Além da grande quantidade, os vírus, que originalmente eram utilizados academicamente como provas de conceitos, rapidamente evoluíram como ferramentas de criminosos virtuais. Em 2005, a cena dos vírus já tinha sido monetizada – praticamente todos os vírus desenvolvidos eram com o único propósito de conseguir dinheiro.

Guillaume Lovet, da Fortinet, publicou uma análise cronológica das ameaças de mais destaque nos últimos 40 anos, explicando a importância histórica de cada um deles. Veja a análise completa, em inglês.

Via: 40th anniversary of the computer virus

O teste contou com duas análises, uma de assinatura de vírus (detecção de vírus conhecidos) e a outra de heurística estática (detecção de vírus desconhecidos). O projeto foi executado em parceria com o CAIS – Centro de Atendimento a Incidentes de Segurança da RNP – que forneceu uma base de malwares contendo 3.269 ameaças, todas coletadas durante o mês de janeiro. Os antivírus foram transferidos dos sites dos fabricantes no dia 2 de fevereiro.

Nenhum dos antivírus atingiu a marca de 80%: em primeiro lugar ficou o Avira, com 78% – 2549 ameaças detectadas. O AVG ficou num segundo lugar bem próximo, com 75% – 2.446 malwares detectados. Panda Cloud e Avast! ficaram num terceiro e quarto lugares apertados, respectivamente com 70,6% (2.309) e 69,8% (2.282). Em penúltimo lugar ficou o PC Tools, com 64,7% – 2.116, e por último o Microsoft Security Essentials, que detectou apenas 437 malwares – 13,4% do total. Vale frisar que os testes tiveram foco em malwares circulantes na rede de computadores brasileira – e os dados oriundos deste teste são uma importante reflexão para o cenário de malware brasileiro.

Veja mais detalhes em Teste revela falhas em programas antivírus gratuitos – O Globo Online.

A evolução dos vírus está exponencial: até 2006, haviam menos de 1 milhão de vírus descobertos por ano; a partir daí, os números foram aproximadamente 6, 8, 12 e 20 milhões para os anos de 2007, 2008, 2009 e 2010. Veja mais detalhes em 50 million viruses and rising – The H Security:: News and Features.

Veja mais detalhes em As PC Virus Turns 25, New Worry Emerges: Attack Toolkits CIO.com.

• páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) tiveram aumento de 94% em 2010, comparado ao ano anterior;
• cavalos de troia tiveram uma redução de 18% em relação a 2009, embora no último trimestre de 2010 tenham sido 7% maiores do que o trimestre anterior;
• notificações de fraude caíram 88% em relação a 2009, totalizando 62.016 ocorrências;
• aumento de 56% no número de ataque a servidores web;
• aumento de 55% no número de varredura de portas – dessas ocorrências, serviços suscetíveis a ataques de força bruta como SSH e TELNET corresponderam a 33,5% e 8,5% respectivamente, o que mostra a importância de trocar as portas padrão dos serviços;
• redução de 61% nas atividades relacionadas a worms;
• aumento de 6,5% em ocorrências de hospedagem de scripts maliciosos e toolkits, utilizados em ataques XSS, comprometendo sites de terceiros.

Veja mais detalhes em Estatísticas do CERT.br — Incidentes.

1. Y2K, mais conhecido como bug do milênio (2000)
2. Worm Conficker (2008-2009)
3. Worm Mydoom (2004-2009)
4. Anonymous (2007-)
5. Rastreamento RFID (2002-)
6. Vírus ILOVEYOU (2000)
7. Quedas de avião devido a uso de celulares (2000-)
8. Worm Witty (2004)
9. Worm Koobface (2008-)
10. 2012

Veja a lista em detalhes em Top 10 tech scares of the decade – Computerworld.

Foto: Computer Virus Spreads to Humans.

Mariano Sumrell

Diariamente surgem mais de 40 mil novas ameaças na Internet. E esse número cresce constantemente. Essa enorme   produção é fruto de uma atividade profissional muito bem organizada, o Cibercrime. Estima-se que o cibercrime   movimente globalmente tanto dinheiro quanto o narcotráfico. É claro que a produção de malwares é apenas uma das   atividades do cibercrime que engloba espionagem industrial, sabotagem, aluguel de botnets, envio de SPAMs, venda   de produtos e muitos outros.

Mas o fato é que a produção de malwares cresce em quantidade e sofisticação. E os fabricantes de antivírus e outros   produtos de segurança precisam acompanhar esse ritmo para proteger os seus usuários. Nesse artigo vamos entender como os antivírus estão sendo capazes de oferecer proteção contra as atuais ameças.

Existem diferentes tipos de programas maliciosos ou malwares (MALicious softWARE): vírus, worms, cavalos de tróia ou trojans e outros. Neste artigo, vamos usar o termo vírus como é entendido informalmente, ou seja, como uma designação genérica de ameaças ou malware.

