August 26, 2005 – 3:23 pm
Esta notícia é tão interessante que resolvi colocar na íntegra, abaixo. O famoso malware que rouba documentos confidenciais, que é minha preocupação há tempos. E já inserido em um negócio para venda de informações roubadas. Como era enviado por e-mail, as proteções de perímetro não ajudam no combate. Ainda bem que ainda é algo bem amador (FTP!). O precedente, entretanto, está aberto. Está na hora das empresas começarem a trabalhar mais seu ambiente interno, tanto na prevenção quanto na detecção. Esse exemplo faria um baita barulho em sistemas que monitorassem o acesso a arquivos por parte dos usuários. Só que ninguém faz isso…
Vírus rouba documentos confidenciais de empresas
Sexta-feira, 26 agosto de 2005 - 11:41
IDG Now! com Guilherme Bantel
A F-Secure alertou nesta sexta-feira (26/08) para a descoberta de uma rede de roubo e venda ilegal de documentos e informações confidenciais, coletados de computadores infectados com a família de vírus Myfip.
A praga, disse a empresa finlandesa de segurança, foi inicialmente descoberta em agosto de 2004 e não apresentava níveis elevados de propagação.
Uma de suas características, entretanto, foi a de capturar arquivos no formato PDF (Adobe Acrobat) e enviá-los para um servidor FTP localizado na China.
De acordo com uma análise da Lurhq, a família de pragas Myfip já era programada para roubar outros tipos de documentos que naturalmente são usados para guardar informações confidenciais, como arquivos do Word (DOC) e desenhos criados no AutoCAD (CAD/CAM).
O método de propagação do vírus é por e-mail, apesar de ele não possuir nenhum mecanismo interno para capturar e enviar cópias de si mesmo para outros e-mails encontrados.
A Lurhq afirma que a praga era distribuída por um sistema de entrega de spam e, por conta de um inglês cheio de erros de gramática, era fácil identificar a mensagem infectada.
Outro método conhecido é a de se espalhar por computadores conectados à uma rede local - ambiente encontrado em praticamente todos os sistemas corporativos. O Myfip criava uma cópia sua no disco da vítima, com o nome “iloveyou.txt.exe”, utilizando um ícone do Bloco de Notas como disfarce.
O que a Lurhq descobriu, porém, é um esquema muito organizado e, provavelmente, bastante lucrativo. O criador do Myfip, identificado como “Mr. Zhang”, possuía também um servidor FTP para o qual todos os arquivos roubados eram direcionados para, depois, serem vendidos.
Com isso, o criador do esquema anunciava em fóruns diversos e websites estudantis a venda de trabalhos escolares, pesquisas científicas e documentos corporativos - tudo baseado no pagamento de taxas, que davam direito de acesso ao FTP por um número determinado de dias.
O site utilizado para a venda dos documentos (www.net918.com) está fora do ar, apesar de as variantes do Myfip continuarem enviando arquivos roubados para o mesmo servidor FTP.
Outro website com nome similar (www.net918.net), porém, ainda está funcionando - ali, uma empresa chinesa de tecnologia comercializa soluções e domínios para a web daquele país.
Utilizando o mecanismo da Archive.org, que guarda imagens de antigos sites que já foram retirados do ar por toda a web, é possível verificar que o antigo site Net918.com comercializava documentos roubados, como trabalhos para curso de MBA e até planos de expansão de redes capturados de alguma empresa.
Até o momento, nenhuma ação policial foi anunciada para desarmar o esquema.
Tanto a Lurhq quanto a F-Secure alertam as empresas sobre os riscos de roubo de propriedade intelectual, recomendando a instalação e manutenção de softwares antivírus na rede corporativa.
Para usuários domésticos, o aviso é o mesmo - nunca abra mensagens de e-mail suspeitas e mantenha sempre um software antivírus atualizado e operante no sistema.
O vírus Myfip já se encontra na sua oitava variante (Myfip.H) e ataca somente sistemas Windows, da Microsoft.
