Com a chegada do Windows 8, muitos de nossos usuários já surgem com dúvidas a respeito da compatibilidade dos produtos ESET com a nova versão do sistema operacional da Microsoft. Portanto, vamos esclarecer essas questões:
A versão 5.2.9.1 dos softwares ESET NOD32 Antivirus e ESET Smart Security tem suporte a Windows 8, com algumas ressalvas conhecidas que listamos neste artigo de nossa Base de Conhecimento. Recomendamos que utilizem esta versão até o lançamento comercial da versão 6.
Caso você já possua a versão 5.2.9.1, não será necessário baixar novamente. Assim que fizer a migração do Windows 8, o produto será atualizado de forma automática para garantir o suporte ao novo sistema operacional da Microsoft.
Os softwares ESET versão 6, que devem chegar dentro de poucos meses ao mercado, estão passando pelos últimos testes necessários para garantir total suporte a Windows 8. No momento, usuários já podem fazer download gratuito dos softwares ESET versão 6 Release Candidate (uma prévia da versão que chegará ao mercado) neste link.
A vulnerabilidade foi tão grave que a Microsoft se viu obrigada a antecipar o lançamento do pacote de correção que soluciona esta e outras quatro vulnerabilidades encontradas em seu navegador. Já falamos desta grave vulnerabilidade na semana passada em nosso blog. O pacote de correção, MS12-063, está disponível desde a última sexta, e é altamente recomendável que todos os usuários de Internet Explorer 9 ou versões anteriores façam a instalação. A atualização pode ser concluída utilizando o Windows Update ou através de download manual.
Algumas de suas opções são o armazenamento de atualizações, a otimização do uso de largura de banda, a desinstalação das atualizações, a construção de relatórios e as atualizações controladas por tempo, dentre outras. Além disso, podemos gerenciar as atualizações com base na prioridade, de forma que as mais importantes são feitas de forma separada às recomendadas ou opcionais. Igualmente, permite levar um controle sobre equipamentos particulares, permitindo gerenciar diferentes políticas de atualizações com base na função de cada grupo.
Recomendamos a todos os usuários que atualizem seu sistema e implementem o último pacote de segurança para evitar serem atacados por cibercriminosos. Temos que lembrar que o Conficker, o conhecido worm que tira proveito de problemas de segurança já corrigidos no Windows há bastante tempo ainda causa grandes danos, principalmente a empresas, e continua sendo disseminado.
Yolanda Ruiz Hervás
Diretora de Marketing – ESET Espanha
No último dia 17, a Microsoft anunciou uma vulnerabilidade 0-day que afeta o Internet Explorer 9 e versões anteriores, ao visitar alguns sites com conteúdo malicioso. A empresa também informou que a versão 10 do navegador não é afetada.
A vulnerabilidade foi detectada na função execCommand e permite a execução remota do código. A descoberta dessa vulnerabilidade pode estar relacionada à aparição a alguns dias do exploit 0-day no Java, pois o código malicioso foi encontrado no mesmo servidor onde estava hospedado o código que tirava proveito da grave vulnerabilidade Java já solucionada pela Oracle. O exploit malicioso foi detectado pela ESET como JS/Exploit.Agent.NDG, portanto a primeira linha de defesa para reduzir os riscos de ataques aos usuários é ter um software de proteção com características de detecção proativa.
Vale mencionar que, enquanto a Microsoft trabalha em uma correção para a vulnerabilidade, que se espera estar disponível na próxima atualização em 9 de outubro, há uma série de recomendações para evitar infecção:
Configurar como Alto o nível de segurança para Internet e Intranet Local no navegador, para bloquear os controles ActiveX e Active Scripting.
Configurar o Internet Explorer para que solicite permissão ao usuário antes de executar sequências Active Scripting, que ajudam a prevenir invasões, mas podem afetar a usabilidade do navegador.
Ativar o complemento EMET (Enhanced Mitigation Experience Toolkit) da Microsoft, que oferece algumas funcionalidades para prevenir a intrusão no sistema e dizem não afetar a usabilidade dos sites web.
Além dessas recomendações, é prudente utilizar outros navegadores enquanto a Microsoft não publica o pacote de segurança, já que foi publicado um script para Metasploit que permite a exploração dessa vulnerabilidade, dando margem para a ação de trojans. Além disso, caso baixe o complemento EMET, faça-o diretamente da página oficial da Microsoft, para evitar a infecção com outros códigos maliciosos.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
Há algum tempo temos observado muitas opiniões sobre este worm que é detectado pelo ESET Smart Security como Win32/Flamer. O seu nome pode variar entre Flamer, Flame e sKyWIper, segundo a fonte.
Devido à grande repercussão que esse malware está tendo, uma grande especulação foi gerada sobre o assunto. Por isso, é interessante esclarecer alguns detalhes que estão um pouco confusos sobre este código malicioso. No dia 28 de maio, o Centro de Coordenação da Equipe de Resposta de Emergências Computacionais (CERT) do Irã disponibilizou amostras a algumas empresas fabricantes de software de segurança para que sejam devidamente analisadas. A partir disso, o Laboratório de Criptografia e Segurança em Sistemas da Universidade de Tecnologia de Budapeste fez uma interessante análise sobre a ameaça. Depois disso, começou a circular muita informação sobre o assunto na Internet, o que poderia causar confusão em alguns usuários. Por esse motivo, decidimos desmistificar algumas dessas afirmações e esclarecer aos usuários alguns detalhes deste polêmico worm:
O Flamer é uma ameaça nova
Falso. Essa ameaça já está ativa há alguns anos. Porém, a atenção sobre ela aumentou desde que foi publicada pelo CERT do Irã e pelas respectivas empresas de segurança. Além disso, começaram a aparecer detecções em determinados países que já sofreram ataques virtuais dirigidos às suas instalações e plantas industriais, o que o leva a pensar em uma evolução desse malware.
