SÃO PAULO – A empresa de segurança AVG descobriu uma nova forma de ataque malware, que utiliza um antivírus para se disseminar.
O novo tipo de malware utiliza o software antivírus Webshield, da chinesa Kingsoft, para se propagar.
O Webshield foi projetado para identificar phishing e sites contaminados e tem duas funções principais evitar brechas que os malware exploram: bloquear a página inicial do Internet Explorer e evitar que o mesmo seja alterado, e o redirecionamento de páginas.
De acordo com os pesquisadores da AVG Vírus Lab, o malware combina módulos da Kingsoft e utilizando seus componentes modifica os arquivos de configuração, como os da página inicial inserindo uma lista de URLs falsas.
Sendo assim, o usuário que tiver a máquina infectada, terá configurada a página inicial do seu browser como falsa, e, se tentar acessar os URLs listados no arquivo de configuração, o usuário será redirecionado para outras páginas, também falsas.
O malware é embalado no Nullsoft Install System-NSIS, script de instalação do software. O malware procura o processo denominado "KSWebShield.exe” que significa que o programa já está em execução. Se o encontrar, irá pará-lo e remover o serviço Kingsoft WebShield.
Após essa ação, o malware copia os módulos que precisa para um diretório. Assim, o malware irá instalar e executar o serviço Kingsoft WebShield, que estará maliciosamente configurado.
Para solucionar o problema, a empresa sugere utilizar um bom programa antivírus para fazer a varredura. Se a ferramenta do programa não o fizer automaticamente, é necessário desativar, através do painel de controle, o serviço "smes" e apagar os arquivos nos diretórios “C:Documents and SettingsAll UsersApplication Datasmes” e “C:Documents and SettingsAll UsersApplication Datakingsoftkws”.
Fonte:http://twurl.nl/8kp025
Nenhum comentário:
Postar um comentário