Um grupo de pesquisadores suíços desenvolveu um novo programa que faz com que as redes de computadores atuem em conjunto de modo a evitar bugs em programas.

Bugs são os erros internos dos programas, que os fazem funcionar incorretamente ou mesmo travar o computador.

Imunidade dos computadores

Denominada Dimmunix, a ferramenta atua como se fosse uma vacina, aumentando a imunidade dos computadores e evitando futuras falhas.

Criado por pesquisadores da Escola Politécnica Federal de Lausanne, o sistema atua automaticamente, dispensando o monitoramento por parte de operadores de redes.

A abordagem se baseia no conceito de falha de imunidade. Na primeira vez que um bug ocorre em um software ou sistema operacional, o Dimmunix salva uma assinatura digital da falha e, em seguida, observa como o computador reage ao problema.

Quando o bug está para ocorrer novamente, a ferramenta o identifica em seus registros e automaticamente altera sua execução, de modo que o programa continue a funcionar normalmente.

Computação em nuvem

Com o Dimmunix, segundo seus criadores, os programas de navegação na internet (web browsers), por exemplo, "aprendem" a evitar o congelamento verificado na primeira vez que ocorreu um bug associado a um plug-in (programa associado e que aumenta as capacidades do navegador).

A nova ferramenta também emprega tecnologia de computação em nuvem (cloud computing) para imunizar redes inteiras. Quando uma falha ocorre em uma determinada estação de trabalho, o Dimmunix produz "vacinas" que se espalham por toda uma rede, protegendo suas estações de futuros problemas semelhantes.

Sistema imunológico para computadores

"O Dimmunix pode ser comparado ao sistema imunológico humano. Uma vez que o corpo é infectado, seu sistema imunológico desenvolve anticorpos. Posteriormente, ao deparar com o mesmo patógeno, o corpo o reconhece e sabe como combater eficientemente o problema", explicou George Candea, diretor do Laboratório de Sistemas Confiáveis, onde a ferramenta foi criada.

O Dimmunix está disponível para download gratuito para programadores e interessados. Sua eficácia, segundo seus autores, foi demonstrada em programas escritos em linguagens Java e C/C++ e em sistemas em JBoss, MySQL, ActiveMQ, Apache, HTTPd, JDBC, Java JDK e Limewire.

Mais informações podem ser obtidas no endereço http://dimmunix.epfl.ch.

Fonte: Agência FAPESP

Dica do leitor e Engenheiro Ambiental, Felipe Gomes.

O Windows Vista e o novo Windows 7 possuem um sistema especial de controle de contas dos usuários, diferente de tudo o que existia nas versões anteriores do Windows. Todos os programas são executados por padrão com uma conta limitada, mesmo quando rodados com conta de administrador. Para efetivamente rodar um programa com direitos de administrador, é necessário aprovar conscientemente isso.

Um sério problema existe há muito tempo, que é a principal falha que permite que vírus, spywares e malwares em geral sejam instalados no Windows, a permissão de execução no sistema. O UAC (User Account Control) ou controle de conta do usuário foi criado para que o usuário precise autorizar manualmente a execução de programas no Windows, aquela famosa telinha chata que aparece cada vez que tentamos modificar algo no sistema.

As execuções são divididas em processos que podem criar COM objects como administrador, os próprios COM objects criados e uma lista de 70 processos autorizados pelo Microsoft. Como um modo de não "chatear" demais os usuários, a "lista branca" são processos que podem ser executados sem a autorização prévia do usuário.

Vírus fazem a festa no Windows 7

A verdade é que este tipo de controle já se provou totalmente falho se o nível de segurança do UAC for deixado como padrão. A Sophos, um dos principais laboratórios de segurança em tecnologia testou e confirmou que o UAC do Windows 7, em seu nível de controle padrão, permite a execução de 8 em cada 10 vírus testados, ou seja, em cada 10 vírus injetados no sistema, 8 conseguiram autorização para agir livremente.

No Windows 7, no nível padrão do UAC, algumas aplicações não pedem elevação, ou seja, rodam diretamente com direitos administrativos. Isso permite que outros programas sejam rodados como administrador sem passar pela confirmação, com injeção de código.

Aumentar ou não o nível de controle?

