Como a praga Flashback infectou 650 mil computadores com Mac OS X
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
A fabricante de antivírus Dr. Web divulgou na semana passada que a praga digital Flashback, que ataca usuários de Mac OS X usando falhas no Java, conseguiu infectar 650 mil usuários (eram 600 mil, mas o número já foi atualizado). Várias informações sobre esse vírus ainda são imprecisas, mas já se tem algumas ideias do que ele faz, como se instala no computador e como ele pode ser detectado.
O Flashback é também chamado de Flashfake e não uma praga do tipo "vírus clássico" porque ele não tem a capacidade de infectar arquivos no computador. Ou seja, um Mac infectado não infecta outros Macs de nenhuma forma. Tecnicamente, o Flashback é considerado um "cavalo de Troia" e é disseminado apenas por páginas web que foram criadas ou alteradas pelos hackers responsáveis pelo ataque.
As páginas maliciosas possuem applets do Java que são executadas por meio de um plug-in no navegador, seja Safari, Firefox ou Chrome. Esse plug-in é normalmente fornecido pela Oracle. No Mac, é a própria Apple a responsável por distribuir atualizações para o Java, embora elas sejam fornecidas pela Oracle. A Apple atrasou uma atualização, lançada em 14 de fevereiro, e deixou usuários de Macs vulneráveis até a última terça (3/04), quando um ataque do Flashback explorando a falha até então sem correção já tinha sido detectado na web.
A Apple investiu em comerciais que divulgaram o Mac como seguro contra "vírus de PCs". Muita gente entendeu que o sistema era completamente imune a vírus, ignorando dicas de segurança e confiando no sistema operacional.
Funcionalidade
Segundo a fabricante de antivírus Intego, que é especializada na plataforma Apple, o Flashback monitora o acesso a sites de banco, Paypal, Google e Yahoo, entre outros, para roubar as senhas dos internautas.
A Dr. Web não confirmou esse comportamento. Na análise deles, o Flashback apenas redireciona links de sites de busca, provavelmente numa tentativa de gerar cliques em anúncios e com isso um ganho financeiro para os responsáveis. Pragas desse tipo também existem no Windows.
Estatísticas
O número de 600 mil computadores infectados foi obtido inicialmente pela Dr. Web e confirmado pela Kaspersky.
O Flashback conecta periodicamente a um servidor de controle. O endereço desse servidor é gerado por um algoritmo do vírus. Essa técnica já foi usada por vírus de Windows e tem como objetivo certificar que sempre será possível registrar um endereço e ter o controle do vírus, mesmo que os endereços anteriores sejam desativados.
No entanto, tendo conhecimento desse algoritmo, é possível prever qual será o próximo endereço de controle, registrá-lo, e receber as notificações enviadas pelo vírus no lugar dos hackers.
Foi assim que a Dr. Web e a Kaspersky conseguiram registrar um endereço e em seguida ter esse endereço bombardeado com acessos das máquinas infectadas. Os computadores infectados enviam o identificador do hardware da máquina, ou seja, dois acessos do mesmo sistema não foram contados duas vezes.
As estatísticas, ao que tudo indica, são reais: 1 em cada 100 Macs está infectado – estima-se que há 65 milhões de Macs em uso -, tornando a epidemia do Flashback proporcionalmente mais comum que a do vírus Conficker para Windows, que infectou 7 milhões de computadores.
Instalação e remoção
O Flashback não depende de permissões de root para se instalar em um sistema. Quem visitar uma página maliciosa com um Java vulnerável será imediatamente infectado, mesmo que negue o fornecimento da senha de root. A senha apenas permite que o vírus se instale diretamente como um complemente do Safari, evitando ser executado junto de outros softwares que são incompatíveis com os componentes do vírus.
Os arquivos utilizados são aleatórios. Para detectar a praga, as companhias antivírus sugerem que usuários digitem dois comandos em uma janela de terminal:
- defaults read /Applications/Safari.app/Contents/Info LSEnvironment
- defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Se algum desses comandos retornar o nome de um arquivo – e não o erro "domain pair does not exist" – é bem provável que o computador esteja infectado. Será preciso copiar a linha completa do nome do arquivo em um novo comando:
- grep -a -o '__ldpath__[ -~]*' NOME-DO-ARQUIVO
Em que "NOME-DO-ARQUIVO" é o caminho retornando pelo comando anterior. Descoberto o nome do arquivo, ele deverá ser apagado. Em seguida, será preciso executar mais estes comandos:
- sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
- sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
- sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
- sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist
- defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
- launchctl unsetenv DYLD_INSERT_LIBRARIES
Após isso, o Mac estará livre da praga.
A primeira grande epidemia em Macs
O Flashback é o primeiro código malicioso para Mac OS X que infectou um número considerável de usuários. Até hoje, a coluna Segurança Digital tem dito que antivírus para o sistema não é necessário.
É hora de reconsiderar essa decisão.
Existem softwares de segurança gratuitos para Mac, como o antivírus da Sophos, e vale a pena verificar o Mac para ver se há alguma praga digital instalada. Dicas de segurança universais, como a atualização do sistema e softwares, também estão valendo.
O Mac ainda não tem o mesmo número de vírus que o Windows, mas isso não é tão relevante quanto parece. Um único ataque tirando proveito de uma falha sem correção, ou que a correção não foi aplicada, ainda pode infectar o computador. Essa é a lição do Flashback.