AVG identifica malware silencioso

22/5/2011 22:56,  Por Marcelo Bernstein, com agências 

Quando percebemos que um site foi atacado por um vírus, ou seja, quando nos damos conta de que há algum conteúdo suspeito, logo pensamos que ele foi hackeado.

Os fatos deveriam ser exatamente assim, mas, recentemente, a AVG Technologies, fabricante de softwares de segurança, descobriu um malware que utiliza uma nova maneira, quase imperceptível, de atacar e fazer com que o ataque passe despercebido.

Aqui está, como exemplo, a página inicial do Google antes da ação do malware:

Após a execução do malware, ela ficou assim:

Parece que um frame foi inserido na home page do site, mas, ao analisar o código-fonte da página, nada de estranho é encontrado. “Antes da execução do malware, a página parecia e estava normal, assim, sabemos que ela não foi realmente atacada. A pergunta então era: como ela apareceu alterada?” conta Mariano Sumrell, diretor de marketing da AVG Brasil.

Após uma análise minuciosa do caso, a AVG detectou que o vírus se aproveitou do objeto ´InternetExplorer’. “Esse objeto controla uma instância do Internet Explorer, e o que esse novo malware faz é configurar os eventos do IE para suas próprias funções”, explica Sumrell.

As funções modificadas permitem analisar cada URL e nelas inserir o iframe com  código malicioso. Como ele é inserido dinamicamente, não poderá ser encontrado no código-fonte. Como a URL maliciosa não estava acessível no momento do teste, surgiu a mensagem de página não encontrada.

O AVG identifica esse malware como o trojan (ou cavalo de troia) VB.AMTX.