Em Como limpar uma infestação de spyware do Windows, documentei como o spyware pode fazer uma infecção drive-by em seu computador por meio do navegador da Web. Para ser absolutamente claro, Nunca cliquei em nenhum anúncio, nem baixei e executei nenhum arquivo. Tudo o que fiz foi abrir uma página da Web da GameCopyWorld em uma versão original do Internet Explorer 6.0, sem patches, de cerca de 2001.
Sim, eu sei que isso é uma coisa espetacularmente estúpida de se fazer. Mas estou feliz por ter feito isso. Tive uma pequena amostra da experiência que aguarda os usuários casuais quando eles navegam na Web sem os patches e as atualizações mais recentes. Eu acho que todos os usuário técnico de computador deve ter essa experiência, para que possa ver em primeira mão, em sua própria máquina, o profundo mal que estamos enfrentando. É claro que podemos nos recuperar, mas é o que fazemos para viver. Estou tentando imaginar o que minha mãe ou meu pai fariam se isso acontecesse com eles. Eles provavelmente teriam que comprar um novo computador.
Quando a única solução viável para a doença é matar o paciente, o senhor tem um problema de proporções epidêmicas.
Adam McNeil, da Software Webroot, teve a gentileza de dar uma mãozinha investigativa e duplicar o cenário do GameCopyWorld. Suas descobertas são exaustivas e reveladoras:
Depois de pesquisar o site GameCopyWorld.com, posso confirmar que o site está utilizando exploits de terceiros para distribuir malware. Os exploits em questão parecem ser entregues por meio de uma série de anúncios dentro do site gamecopyworld.com.
A GameCopyWorld exibe um anúncio “Find Your Love at Bride.Ru”. Esse anúncio “faz referência” ao linktarget.com para exibir um anúncio do software de DVD produzido pela Slysoft.com. Esse anúncio “remete” ao 39m.net que, por sua vez, cria um <iframe> para o buyhitscheap.com. O Buyhitscheap.com, por sua vez, chama o fkdomain.info, que tenta fornecer uma série de exploits ao sistema do usuário, na esperança de instalar um trojan dropper. O site fkdomain.info tenta explorar o seguinte: (poderia haver mais, mas essas foram as explorações que selecionei no código)
O dropper cria arquivos que, por sua vez, baixam arquivos adicionais e criam threads no navegador Internet Explorer.
Webroot SpySweeper detectou os seguintes espiões depois de permitir que o instalador fosse executado durante a noite.
- Virtumonde
- Visfx
- ZenoSearchAssistant
- PurityScan
- Trojan Downloader Matcash
- Trojan-Downloader-Zlob
- BookedSpace
- Trojan-Downloader-WaveRevenue
- Trojan.Gen
- Trojan-Downloader-Prez
- MaxiFiles
- TargetSaver
- Trojan-Poolsv
- Trojan-Dropper-Zomavis
- Webhancer
- Compra pela Web
- Comando
- Core Adware (o CoreAdware é conhecido por usar Rootkits {core.sys} para mascarar sua presença).
Além dos espiões listados acima, também registrei um grande número de arquivos não classificados (não por muito tempo) e entradas de registro que também foram adicionados à caixa.
Como esses arquivos de exploit foram entregues por meio de anúncios de terceiros, não sei se é totalmente correto atribuir toda a culpa por esse Drive-by à GameCopyWorld.com. É possível que eles tenham permitido que um terceiro tentasse explorar a máquina de um usuário, mas também é totalmente possível que um desses anunciantes tenha inserido esses exploits sem o conhecimento ou consentimento do usuário. É impossível saber se esse exploit foi entregue intencionalmente ou acidentalmente.
Nunca usei nenhum produto da Webroot, mas quando um funcionário dedica seu tempo pessoal para investigar um cenário público tão minuciosamente, isso fala muito bem da empresa. Eles são claramente uma das pessoas boas. Mas o fato de eu ter para manter uma “lista segura” mental de empresas de software – estas são boas, estas são questionáveis – é, por si só, perturbador e doentio. Isso é sintomático de quão doente o ecossistema de software do Windows se tornou. É quase impossível distinguir os bons dos maus. Faça uma pesquisa na Web por “spyware” e o senhor obterá dezenas de resultados, alguns dos quais são de empresas que instalaram o spyware em primeiro lugar. O senhor consegue distingui-las? Seus pais saberiam?
O rastreamento dessa enorme epidemia de segurança até o paciente zero não requer muito trabalho de detetive. Ele tem origem no Windows NT 3.0, quando o a Microsoft optou por configurar os usuários padrão como administradores.
Essa infecção foi só foi possível porque eu estava conectado como administrador. Escolhendo não para ser executado como Administrador é facilmente a dica de segurança mais importante para uma máquina Windows, quer o senhor esteja usando o XP ou o Vista. Preocupado com a possibilidade de seus pais serem infectados? O senhor precisa criar uma conta para um adolescente? Configure-os como usuários regulares. Isso não é uma panaceia, mas ajuda muito a resolver o problema. Como teste, fiz login como um usuário normal e não consegui duplicar a infecção do GameCopyWorld de forma alguma, mesmo com uma versão do Windows XP completamente sem patches, por volta de 2001. Executando como um usuário normal realmente funciona.
Blog de Aaron Margosis é a melhor fonte de informações sobre a execução como um não-administrador. Sua lista de motivos pelos quais o senhor não deve executar como administrador é de arrepiar os cabelos:
Se o senhor estiver executando como administrador, um exploit pode:
- instalar rootkits e/ou keyloggers no modo kernel (que podem ser quase impossíveis de detectar)
- instalar e iniciar serviços
- instalar controles ActiveX, incluindo IE e suplementos de shell (comum com spyware e adware)
- acessar dados pertencentes a outros usuários
- fazer com que o código seja executado sempre que alguém fizer logon (incluindo a captura de senhas inseridas na caixa de diálogo de logon Ctrl-Alt-Del)
- substituir o sistema operacional e outros arquivos de programas por cavalos de troia
- acessar os segredos do LSA, incluindo outras informações confidenciais da conta, possivelmente incluindo informações de contas de domínio
- desativar/desinstalar o antivírus
- cobrir seus rastros no registro de eventos
- tornar seu computador não inicializável
- se a sua conta for de administrador em outros computadores da rede, o malware obtém controle de administrador sobre esses computadores também
… e muito mais
Admito que não sou o melhor modelo para o senhor nessa questão. Pessoalmente, perdi meu entusiasmo por contas de usuário limitadas quando A Microsoft não teve coragem de tornar os usuários padrão o padrão, como deveria ter feito, no Windows Vista. I juraram que iriam. Em vez disso, obtivemos um híbrido de esquisitices de administrador e esquisitices de “Cancelar ou permitir”.
Acho que isso é mais uma coisa que podemos sacrificar no o altar escuro da compatibilidade com versões anteriores.
Entendo a pressão para ser compatível com versões anteriores. Não há fim para o blowback do Vista com base em problemas menores de compatibilidade de driver. O “se não funcionar, a culpa é automaticamente da Microsoft, mesmo que a culpa seja claramente do fornecedor de software ou hardware” infelizmente, essa mentalidade é muito comum. Mas, dada a epidemia massiva e contínua de segurança do Windows, estava padronizando usuários regulares para contas de Administrador – exatamente como o Windows XP, o Windows 2000 e o Windows NT antes dele -. realmente a decisão certa a ser tomada?
Não tenho tanta certeza.