O perigo digital chegou às blogosfera. Uma nova variante da família do cavalo de tróia Nuwar está atacando os serviços oferecidos pelo Blogger.com, do Google, simulando uma nova postagem de texto em blogs e enviando e-mails com links que simulam ser sobre vídeo do YouTube para depois descarregar uma botnet, que tem como finalidade criar redes de computadores zumbis infectados com os chamados “bots”, robôs automatizados criados para enviar spams ou realizar ataques remotos e automáticos nos microcomputadores. O troiano em questão é o Win32/Nuwar, que foi detectado pro ativamente pela tecnologia ThreatSense, serviço de alerta do antivírus ESET NOD32, distribuído no Brasil pela Protagon Segurança de Dados.

O troiano se aproveita da credibilidade do serviço para enganar os usuários que, ao clicarem no link indicado para ver o vídeo, são vitimadas por um malware e têm seu PC contaminado. A praga se utiliza da funcionalidade “Mail-to-Blogger” para criação de mensagens de correio eletrônico sobre uma nova postagem no blog atacado. Neste caso, a mensagem carrega com um link falso.

A família Nuwar tem evoluído rapidamente graças ao trabalho constante de seus criadores, que buscam novas técnicas para burlar os softwares antivírus e infectar os computadores. Por isso, é praticamente impossível, segundo o ESET, gerar diariamente novas assinaturas para cada uma de suas inúmeras novas variantes. A única maneira de se prevenir deste tipo de ameaça é utilizar assinaturas genéricas ou uma heurística avançada e proteção pro ativa, como a oferecida pelas tecnologias ThreatSense.

A tecnologia ThreatSense inclui a forma tradicional das assinaturas de malware, mas também utiliza a próxima geração de assinaturas genéricas para detectar rapidamente novas famílias de malwares conhecidos e suas variantes futuras. Esta forma adaptativa de especificação de assinaturas melhora a habilidade do ThreatSense para detectar variantes futuras de qualquer praga em circulação na rede mundial de computadores.

Os métodos básicos de heurísticas podem detectar alguns macros básicos e vírus de script. O motor de heurísticas avançadas do ThreatSense habilita a detecção de malwares não especificados na base de dados de assinaturas. Ele decodifica pro ativamente e analisa o código do executável em um ambiente protegido, para identificar seu comportamento, característica das ameaças de hoje, por exemplo, os worms WIN32, programas backdoor e trojans. O seu motor é capaz de identificar mais de 90% dos chamados vírus ou worms ’dia-zero’, os quais a maioria dos outros fabricantes não detecta sem a atualização das assinaturas.

O arquivamento e o empacotamento são técnicas usadas por malwares para ’enganar’ a detecção baseada em assinaturas. Para enfrentar esta dinâmica, o ThreatSense inclui tecnologia de desempacotamento e emulação genérica para decodificar virtualmente qualquer malware oculto ou modificado por empacotadores em tempo real. “Este algoritmo sofisticado faz com que os códigos maliciosos não se tornem indetectáveis. Esta abordagem para detecção aumenta os benefícios e faz do NOD32 a solução mais rápida, com a maior taxa de detecção e mais leve do mercado”, comenta Breno Pilar, diretor da Protagon Segurança de Dados (www.protagon.com.br), empresa distribuidora exclusiva dos produtos ESET no Brasil.