Combatendo vírus na nuvem
A PandaLabs anunciou esta semana, segundo nota divulgada pela PCMagazine, a disponibilização de um anti-vírus gratuito, e que consome poucos recursos.
Já que consumir poucos recursos é a promessa de 9 entre cada 10 anti-vírus disponíveis atualmente no mercado, não foi exatamente isso o que me chamou a atenção, mas sim o mecanismo que eles alegam que torna a solução leve: O Panda Cloud Antivirus, como o próprio nome delata, é uma ferramenta que emprega tecnologia de cloud computing.
Imagine ter à sua disposição uma comunidade global de mais de 10 milhões de usuários que façam por conta própria — e automaticamente — o trabalho de identificar e classificar novas ameaças, como malwares e spywares, tudo em tempo real. Assim é a cloud computing, ou computação nas nuvens, ao pé da letra. A nuvem, neste caso, é uma referência à Internet, justamente onde ficam localizados todos os recursos que trabalharão em prol de cada usuário.
Fazendo com que o processamento seja realizado na nuvem, ao invés de no computador da minha ou da sua casa, o Cloud Antivirus deixa de consumir maiores recursos. Além disso, a nova ferramenta posterga ao máximo a análise de cada item suspeito. Na prática, isso quer dizer que o item não será verificado durante a cópia ou um download, mas sim, somente a partir do momento em que tentar executar alguma coisa suspeita, quando será devidamente bloqueado.
Uma coisa é certa: Ao longo dos anos eu já perdi a conta de quantas vezes cruzei com discussões do tipo “qual é o melhor anti-vírus da paróquia“. Não foram poucas, isso é verdade, assim como também é verdade o fato de que, na grande maioria das vezes, as reclamações das pessoas fatalmente estavam em consumo de recursos e lentidão dos programas.
Como esta questão de lentidão também é uma reclamação pessoal, nada melhor do que testar a solução oferecida pela Panda, e assim comprovar por conta própria se a ferramenta é tudo isso mesmo que diz ser. Aguardem. Fui em frente, baixei o programa e o pus à prova. A seguir, conforme prometi, as minhas impressões e comentários.
Algumas dicas sobre cavalos-de-tróia no Orkut
Navegando a toa esta semana por minha quase finada conta no Orkut, tive a chance de flagrar mais um exemplo dos já corriqueiros cavalos-de-tróia que infestam o serviço e representam perigo real para os internautas desavisados. Eis que um dos recados de minha conta dizia o seguinte:
Fizeram uma festinha na casa da Priscila, só que ela bebeu demais perdeu a vergonha e tirou a roupa, ai a galera nao dispensou tiraram muitas fotos dela e colocaram na internet. até que ela é bonita, olha ai o novo album dela rsrs.. depois me fale o que achou…
clique na imagem para ver o slide completo
A mensagem vinha acompanhada da foto de uma menina usando trajes mínimos extremamente provocativos e de um link malicioso, que supostamente apontava para um slideshow hospedado na Internet. Clicar o mouse sobre ele, no entanto, me fez salvar em meu computador o aparentemente inofensivo arquivo playvideos.exe.
Utilizando os serviços gratuitos de análise de arquivos do site Virustotal, confirmei o que eu já imaginava: Disfarçado sob diversas variações, o tal arquivo na realidade era o que genericamente os especialistas chamam de banker. Um banker nada mais é do que um cavalo-de-tróia especializado no roubo de senhas bancárias.
Com tal constatação, obviamente, meu próximo passo foi exterminar o arquivo. Mas o que teria acontecido caso eu resolvesse executar este arquivo em meu computador? Simples: teria sido contaminado pelo banker, e, neste caso, sofreria de três efeitos colaterais pra lá de indesejáveis:
- Com meu computador infectado pela execução do arquivo playvideos.exe, a execução de programas e a navegação na Internet se tornariam mais lentas, já que um processo ficaria em execução na memória do computador;
- Este processo, apesar de não alterar em nada o funcionamento do computador — exceto pela lentidão — monitoraria minhas atividades e enviaria minhas informações sigilosas — como as senhas e demais informações bancárias — direto para endereços de servidores excusos, para que hackers e outros oportunistas se aproveitassem delas;
- O mesmo processo ainda roubaria meus dados de usuário e senha do Orkut — normalmente localizados nos arquivos temporários ou cookies do computador após a navegação web — e os usuaria para mandar o mesmo link que eu recebi para os meus contatos, em meu nome. Notem que é por isso que muitas vezes uma mensagem maliciosa pode chegar a você como se tivesse vindo de um familiar, amigo ou colega que está na lista de contatos, como se fosse um link acima de qualquer suspeita.
