Vídeo: Informática para Concursos - Pragas Virtuais (Malwares) - AlfaCon (Novembro 2024)
Para as máquinas virtuais infestadas de malware que eu uso no teste de produtos antivírus, é déjà vu toda vez que inicio um novo teste. Reviro a máquina virtual exatamente para o mesmo ponto inicial de todos os testes, depois instalo (ou tento instalar) o antivírus e o desafio a limpá-lo. Mas às vezes algo mais acontece; Às vezes, o malware convida os amigos para jogar.
Os dias em que o hacker solitário cria vírus apenas para o inferno já se foram. Hoje existe todo um ecossistema de malware, e um componente próspero desse ecossistema envolve carona, situações em que um cibercriminoso paga outro para pegar carona uma nova ameaça no malware existente. Os que chamamos de "conta-gotas" nem sequer têm uma carga maliciosa; eles apenas servem como um pé na porta para outros malwares.
O que isso significa para os meus testes? Quanto mais tempo um sistema infestado operar antes que um novo antivírus possa ser totalmente instalado e executar uma verificação, maiores serão as chances de a infestação existente convidar amigos para uma festa. A instalação da proteção nesses sistemas às vezes leva dias de trabalho pelo suporte técnico. Enquanto estão ocupados, o malware também é; assustador!
Gameover ZeuS
Na conferência Malware 2013, no mês passado, um estudante holandês apresentou uma análise muito detalhada do Gameover ZeuS. Como outras instâncias do Trojan ZeuS, essa rede de malware tem uma variedade de funções, mas principalmente visa roubar informações confidenciais, como credenciais bancárias online. A diferença do Gameover ZeuS é que, em vez de um sistema centralizado de Comando e Controle, ele usa uma rede ponto a ponto distribuída, tornando muito mais difícil rastrear e erradicar. Notícias para mim!
Imagine minha surpresa, então, quando recebi recentemente uma nota do meu ISP dizendo que eles haviam detectado o tráfego Gameover ZeuS vindo do meu endereço IP. Não, eu não peguei uma infecção do pesquisador. Em vez disso, uma das minhas amostras existentes convidou um novo amigo para morar, possivelmente durante uma maratona de suporte técnico incomum, que durou dias, que lhe proporcionou bastante tempo.
Anos atrás, quando comecei a testar antivírus usando máquinas virtuais infestadas por malware ao vivo, eu podia praticamente contar com a população de malware dos meus sistemas de teste permanecendo estáveis. Desde que eu não instalei amostras de malware que tentam se espalhar ativamente pela Internet, eu poderia evitar me tornar parte do problema. A nota do meu ISP foi um alerta. Se eu instalar uma coleção representativa de amostras de malware, simplesmente não há garantia de que uma delas não mude o comportamento nem traga um companheiro perigoso.
Game Over Indeed
É possível que eu mude de ISP e evite aviso, mas isso não é uma solução. Não posso, em sã consciência, continuar uma prática que pode causar danos fora de minhas máquinas virtuais. Não posso simplesmente cortar os sistemas de teste da Internet, pois muitas ferramentas antivírus exigem conexão. E não tenho recursos para replicar o tráfego de malware em um ambiente fechado, como os grandes laboratórios de teste independentes. Vou ter que desistir dos testes práticos de malware ao vivo.
No lado positivo, os laboratórios independentes de teste de antivírus produzem alguns testes realmente bons atualmente. Definitivamente vou usar mais esses resultados. Ainda testarei a filtragem de spam, a proteção contra phishing, o bloqueio malicioso de URL - qualquer teste que não envolva a liberação potencial de malware ativo. E ainda vou explorar todos os recursos de todos os antivírus, trabalhando para identificar os melhores. Só não vou executar nenhum teste que possa causar problemas no mundo exterior.
Novo teste de dia zero
Além disso, estou adicionando um novo teste para verificar como cada antivírus lida com o bloqueio do download de ameaças extremamente novas. O pessoal da MRG-Effitas, uma empresa britânica de pesquisa em segurança, me deu acesso ao imenso feed em tempo real de URLs maliciosos. Usando este feed, posso verificar como um antivírus lida com cerca de cem dos arquivos maliciosos mais recentes. Ele bloqueia o URL? Bloquear o download? Totalmente falta? Estou ansioso para começar esse novo teste totalmente em andamento.