Symantec descobre malware que não pode ser detectado no Windows

Symantec descobre malware que não pode ser detectado no Windows

Especialistas da Symantec, a desenvolvedora do Norton, descobriram uma nova classe de malwares que utilizam recursos de encriptação do Windows para se manterem longe de detecções. O backdoor Tranwos usa o EFS (Encrypting File System) do Windows para que suas pastas e dados não possam ser descobertos pelas varreduras dos antivírus.

/applications/core/interface/imageproxy/imageproxy.php?img=http://s.glbimg.com/po/tt/f/original/2013/06/14/symantec-descobre-tecnica-que-dificulta-a-deteccao-de-virus-no-windows.jpg&key=afb655c3966268f9a3bb52cffd1adb2651c8e14101c85cff8c04cccfbd8059f7" alt="symantec-descobre-tecnica-que-dificulta-" />

O novo malware age criando uma pasta com um nome específico, que faz com que o sistema operacional a perceba como uma pasta de dados encriptados. Uma vez encriptados pelo sistema, os dados deixam de ser facilmente acessíveis por especialistas de segurança e os antivírus. A partir daí, o Tranwos pode causar danos e começar a se espalhar por uma rede. E sua técnica pode ser reproduzida em outras pragas virtuais.

A encriptação do Windows cria praticamente um salvo-conduto, um tipo de certificado de legitimidade das informações do malware aos olhos de todo o sistema. A situação acaba se tornando tão complexa, que alguns técnicos da Symantec precisaram usar um sistema Linux, bootável a partir de um pen drive, para acessar os arquivos maliciosos e removê-los com segurança do sistema infectado.

Mesmo essa estratégia tem limitações, porque um dos arquivos centrais da praga Tranwos, o wow.dll, fica profundamente encriptado dentro do EFS da plataforma. A companhia de segurança trabalha em uma solução que permita a captura e remoção completa do Tranwos.

A resposta para o problema é um pouco difícil, porque são necessários testes para traçar o perfil do vírus: especialistas precisam monitorar computadores infectados para saber quais são os efeitos do malware. Com essas informações fica mais fácil descobrir como ele age e exatamente onde se instala. O próximo passo é trabalhar com engenharia reversa para aprender mais sobre seus mecanismos de operação.

Fonte : Globo.com

----------------------------------------

A situação acaba se tornando tão complexa, que alguns técnicos da Symantec precisaram usar um sistema Linux, bootável a partir de um pen drive, para acessar os arquivos maliciosos e removê-los com segurança do sistema infectado

A galera do Pinguim ri ...

/applications/core/interface/imageproxy/imageproxy.php?img=http://upload.wikimedia.org/wikipedia/commons/thumb/0/09/Pinguim_Crystal_2000.png/400px-Pinguim_Crystal_2000.png&key=94847fb03fe2667326e009b1c8bb0656c7e1ee84ace9231bb31efeb604771d79" alt="400px-Pinguim_Crystal_2000.png" />