2014/02/19

Trojan esconde-se dentro de imagem


Se há programas que se apressam a utilizar as técnicas mais criativas de programação, são os vírus e malware. Desta vez, temos um trojan que se libertou do código fonte tradicional para tentar escapar à detecção, escondendo-se... no interior de uma imagem.

A luta entre malware e os programas de detecção é um autêntico circo onde cada campo tentam continuamente superar o outro. Quando um programa de malware recorre a ficheiros comuns, facilita o processo de detecção, pois irá conter pedaços de código ou texto que indicam a sua presença. Mas uma variante do trojan Zeus denominada ZeusVM é mais criativa e recorre a uma técnica que, não sendo propriamente novidade (a esteganografia - técnica que esconde uma mensagem dentro de outra - é algo com milhares de anos) não deixa de ser original usada neste contexto.

Em vez de recorrer a um ficheiro de configuração normal, este trojan vai buscar os seus dados a uma imagem. Uma imagem que, quando vista por qualquer utilizador será completamente normal, mas que contém informação codificada que é utilizada por este trojan.


Comparando-se a imagem modificada com a original, rapidamente salta à vista as zonas em que a mesma foi modificada (sendo que a coisa poderia ter sido mais disfarçada se em vez de adicionar informação no final os dados fossem codificados nos próprios pixeis da imagem (embora para isso depois fosse necessária a imagem original para servir de referência).

Este trojan tem como alvo os sites de bancos, e sempre que detecta um que esteja na sua lista e em que o utilizador faça um login válido, tenta esvaziar o seu saldo.

Ou seja... já não basta ter que estar atento a potenciais ficheiros estranhos que possam aparecer nas nossas máquinas, temos também que começar a desconfiar das imagens. (Embora, verdade seja dita, quem é que hoje em dia é capaz de identificar se um ficheiro é legítimo ou não no meio dos milhares de ficheiros que se vão acumulando na pasta de sistema, documentos, caches, etc.?)

O melhor mesmo é adoptar métodos preventivos: ter o sistema actualizado, evitar sites e programas "duvidosos", e principalmente... não clicar naqueles popups que surgirem quando estão a navegar na internet e que prometem "optimizar e acelerar o vosso PC" ou limpá-los dos "369 malwares que foram detectados" na vossa máquina.

Sem comentários:

Enviar um comentário (problemas a comentar?)