Novo vírus é descoberto durante investigação “Operação Aurora”
By primatec at 2010-11-18
Enquanto investigavam a ameaça “Operação Aurora” – ataque que explora vulnerabilidades do navegador Internet Explorer e que atingiu o Google e diversas corporações –, especialistas da McAfee Labs descobriram um novo ataque que visa os computadores de usuários vietnamitas para incluí-los em uma rede do tipo botnet (PCs zumbis), denominado W32/VulcanBot. Segundo a empresa, este ataque à rede foi identificado em janeiro de 2010, está ativo e tem origem em um endereço IP do Vietnã.
O botnet foi criado, aparentemente, com motivações políticas e apresenta-se disfarçado de uma ferramenta que permite aos vietnamitas converterem o teclado para seu idioma no Windows. Conhecida como VPSKeys, a ferramenta é necessária aos vietnamitas para inserirem os caracteres de sua língua, ao usar o Windows.
No momento em que a empresa identificou o W32/VulcanBot, percebeu que a sua ação não tinha relação com a “Operação Aurora”. Os resultados da investigação dos especialistas da empresa estão sendo compartilhados com o Google, já que a Aurora envolveu o site de buscas. “O código do botnet é muito menos elaborado que os ataques da Operação. São comuns os códigos de botnet utilizarem máquinas infectadas para lançar negações distribuídas de ataques de serviço, monitorar atividades em sistemas comprometidos e promover outras ações mal-intencionadas”, explica George Kurtz, CTO da McAfee.
Kurtz desconfia de que os ataques comprometam primeiro o website da VPS (Vietnamese Professionals Society), substituindo o dispositivo de teclado legítimo por um cavalo de troia. Em seguida, os agressores enviaram um e-mail a determinados indivíduos, que foram direcionados novamente para o website da VPS, onde baixaram o malware no lugar da ferramenta.
De acordo com a McAfee, o W32/VulcanBot conectou as máquinas infectadas a uma rede de computadores comprometidos. “Durante a nossa investigação do botnet, descobrimos uma dúzia de sistemas de comando e controle para a rede de computadores capturados. Os servidores foram acessados predominantemente a partir de endereços IP do Vietnã”, afirma Kurtz.
0 comentários :
Postar um comentário