Cria-se um paradoxo, o que fazer se os níveis de proteção padrão não adiantam e os níveis de proteção máxima inviabilizam o bom uso do sistema? A melhor forma de se prevenir usando o Windows 7 é configurar o UAC para sempre avisar, deixando a proteção no máximo. Com isso ele trabalha de forma parecida como é no Vista, sem dar direitos administrativos a aplicações do próprio Windows.Quem usa o Windows 7 com o UAC no nível padrão já deve ter percebido que, algumas ações que antes no Vista exibiam e pediam confirmação, no 7 rodam diretamente. Para aumentar o nível de segurança do UAC do Windows:

1. Vá em Executar ou na barra de buscas que serve como executor e digite: UAC

2. Aumente o nível de notificação do sistema para Máximo.

Sacrificando a segurança pela usabilidade

Eu não clico em qualquer coisa, tenho um bom anti-vírus e sou um usuário experiente que não quer se chatear com as perguntas da Microsoft, o que fazer? Você pode mudar a frequencia com que o UAC faz perguntas ao usuário:

1. Vá em Executar ou na barra de buscas que serve como executor e digite: UAC

2. Aumente o nível de notificação do sistema para Nunca Notificar.

Códigos desativam a proteção do Windows

Agora estou completamente seguro? Infelizmente não! Além de artigos discutindo e questionando a eficácia do controle de usuários do Windows, já existem códigos na internet criados por um garoto de 12 anos que simplesmente desativam o UAC do Windows, ou seja, nem com nível máximo de proteção você estará 100% seguro.

Esta semana fui alertado pelo meu amigo Pedro (o homem que nunca twitta) sobre um golpe que visa roubar números de contas e senhas de usuários que utilizam bancos via internet. O golpe consiste em utilizar um vírus/worm ou outro método para alterar o arquivo de HOSTS do Windows, redirecionando endereços de instituições financeiras para falsos sites que possuem as mesmas interfaces usadas pelos bancos no intuito de enganar seus usuários.

O arquivo HOSTS é um arquivo especial do sistema operacional. Ele é capaz de forçar a resolução de certos nomes (ou sites na internet) para endereços IP específicos. Dessa forma, você pode bloquear sites, fazer com que um endereço entre em uma página diferente, entre outras coisas.

Verifique o arquivo hosts do seu Windows, ele se encontra normalmente dentro da pasta C:\WINDOWS\system32\drivers\etc e para abri-lo, clique com o botão direito > abrir > escolha a opção bloco de notas.

O arquivo original apresentará apenas um direcionamento do localhost em seu conteúdo, como no exemplo abaixo, o restante acima são apenas comentários.

127.0.0.1                              localhost

Após ser modificado pelos golpistas, o arquivo hosts pode apresentar diversos redirecionamentos, como os que foram encontrados no arquivo do computador infectado:

127.0.0.1                             localhost
65.18.164.41                      www.bradesco.com.br
76.163.108.205              www.santander.com.br
65.18.164.41                      bancoreal.com.br
65.18.164.41                      bancodobrasil.com.br
65.18.164.41                      banrisul.com.br
65.18.164.41                      bb.com.br
65.18.164.41                      bradesco.com.br
76.163.108.205              santander.com.br
65.18.164.41                      itau.com.br
76.163.108.205              americanexpress.com.br
76.163.108.205              itaupersonnalite.com.br
76.163.108.205              bradescoprime.com.br

Através desses redirecionamentos, o cliente que acessa o site de algum destes bancos acima é levado para uma página falsa hospedada em alguns destes enderços de IP, onde o cliente é induzido a digitar seus dados bancários que eventualmente serão usados para realização de saques e transferências indevidas.

Verifique o arquivo hosts do seu Windows e caso ele possua alguma alteração, apague-as e reforce a segurança do seu anti-vírus! Algumas empresas fazem mudanças no arquivo hosts para controlar o tráfego da rede. Caso encontre alguma alteração neste arquivo, informe ao administrador da sua rede.

Entre os hosts usados para hospedar sites falsos pelos golpistas é possível encontrar coisas inusitadas, como este site de uma igreja evangélica que hospeda um teclado virtual usado para roubar senhas de clientes do banco Bradesco.

Clique para ampliar

Parece que atráves de alguma brecha de segurança no host os golpistas conseguiram transferir arquivos e usar o host da igreja como um fantasma para hospedar a tela que imita o banco ou o próprio administrador do site da igreja está por trás do golpe, quem sabe.

Muitas pessoas deixam de usar os serviços do internet banking por receio deste tipo de golpe, mas tomando todos os devidos cuidados, como verificar se o endereço da página é realmente do banco, visualizar o cadeado no navegador que atesta que aquela é uma conexão segura e sempre manter um bom programa anti-vírus atualizado no computador, garantem tranquilidade para este tipo de operação. Denuncie ao seu banco qualquer tipo de anomalia suspeita.

VirusTotal é um serviço que analisa arquivos suspeitos e proporciona uma rápida detecção de vírus, worms, cavalos de tróia e todos os tipos de arquivos maliciosos detectados por vários mecanismos de antivírus.

