CCleaner infectado e anúncio falso no celular: pacotão de segurança
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.
>>> CCleaner infectado
Estou acompanhando e li sua notícia sobre o incidente de segurança com o Ccleaner, porém, me surgiram as seguintes dúvidas:
1- Meu sistema não tem um ponto de restauração anterior ou igual ao dia 15/08/2017, e agora?
2- Li em outros sites que um especialista da Cisco afirmou que o malware não chegou a ser "efetivado/ativado" ele estava apenas em uma fase de coleta de dados e foi devidamente desativado. Mas como isso é possível, desativar um malware? (isso só seria possível para o usuário ou para o criminoso, não?)
3- Por que a Avast recomenda apenas atualizar o Ccleaner, sem nenhuma forma de remoção ou desinfecção? A ameaça irá permanecer presente no sistema, não é mesmo?
4- O MBAM detectou que o Ccleaner 5.33 estava infectado em 17/09/2017, porém eu não o removi através do MBAM, eu executei a desinstalação do Ccleaner manualmente e removendo todas as pastas e vestígios, logo em seguida reiniciei o sistema e executei uma verificação completa com o MBAM e nada foi encontrado. Creio que como esse malware é desconhecido, ainda posso estar comprometido devido algum tipo de processo criado pelo malware, correto?
Henrique
Henrique, vamos lá:
1. Se você não se sente confortável em seguir usando o sistema após uma contaminação por vírus, o ideal é reinstalar o sistema operacional e todos os demais programas. Se você segue boas práticas de segurança, já deverá possuir um backup dos seus arquivos. Caso você use o Windows 10, a reinstalação do Windows é bastante fácil e você pode acessá-la a partir de Configurações > Atualizações e segurança.
2. Isso é bastante questionável. Não é possível saber exatamente como o CCleaner infectado se comportou em todos os computadores que o executaram, porque o comportamento dependia de uma ordem do servidor remoto. É possível que códigos maliciosos diferentes tenham sido distribuídos para computadores diferentes. Por enquanto, não há evidências de danos maiores, nem de vírus distintos, mas isso não quer dizer que algo maior não tenha acontecido.
Vou usar outro exemplo para ficar mais fácil de entender. Existem ataques chamados de "watering hole", em que um invasor ataca um site de internet que será visitado pela sua vítima. Quando a vítima visita o site, o código embutido pelo invasor tenta contaminar o computador.
No entanto, o código, antes de infectar a máquina completamente, tenta garantir que o sistema alvo é realmente o alvo e não um outro visitante qualquer. Isso diminui a exposição do vírus aos programas de segurança, aumentando as chances de ele passar despercebido.
Do mesmo modo, é esse ataque ao CCleaner pode ter tido alvos bastante específicos e que foram atacados de um modo que não foi descoberto até agora. Como a base de usuários do CCleaner é muito grande, os invasores podem ter atingido os mais diversos alvos com essa ação. Pela qualidade do ataque, porém, não parece que a intenção deles foi apenas contaminar o maior número de usuários possível.
3. Como o código inicial do vírus estava apenas no CCleaner e muitos computadores não chegaram a receber o segundo estágio da contaminação, atualizar o CCleaner basta para eliminar o problema.
4. A possibilidade é bastante pequena. Se um código malicioso avançado foi distribuído por meio do CCleaner, é pouco provável que ele tenha atacado justamente o seu computador (a não ser que você, por algum motivo, estava entre os alvos dos invasores). No entanto, apesar de a probabilidade ser extremamente baixa, não é possível descartá-la por completo.
Apenas uma perícia minuciosa do seu computador poderia afirmar se há ou não algum resquício. No geral, você precisa confiar nos programas de segurança. Se o programa não acusa nenhum problema, o melhor é não ficar paranoico.
>>> Anúncio no celular
Olá, vi a matéria [sobre anúncios fraudulentos em celular] e gostaria de confirmar as informações presentes nela. Aconteceu a mesma coisa comigo! Meu celular começou a vibrar e apareceu uma mensagem dizendo que meu celular estava com 2 tipos de vírus e me direcionou para um app chamado ANTIVÍRUS ACELERADOR E LIMPEZA, no entanto meu celular não apresentou nada de anormal. Por isso apenar gostaria de confirmar se preciso tomar alguma medida ou foi apenas um alerta falso. Aguardo resposta. Desde já, obrigado.
José Ailton
José, o mais provável é que não tenha que tomar medida alguma. Esses anúncios são totalmente falsos. Eles utilizam funções do próprio celular para fazer o aparelho vibrar e/ou emitir sons. Também é normalmente utilizado um truque - que é bastante simples, porém eficaz - para que você não consiga usar o botão "voltar". Por isso, a tela fica travada na mensagem de alerta até que você feche o navegador de internet.
No entanto, depois que você fechar o navegador, não há mais nada com o que se preocupar, especialmente se você não instalou o aplicativo sugerido pela mensagem. Como os aplicativos raramente possuem qualquer relação com o "erro" falso apresentado, em geral não há qualquer necessidade de instalar o app.
Se o seu celular não apresenta nada de anormal, pode ficar tranquilo.
O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!