Detecção por Assinatura

A maneira tradicional dos softwares identificarem um vírus é a detecção por assinatura. Consiste em identificar uma sequência de bytes que caracterizam um malware. Essa assinatura é obtida depois que um vírus é identificado. Para isso os fabricantes de antivírus tem pontos de coleta espalhados em todo o mundo e contam ainda com colaboradores em diversos países. No Brasil, a Winco envia diariamente para o AVG amostras que recebemos de diferentes fontes, inclusive de uma colaboração com o CSIRT (Computer Security Incident Response Team) do Banco do Brasil.

Além da quantidade enorme de amostras que tem de ser analisadas e de assinaturas geradas, é necessário lidar com os vírus polimórficos. Vírus polimórficos se automodificam para dificultar a sua detecção. Essa modificação normalmente é feita empacotando o código malicioso usando técnicas de criptografia. Os antivírus tem de ser capazes de encontrar a assinatura em todas as variantes.

A detecção por assinatura de vírus conhecidos é muito eficiente e por isso continua sendo utilizado por todos os fabricantes de antivírus. Mas esse método tem um grande problema: a janela de tempo entre o surgimento do vírus e a atualização do arquivo de assinaturas na máquina do usuário. Por isso, são necessários outras camadas de proteção, com novas técnicas de detecção. No restante deste artigo, descreverei essas novas técnicas que estão sendo usadas na guerra contra o cibercrime.

Detecção Heurística

Há duas formas de heurística: estática e dinâmica.

Na heurística estática, o arquivo é analisado a procura não de assinaturas conhecidas, mas de padrões de código suspeitos e utilizados em vírus. Uma sequência de NOPs (instrução de no operation) ou loops que não fazem nada útil, por exemplo, são bastante comuns em vírus polimórficos.

Na heurística dinâmica, o código é executado por algum tempo em um emulador. Depois desse tempo, o código é analisado novamente. Essa técnica serve para detectar vírus polimórficos utilizando novos métodos de empacotamento.

Análise Comportamental

A análise comportamental monitora o que os programas em execução na máquina estão fazendo. Verifica como um programa está interagindo com outros programas e que tipo de acesso está fazendo aos recursos do computador. Assim, pelo comportamento do programa pode-se identificar malwares ainda não conhecidos. Por exemplo, um programa que intercepta o teclado de outra aplicação e começa a acessar a internet é considerado suspeito.

Proteção no Acesso a Sites

Há alguns anos a navegação em sites tem sido um dos principais vetores de propagação de malwares. Os cibercriminosos estão invadindo sites idôneos e contaminando-os com software malicioso. Muitas vezes, a simples visita a um site invadido pode contaminar o computador do internauta. É o chamado drive-by download. Para infectar uma máquina, são exploradas falhas de segurança do navegador ou do sistema operacional ou o usuário é induzido a fazer download do software malicioso.

As páginas ficam contaminadas por muito pouco tempo. Às vezes por poucas horas, raramente por mais de um dia. Quem tiver curiosidade de testar algum site, faça uma visita ao AVG Threat Labs.

Essa volatilidade implica que uma proteção adequada a esse tipo de ataque tem de ser feito em tempo real, analisando o conteúdo das páginas. Proteção baseada em bancos de dados estáticos de URLs comprometidas tem pouca utilidade nesse caso.

Firewall

Apesar do firewall não ser considerado um produto antivírus, ele tem um papel muito importante no bloqueio de ameaças que vem pela rede, explorando falhas de segurança no sistema operacional ou mesmo na camada aplicação de um servidor. Por isso ele está presente nos suítes mais completos de antivírus.

Conclusão

Os antivírus tiveram que incorporar novas tecnologias e métodos de proteção para enfrentar a crescente variedade e sofisticação dos softwares maliciosos. Todos os elementos apontados acima estão presentes, por exemplo, num dos softwares mais populares de antivírus do mundo e do Brasil, o AVG.

Com essas novas tecnologias, um bom antivírus consegue oferecer um alto grau de proteção. Mas nenhuma proteção é 100% garantida. Mas aliando um bom antivírus com boas práticas de segurança (vide o artigo de Bruno Salgado Cartilha de Segurança da Informação para usuários não-técnicos) navego, acesso o meu banco, faço muitas compras pela internet e me sinto bastante seguro. Posso dizer que o risco que corro ao usar o meu cartão de crédito na internet é equivalente ao risco dele ser clonado no mundo real, num restaurante, posto de gasolina ou outro estabelecimento. Aliás, recentemente tive o meu cartão clonado no mundo real e nunca tive problemas no mundo virtual. Mas, nada é 100% garantido.

Mariano Sumrell Miranda

Fonte: G1 – Vírus evitou registro de falhas em avião que caiu e matou 154 pessoas – notícias em Tecnologia e Games

Foto: airplane por Yuichi Kosio, CC-BY.

Segundo a Kaspersky, houveram casos isolados de spyware para Android no ano passado, mas esta é a primeira vez de um trojan que envia SMS  acarreta em prejuízos financeiros diretos.

Fonte: First SMS Trojan for Android is in the wild • The Register

Foto: Android FTW por Lynn Wallenstein, CC-BY-SA.