É por isso que eu nunca acho demais lembrar as seguintes dicas para não ser pego de surpresa por um cavalo-de-tróia:
A curiosidade matou o gato!
Achou o recado que você recebeu suspeito? Não faça o download e, caso você já tenha feito, não abra o arquivo resultante em hipótese alguma. O melhor mesmo é mandá-lo direto para o céu dos arquivos para evitar contaminação.
O arquivo pode ser legítimo? Tire a prova!
Serviços como o Virustotal, que analisam arquivos individuais enviados a partir de qualquer computador, podem ser muito úteis para eliminar qualquer dúvida.
Este serviço específico, por exemplo, reúne empresas especialistas da área de segurança como a Grisoft, fabricante do gratuito AVG, a Kaspersky Labs e muitas outras para lhe fornecer toda a análise necessária antes de executar o que você baixou da Internet. Ah, e possui a interface totalmente traduzida para o português.
Lembre-se apenas que não há substituto certo para um bom anti-vírus instalado diretamente em seu computador.
Eu já cliquei no arquivo, e agora? Estou infectado?
Eu diria que a resposta é, com quase 100% de certeza, SIM. Mas não é necessário se desesperar, porquê há maneiras de combater estas pragas mesmo quando elas já estão confortavelmente instaladas nos arredores.
Primeiramente, você pode tentar o seu anti-vírus de escolha. Se for um bom produto, as chances de detectar algo errado e de eliminar o problema são muito, muito altas. Se você não consegue se decidir por um anti-vírus, talvez seja uma boa idéia analisar algumas comparações de desempenho entre os principais produtos, gratuitos ou não.
Se o anti-vírus instalado no computador não acusou nada mas você continua achando que sofreu uma infecção, pode também tentar uma análise realizada a partir de sites na Internet. Os principais fabricantes de anti-vírus disponibilizam este tipo de recurso gratuitamente. Uma boa opção é o NanoScan, da Panda, compatível com o Firefox através de um plugin, por sua rapidez.
A desvantagem de análises online, é que normalmente apenas a detecção é feita, e não a remoção. Para remover um arquivo malicioso, nestes casos, pode ser necessário desembolsar dinheiro e comprar um produto de boa qualidade se as opções gratuitas não forem capazes de combater a praga virtual que afetou seu computador.
Uma última tentativa de detecção também pode ser realizada com o uso de ferramentas específicas. Uma ferramenta desenvolvida 100% em território nacional é o BankerFix, criada pelo site Linha Defensiva, especializado em segurança.
Pessoalmente, confesso que não testei esta opção, mas ela parece ter atualização constante— quase diária — e ser capaz de remover uma grande variação de bankers. O download, para quem quiser experimentar pode ser feito por este link direto, e as instruções detalhadas de uso estão no site do programa.
Em resumo, fica a velha dica: Prudência. Ela nunca é demais quando se está navegando numa terra de ninguém como é a Internet.
Trojan põe o Adsense em risco!
O Google Adsense — sistema que permite que qualquer webmaster inclua em seu próprio site anúncios pelos quais recebe comissões se forem clicados pelos internautas — é o mais recente favorito dos golpistas virtuais, segundo informou a empresa de segurança BitDefender esta semana.
A praga Trojan.Qhost.WU, descoberta há apenas dois dias, é capaz de alterar as configurações dos anúncios exibidos nos sites, redirecionando os cliques dos desavisados visitantes de qualquer site para servidores piratas: Estes servidores, embora ainda não tenha sido comprovado, possivelmente contêm softwares maliciosos, os chamados “cavalos-de-tróia”, que podem causar desde a desconfiguração de um computador até o roubo de informações sigilosas, como senhas bancárias e de sistemas.
Embora o Google tenha divulgado comunicado afirmando já ter cancelado diversas contas de usuários que exibem anúncios mal-intencionados, este processo não seria suficiente, pelo menos de acordo com o ponto de vista de Nishad Herath, pesquisador sênior da McAfee AvertLabs, que acredita que a empresa esteja de mãos atadas para combater a praga em sites de terceiros. Seu argumento se baseia no fato de que estas pragas se instalam em cada máquina individual, e o controle nesta situação se torna praticamente inviável.
Isto deixa o combate nas mãos de pessoas como você ou eu — apesar de, neste exato momento, ao menos, eu haver desabilitado a exibição de Adsense no meu próprio site. De qualquer forma, as recomendações da própria BitDefender determinam que os arquivos infectados devem ser removidos, e que, nas máquinas dos usuários, o arquivo hosts — localizado no caminho %WINDIR%\System32\drivers\etc — seja verificado para que a linha contendo a entrada pagead2.googlesyndication.com seja removida. Por hora, é o que podemos fazer.