Características:

* Serviço independente e gratuito
* Uso de múltiplos mecanismos de antivírus
* Atualizações de assinaturas de antivírus em tempo real
* Resultados detalhados de cada mecanismo
* Estatísticas globais em tempo real

Mecanismos de detecção usados:

* AhnLab (V3)
* Antiy Labs (Antiy-AVL)
* Aladdin (eSafe)
* ALWIL (Avast! Antivirus)
* Authentium (Command Antivirus)
* AVG Technologies (AVG)
* Avira (AntiVir)
* Cat Computer Services (Quick Heal)
* ClamAV (ClamAV)
* Comodo (Comodo)
* CA Inc. (Vet)
* Doctor Web, Ltd. (DrWeb)
* Emsi Software GmbH (a-squared)
* Eset Software (ESET NOD32)
* Fortinet (Fortinet)
* FRISK Software (F-Prot)
* F-Secure (F-Secure)
* G DATA Software (GData)
* Hacksoft (The Hacker)
* Hauri (ViRobot)
* Ikarus Software (Ikarus)
* INCA Internet (nProtect)
* K7 Computing (K7AntiVirus)
* Kaspersky Lab (AVP)
* McAfee (VirusScan)
* Microsoft (Malware Protection)
* Norman (Norman Antivirus)
* Panda Security (Panda Platinum)
* PC Tools (PCTools)
* Prevx (Prevx1)
* Rising Antivirus (Rising)
* Secure Computing (SecureWeb)
* BitDefender GmbH (BitDefender)
* Sophos (SAV)
* Sunbelt Software (Antivirus)
* Symantec (Norton Antivirus)
* VirusBlokAda (VBA32)
* Trend Micro (TrendMicro)
* VirusBuster (VirusBuster)
* PEiD (PEiD)
* pefile (pefile)
* TrID (Marco Pontello)
* PDFiD (Didier Stevens)

Como usar:

Acesse o site e faça o upload do arquivo suspeito pelo navegador ou por email.

Se depois desta “passada geral” o seu arquivo ainda continuar infectado, faça um favor para a humanidade e mande cremar o seu computador, antes que esta terrível praga se espalhe pelo mundo!

Será piada? 1º de abril é a data em que o worm Conficker (configuration + ficken) está programado para ser ativado. O nome que é a palavra configuração em inglês mais um sinônimo alternativo para fu***, deixa claro o que ele pretende fazer com a configuração do seu computador.

Parece mesmo piada, mas a Microsoft está tão preocupada com este worm que está oferecendo US$ 250.000 por informações sobre o criador da praga.

O Conficker surgiu em novembro e foi considerado de baixa periculosidade, pois explorava uma falha de segurança de um servidor remoto da Microsoft que já havia sido corrigida.

No entanto, no mês seguinte já havia uma versão nova, o Conficker B, que obteve sucesso em se espalhar tanto pela internet quanto pelas redes internas de escritórios e casas. Além de replicar-se desenfreadamente, ele também foi programado para desativar softwares de segurança e atualizações automáticas do Windows. Com isso, conseguiu se instalar em milhões de máquinas ao redor do mundo.

Como ele infecta?

Ele chega ao micro principalmente pela rede e por pendrives, através de um buffer overflow causado por uma fragilidade no serviço de servidor no Windows.  Daí em diante, ele fará um RPC (Remote Procedure Call) solicitando um código especial para ser executado no computador de destino na rede.

A Microsoft diz que lançou atualizações para fechar esta brecha, por isso certifique-se o seu Windows está sempre atualizado. Uma vez infectado, este worm irá abrir um caminho para um servidor que irá instruí-lo a baixar dados pessoais através de um trojan.

Sinais de infecção

* Aparecem mensagens de erro como Generic Host Process.

* Alguns serviços, como o Windows Update, Backgorund Intelligent Transfer (bits) e Windows Defender são desativados.

* Ele bloqueia sites de programas anti-vírus (Symantec, AVG, etc.)

Como se defender

Instale patches de segurança da Windows (KB958644) em: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Download do Microsoft Windows Malicious Software Removal Tool / MSRT (KB890830) de http://www.microsoft.com/security/malwareremove/default.mspx

Desativar o autorun (KB953252), devido a infecção secundária técnica deste worm via pendrive: http://support.microsoft.com/kb/953252 e importar a seguinte chave de registro a partir desta página: http://www.us-cert.gov/cas/techalerts/TA09-020A.html

Atualize seu antivírus e se preciso, utilize a ferramenta gratuita da Symantec para remoção do malware.