus acabam por os detectar. Já o ZMist, descoberto em 2002, era considerado um vírus metamórfico porque levava ainda mais longe este conceito. Para além de mudar a sua aparência continha código que permitia uma recompilação total, tornando extremamente difícil a detecção com as tecnologias que estavam disponíveis nessa altura.  Este malware tinha a capacidade de criar danos permanentes nas máquinas infectadas. Porém, nenhumas destas ameaças conseguiu ser totalmente indetectável e na maioria das vezes não funcionava bem com as últimas versões do Windows.

CryptoLocker

O CryptoLocker é o novo membro desta lista, tendo sido descoberto nos últimos meses. À  semelhança do ExploreZip que mencionámos acima também este provoca alterações nos ficheiros de modo a que não seja possível a recuperação. Este malware é considerado ransomware, o que significa que exige ao utilizador um pagamento num determinado período de tempo e caso o mesmo não seja efectuado, os ficheiros no computador ficarão encriptados, sem hipótese de recuperação. Normalmente são pedidos 300 dólares ou a mesma quantia em outras moedas, sem qualquer tipo de conversão. (Exemplo: 300 dólares = 300 Euros). Esta ameaça analisa o disco em busca de diversos tipos de ficheiros, pelo que senão tiver qualquer tipo de cópia de segurança, é provável que fique sem os seus dados mais preciosos. Se por vezes poderá ter alguma sorte e encontrar alguma fraqueza na encriptação, na grande maioria, não terá qualquer hipótese sem a chave original que está nas mãos do cibercriminoso.

As duas primeiras ameaças que referimos no início deste texto, espalharam-se amplamente e causaram muitos danos. Porém, pelo facto de actualmente as ameaças terem motivações “mais financeiras”, não é boa ideia anunciar a presença, causando danos na máquina, já que poderão colocar em causa a fonte de financiamento. O CryptoLocker é uma excepção a esta regra, uma vez que as pessoas estão a pagar para recuperarem os seus dados, embora na realidade não esteja a danificar os ficheiros mas apenas a encriptá-los.

Já o Mebromi e o ZMist foram enormes desafios para os investigadores durante algum tempo, uma vez que levaram a grandes dores de cabeça e à necessidade de implementação de diversas alterações nas tecnologias de defesa. O problema poderia ter sido bastante maior se os criadores de malware insistissem neste modelo. Porém como o objectivo principal dos criadores de malware é a obtenção da receita, o caminho seguido acabou por ser bem diferente.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

19 − fourteen =