Os vírus estão voltando?

  • Article

Tim Rains, diretor, Computação confiável

Durante os seis ou sete anos de publicação do Relatório de inteligência de segurança da Microsoft (SIR), eu observei o surgimento de várias tendências. O panorama das ameaças muda constantemente conforme os invasores tentam encontrar métodos que os ajudem a comprometer os sistemas que são alvos de seus ataques. Durante muitos anos, os vírus (infecções de arquivos) pareciam estar em desuso pelos invasores, visto que eles usavam outras categorias de ameaças para atacar os sistemas. 

Para os invasores, os vírus simplesmente não tinham os mesmos fins lucrativos que os downloaders e droppers de cavalos de Troia, diversos tipos de cavalos de Troia e ladrões de senha e ferramentas de monitoramento tinham. Os vírus são ameaças que foram criadas em uma era anterior à conectividade de Internet onipresente que facilitou a autopropagação bem-sucedida dos Worms. Worms como SQL Slammer e Blaster se espalharam pelo mundo em alguns minutos. Esse feito provavelmente demoraria muito mais tempo para ser realizado por uma infestação de arquivo ultrapassada, limitando sua capacidade de infestar rapidamente um grande número de sistemas. Além disso, os vírus costumam ser ameaças relativamente “barulhentas” visto que infestam uma grande quantidade de arquivos (.exe, .dll, .scr) nos sistemas que eles atacam. Essa característica faz com que sejam mais facilmente detectados do que outras ameaças combinadas.

Por esse motivo, raras vezes eu vi a categoria de ameaça de vírus em mais de 5 por cento dos sistemas com detecções globais. Foram constatadas algumas exceções regionais, como na Coreia, na Rússia e no Brasil, onde os níveis de vírus ficaram entre 10 e 15 por cento. Mas, mais recentemente, eu pude observar que os vírus estão voltando. Conforme mostra a Figura 1, a predominância relativa dos vírus tem aumentado. A predominância mundial da categoria de ameaça de vírus era de 7,8 por cento no quarto trimestre de 2012 (4Q12).

Figura 1: detecções por categoria de ameaça, do terceiro trimestre de 2011 ao quarto trimestre de 2012, de acordo com a porcentagem de todos os computadores que relataram detecções. Observação: o total de cada período de tempo pode exceder 100 por cento porque alguns computadores relataram mais de uma categoria de ameaça em cada período de tempo.

 

Entre os locais com grandes níveis de vírus estavam: Paquistão (vírus encontrados em 44% dos sistemas com detecções), Indonésia (40%), Etiópia (40%), Bangladesh (38%), Somália (37%), Egito (36%) e Afeganistão (35%). Observando essa lista, parece que a maioria desses locais não tem os mesmos níveis de conectividade de Internet/banda larga que os locais na América do Norte e na Europa. De acordo com a análise publicada na Edição especial do relatório de inteligência de segurança da Microsoft: relação da política sobre segurança cibernética com o desempenho, pudemos observar uma correlação de -0,6 entre os índices de penetração de banda larga e de infecção regional de malware. Ao analisarmos os índices de assinaturas de banda larga de 2011 (assinaturas de banda larga a cada 100 habitantes) baseados em dados da International Telecommunication Union, podemos observar índices de penetração relativamente baixos da banda larga em locais com níveis relativamente altos de vírus: Bangladesh (0,31), Etiópia (0,01), Egito (2,21) e Indonésia (1,13%).       

Apesar de não termos dados completos para todos os locais anteriormente citados, podemos constatar que 30 a 40 por cento dos computadores em alguns desses locais não possuem software antivírus atualizado em tempo real, em comparação à média mundial de 24 por cento. Esses critérios podem ajudar a explicar por que os vírus são relativamente predominantes nesses locais em comparação a outras regiões.

O vírus mais predominantemente detectado de forma global pela Microsoft é o Win32/Sality, como podemos ver na Figura 2. Em 2012, a Microsoft detectou o Sality em 8.204.434 computadores ao redor do mundo. O Sality faz parte de uma família de vírus polimórficos que atacam arquivos executáveis com as extensões .scr ou .exe e podem executar uma carga nociva que exclui arquivos com determinadas extensões e encerra processos e serviços relacionados à segurança. A capacidade de explorar a vulnerabilidade CVE-2010-2568 em sistemas que não possuem o MS10-046 instalado foi adicionada ao Sality por seus criadores. Essa é uma das vulnerabilidades usadas pelo worm Stuxnet.

O Sality está entre as 5 principais detecções no Windows XP, como mostra a Figura 3. Mas não tem sido tão bem-sucedido nas versões mais recentes do Windows.

Figura 2 (à esquerda) Figura 3 (à direita): famílias de malwares e softwares potencialmente indesejados detectadas com maior frequência pelas soluções antimalware da Microsoft no quarto trimestre de 2012 e como elas são classificadas em termos de predominância em diferentes plataformas, conforme publicado no Relatório de inteligência de segurança da Microsoft, volume 14

 

O êxito do Sality comprova que as infestações de arquivos ainda podem ser bem-sucedidas. Ao contrário dos vírus de antigamente, hoje em dia os invasores estão tentando roubar informações, às vezes, ligando microfones e câmeras dos computadores.  

A boa notícia é que é relativamente fácil se proteger contra vírus.

1. Conheça o inimigo: para saber mais sobre o Sality, consulte o blog do centro de proteção contra malware da Microsoft sobre essa ameaça:
https://blogs.technet.com/b/mmpc/archive/2010/07/30/stuxnet-malicious-lnks-and-then-there-was-sality.aspx

2. Mantenha todos os softwares do seu sistema atualizados com as últimas atualizações de segurança. Execute os softwares mais recentes sempre que possível.

3. Execute antivírus atualizados e em tempo real de um fornecedor que você conheça e confie.

4. Evite transferir dados utilizando mídia removível como unidades USB, a menos que seja estritamente necessário.