Vírus russo exige envio de SMS pago para desbloquear o computador

A notícia mais interessante da semana foi a descoberta de um vírus de origem russa que impede o computador de iniciar e exige a obtenção do código desbloqueador por meio do envio de um SMS premium. Outro fato marcante envolve um nome conhecido entre quem teve de lidar com spywares e adwares, especialmente antes de 2007 - a Zango, que já operou sob o nome de 180solutions, encerrou suas atividades.

Também nesta semana: pesquisadores descobrem rede zumbi de quase dois milhões de computadores e Mozilla lança nova versão do Firefox para corrigir uma dúzia de vulnerabilidades.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>>> Cavalo de troia russo pede SMS para destravar o computador

Cavalo de troia sequestra o computador e exige envio de SMS para obtenção de código que permite destravar o Windows (Foto: Reprodução)

Especialistas da PandaLabs descobriram um cavalo de troia russo que “tranca” o computador da vítima e exige que um SMS seja enviado para um número que acarreta uma tarifa extra, como no caso dos 0900. A praga se enquadra na categoria de “sequestradores” ou “ransomware”.

Normalmente esse tipo de código malicioso encripta os documentos da vítima e deixa um aviso, exigindo pagamento para que os arquivos sejam recuperados. É assim que funciona o cavalo de troia Gpcode.

A nova praga, batizada de SMSlock.A, impede totalmente o computador de ser iniciado. Ela exibe uma mensagem, em russo, que instrui o usuário a enviar o SMS e digitar um código na mensagem, para então receber de volta outro, que deve ser digitado para a liberação do computador.

Por enviar a mensagem a um número premium, a vítima irá pagar o autor do vírus por meio da conta telefônica.

Tática semelhante era usada pelos chamados “dialers”. Esses eram softwares instalados normalmente por sites pornográficos que tentavam forçar o computador a discar um número premium para acessar a internet – às vezes até mesmo no lugar do acesso em banda larga – com a justificativa de que o acesso por meio de um número com pagamento de tarifa era necessário para acessar o site adulto.

O SMSlock.A, no entanto, cai na mesma categoria de outras pragas “ransomware”. O primeiro vírus da categoria, conhecido como PC Cyborg Trojan ou Aids Info Disk, surgiu em 1989 como explica a coluna Segurança para o PC de 30 de março.

>>>> Desenvolvedora de adware Zango cessa operações

Notória desenvolvedora de adwares – softwares feitos exclusivamente para exibir anúncios publicitários –, a Zango encerrou suas operações esta semana. A empresa era responsável por um programa de mesmo nome que exibia pop-ups contendo publicidade durante o uso normal do sistema. Ela foi adquirida pelo site de vídeos Blinkx depois que o banco executou a hipoteca e recolheu os bens da companhia.

Os anúncios exibidos pela Zango deveriam patrocinar algum outro software instalado ou website, mas pesquisadores como bem Edelman e Chris Boyd mostraram que nem sempre isso acontecia. A instalação do software era feita de maneira ilegal em alguns casos, o que levou o governo norte-americano a multar a empresa em US$ 3 milhões em 2006.

Até meados de 2006, a companhia se chamava 180solutions. Após se unir com outra empresa de adware, a Hotbar, o nome Zango, antes usado apenas no software, foi adotado como nome da própria empresa. Na época, o nome '180solutions' já era sinônimo de problema para muitos internautas.

Co-fundador e ex-diretor de tecnologia da empresa, Ken Smith publicou um extenso post em seu blog pessoal falando dos erros cometidos pela Zango. Smith admite que a empresa errou ao fazer parcerias com distribuidores que faziam uso de métodos ilegais para distribuir o software, mas acusa outras companhias do ramo de adware de agir de forma ainda pior, o que teria destruído o mercado de adwares.

Smith também afirma que a empresa nunca conseguiu dar aos seus usuários algo cujo valor fosse suficiente para compensar a manutenção do programa “patrocinador” no computador. Segundo ele, isso só foi reconhecido como um problema muito tarde, e a má reputação da companhia dificultava as negociações.

Na maioria das vezes, a Zango “patrocinava” um website que o usuário visitou apenas uma vez, um programa P2P ou algum jogo eletrônico de baixa qualidade. Em muitos casos era possível desinstalar o adware e continuar usando os programas. Mas também podia acontecer de o Zango não ser desativado mesmo depois de você desinstalar os aplicativos patrocinados ou deixar de acessar o site.

A empresa já havia dado sinais de fraqueza no ano passado quando demitiu 68 funcionários, 1/3 de toda a organização.

O fechamento da Zango é só mais um na decadente indústria de programas patrocinadores. Claria (também conhecida como Gator) e DirectRevenue, dois grandes nomes do ramo, também já fecharam. As que ainda sobrevivem, como a canadense Integrated Search Technologies (IST) e a norte-americana WhenU reduziram drasticamente as atividades questionáveis e, por consequência, não são mais encontradas nos computadores de internautas com a mesma frequência.

>>>> Pesquisadores descobrem rede zumbi de quase 2 milhões de PCs

A empresa de segurança norte-americana Finjan divulgou esta semana a descoberta de uma rede zumbi composta por 1,9 milhão de computadores. Segundo os especialistas da companhia, é uma das maiores redes-zumbis encontradas este ano em posse de um único grupo de criminosos.

Após descobrirem o centro de comando e controle (“C&C”) da rede, localizado na Ucrânia, os especialistas conseguiram achar outras informações sobre as máquinas infectadas porque os operadores não protegeram o servidor de forma adequada. Isso também permitiu que os pesquisadores descobrissem o número de máquinas envolvidas. Segundo a Finjan, computadores do governo – que às vezes lidam com informações pessoais ou sigilosas – estariam incluídos na rede.

Os computadores infectados, dos quais quase a metade (45%) encontra-se nos Estados Unidos, são controlados por meio de uma interface gráfica simples, na qual os criminosos podem digitar comandos em formulários.

>>>> Mozilla lança Firefox 3.0.9 para corrigir vulnerabilidades

O Firefox 3 ganhou mais uma atualização de estabilidade e segurança esta semana, o Firefox 3.0.9. A nova versão elimina um total de doze vulnerabilidades, entre elas uma que poderia permitir execução de código (instalação de vírus).

Há outra brecha que permite que um site malicioso falsifique a URL (campo de “endereço” do navegador). O erro seria útil para sites clonados que querem enganar os usuários. A nova versão pode ser baixada no site oficial.

Estas foram as principais notícias da semana no mundo da segurança da informação. A coluna volta na segunda-feira (27) com a continuação do assunto iniciado esta semana, os ataques de envenenamento de cache. Bom fim de semana a todos!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.