Forma “rara” de malware executa código diretamente na memória do sistema e abre comunicação com um servidor para baixar um Cavalo de Tróia. Pesquisadores descobriram uma forma extremamente rara e possivelmente única de malware “fileless” (sem arquivos). O vírus é executado inteiramente na memória, sem a necessidade de salvar qualquer arquivos no HD da vítima.
A descoberta foi feita pela Kaspersky Lab, que recebeu relatos de um ataque de malware que explora uma vulnerabilidade Java comum (CVE-2011-3544) em sites russos, mas sem usar nenhum arquivo, como em um ataque Trojan convencional. O malware executa JavaScript a partir de um iFrame embutido em um site infectado, injetando um código .dll (instruções) criptografado diretamente no processo Javaw.exe.
O objetivo do malware incomum parece ser duplo: desativar o Controle de Usuário do Windows (UAC) e agir como um “desbravador”, criando um bot para se comunicar com um servidor de comando e controle (C&C), a partir do qual pode receber instruções – incluindo uma para instalar o Trojan Lurk no PC. A desvantagem deste ataque é que o internauta pode ficar livre dele apenas reiniciando a máquina (o que limpa a memória). Neste caso, uma nova infecção seria necessária.
No entanto, é extremamente difícil de detectar. Não há arquivos gravados e, a princípio, nenhum arquivo é alterado no computador de destino. Se a falha explorada não é corrigida no micro, então os programas de segurança não vão detectá-la facilmente. O uso de Java também torna multi-plataforma, capaz de atingir PCs, Macs e Linux. A Kaspersky lembra que o novo malware é uma herança dos worms Code Red e Slammer de uma década atrás, mas ambos foram criados simplesmente para se disseminar o mais rapidamente o possível.
Como ambos atacaram programas específicos da Microsoft usando estouro de memória (buffer overflow), arquivos não eram necessários. O novo ataque abre uma brecha no sistema, sem chamar a atenção dos softwares antivírus, para o download posterior de um Cavalo de Tróia. “Com base em nossa análise do protocolo usado pelo Lurk para se comunicar com os servidores de comando, vimos que, ao longo de um período de vários meses, eles processaram pedidos de até 300 mil máquinas infectadas”, escreveu o pesquisador Sergey Golovanov.
Fonte: IDG Now