Duas pragas de plugins do Firefox

Dois complementos para o Firefox traziam cavalos de troia para a máquina do usuário e ficaram sem detecção por meses. Ouça no artigo de hoje.

Audio via YouTube
>

Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o boletim no blog da Mozilla.

Clique aqui para ler um descritivo do Win32.LdPinch.gen na enciclopédia de vírus da Microsoft.

Clique aqui para ler um descritivo do Win32.Bifrose na enciclopédia de vírus da Microsoft.

Para ler esse artigo, clique no botão abaixo.

A Fundação Mozilla, responsável pelo desenvolvimento do navegador Firefox divulgou recentemente em seu blog que dois complementos que podiam ser baixados diretamente da página da Fundação carregavam códigos maliciosos que ficaram sem detecção durante meses.

Os dois complementos em questão são a versão 4.0 do Sothink Video Downloader, que continha o cavalo de troia Win32.LdPinch.gen; e o Master Filer, que continha o cavalo de troia Win32.Bifrose. Ambos os complementos com códigos maliciosos ficaram disponíveis de setembro de 2009 até o fim de janeiro de 2010, e o boletim da Mozilla sugere que os usuários que baixaram e instalaram esses complementos façam uma limpeza detalhada e imediata em seus sistemas. No período em questão o Sothink Video Downloader foi baixado cerca de 4000 vezes e o Master Filer por volta de 600 vezes. A Mozilla alerta, ainda, que não basta desinstalar os complementos para limpar o sistema. É necessário realizar uma varredura com um antivírus atualizado e remover todas as instâncias de arquivos e referências no registro que essas pragas gravam no disco.

Os cavalos de troia em questão são descritos pela enciclopédia de códigos maliciosos da Microsoft como sendo da categoria “severos”, e não devem ser subestimados. O Win32.LdPinch.gen capta senhas digitadas pelo usuário e utiliza um mecanismo próprio para enviar e-mails com os dados roubados para endereços na Internet. Já o Win32.Bifrose abre uma “porta dos fundos” no computador infectado e avisa o atacante de que esse computador está aberto para acessos remotos. O atacante pode, então, entrar na máquina e dar os comandos que quiser, copiando arquivos e observando o comportamento do usuário sem que este saiba. Um fato preocupante informado pela própria Mozilla é que segundo avaliações da Fundação são poucos os pacotes de antivírus que explicitamente detectam essas pragas. Sugiro fortemente que cada usuário confira na base de dados de vírus no site de sua solução se seus antivírus estão preparados para lidar com essas pragas específicas, principalmente se baixaram os complementos infectados.

Há duas lições importantes nesse caso. A primeira é que mesmo instituições confiáveis e softwares confiáveis podem ser vetores de infecção por vírus, o que nos deve deixar mais alertas ainda do que já somos hoje. A segunda é que com o aumento da velocidade e dos recursos dos computadores, cada vez mais software estará disponível para que instalemos e utilizemos, o que é mais matéria-prima para os bandidos. Em ambos os casos, a cautela e o preparo são armas fundamentais para quem quer se proteger.

Até a próxima.