O Flamer está relacionado ao Stuxnet e ao Duqu
Em alguns aspectos sim, já que existem determinados indícios que levam a considerar esta teoria. Em primeiro lugar, o Flamer tem algumas coisas em comum, como um design modular que lhe permite adicionar ou atualizar funcionalidades de forma independente e em diferentes momentos. Por outro lado, o Flamer é capaz de se propagar através do USB, igual ao Stuxnet, porém diferente do Duqu. O Stuxnet, além disso, se replicava automaticamente, enquanto o Flamer e o Duqu não. Portanto, existe uma infinidade de características que o tornam semelhante a essas duas ameaças e outras que o fazem uma ameaça em particular.
Seu tamanho é 20 Mb, o que é sensivelmente maior que o de outras ameaças
Verdadeiro. Considerando todos os seus módulos é uma ameaça de tamanho considerável, já que o restante geralmente não supera 1 megabyte. De fato, é dezenas de vezes maior que outras ameaças, como Stuxnet. Isso pode ser devido ao fato de ter muitos códigos de terceiros embutidos em seu conteúdo, enquanto que a maioria das outras ameaças não o faz.
É o código malicioso mais letal de todos os tempos
Depende. É difícil poder determinar isso sem saber realmente quais são seus alvos. É uma ameaça que foi teoricamente projetada para o roubo de informação, contudo apareceram detecções em diversos países. É uma ameaça que está teoricamente projetada para o roubo de informação, contudo surgiram detecções em diversos países – do Oriente Médio até alguns países do Leste Europeu. Por isso, o mais racional seria contar com mais informações para poder afirmar isso.
Não podemos nos proteger dessas ameaças complexas
Falso, apesar de essas ameaças apresentarem muitas características de propagação e um nível de complexidade superior à média, existem mecanismos para proteger as informações do usuário. No caso particular do Flamer, são exploradas vulnerabilidades conhecidas como MS10-061 e MS10-046 e nenhuma 0-day. Por isso, existem pacotes tanto para a primeira quanto para a segunda vulnerabilidade explorada, já divulgados pela Microsoft. Adicionalmente, é recomendável a utilização de uma tecnologia de segurança que permita detectar esta ameaça antes de acessar o sistema para manter os usuários seguros de forma proativa.
Por fim, faltam muitos dados para confirmar sobre a magnitude dos danos que essa ameaça poderia causar, e por isso recomendamos a todos os nossos usuários que mantenham seus sistemas e antivírus atualizados, de modo que seus dados não fiquem comprometidos. Com respeito à evolução desta ameaça, há coisas que ainda são incertas, mas já temos informação suficiente para ficarmos atentos.
Raphael Labaca Castro
Awareness & Research Coordinator
Quão grave pode ser uma infecção por software malicioso hoje em dia? Resposta rápida: Muito grave. O vídeo abaixo é uma resposta de 16 minutos a essa pergunta, utilizando figuras que ilustram como uma infecção de malware é vista pelo criminoso que instala um RAT no computador da vítima. Essa é a sigla para “Remote Access Tool” (ferramenta de acesso remoto), que é uma das mais populares categorias de “crimeware” sendo desenvolvidas por criminosos virtuais hoje em dia.
No vídeo, podemos observar o exemplo do DarkComet RAT, cujas características incluem utilizar a webcam e o microfone da vítima para espioná-la. Esta característica foi adicionada recentemente a outro malware do tipo point-and-click, o SpyEye, como relatado em uma recente matéria da PC World.
O vídeo é uma versão de uma apresentação que demonstrei diversas vezes no evento Interop, em Las Vegas, neste mês, e inclui uma descrição do papel que o software antivírus pode desenvolver para eliminar esse tipo de malware. Depois das apresentações, eu recebi inúmeros pedidos de cópia dos slides de pessoas que queriam apresentá-los em seus próprios programas de implementação de segurança. Eu fiquei feliz em ajudar, porque ver essas imagens terá mais impacto nos funcionários e executivos que ler outro texto meramente dizendo que “infecções de malware devem ser evitadas porque podem comprometer os dados”. Essa declaração é verdadeira, mas algumas vezes é preciso ver para crer.
Assista ao vídeo (em inglês):
Observe que os produtos ESET detectam o SpyEye como Win32/Spy.SpyEye e o RAT DarkComet como Win32/Fynloski. Se você acha que seu Windows está infectado com essas ameaças ou com outros códigos maliciosos ou spyware, você deve examiná-lo gratuitamente com o ESET Online Scanner.
Com a chegada do Windows 8, muitos de nossos usuários já surgem com dúvidas a respeito da compatibilidade dos produtos ESET com a nova versão do sistema operacional da Microsoft. Portanto, vamos esclarecer essas questões:
