O worm Downadup infectou milhões de computadores no mundo todo, utilizando uma vulnerabilidade que foi corrigida pela Microsoft em Outubro do ano passado. Os internautas que mantêm o seu Windows e antivírus atualizados, além do UAC habilitado (no caso do Vista) não se preocupam com esse tipo de ameaça, mas infelizmente milhões de usuários não fazem isso e têm os seus computadores infectados.
O worm Downadup também utiliza uma maneira criativa de tentar enganar o usuário do Windows: ele utiliza arquivos autorun.inf para se espalhar através de dispositivos removíveis, como pendrives. Bojan Zdrnja, do SANS Internet Storm Center, postou recentemente uma análise adicional: o Downadup tenta executar uma engenharia social no Windows Vista, utilizando uma palavra-chave de ação e um ícone extraído do arquivo shell32.dll para parecer uma mensagem legítima do Windows:
A categoria é "Instalar ou executar programa", mas o texto e o ícone é para "Abrir pasta para visualizar os arquivos". A primeira opção pode executar o worm Downadup, enquanto a segunda opção é a escolha que abrirá o pendrive (ou qualquer outro dispositivo de armazenamento removível) de forma segura. O mesmo autorun.inf foi executado no Windows 7 Beta, com resultado semelhante:
O Downadup tenta disfarçar a opção de instalação como uma ação de abertura de pastas, mas programas de segurança como o F-Secure Client Security 8 (Internet Security 2009 e outras versões recentes tmbém) detectam o autorun.inf do Downadup como Worm:W32/Downaduprun.A.
Fonte: F-Secure Weblog
Alguns tópicos na Área de Segurança do Fórum do BABOO:
Kits de Segurança Free
Updates diários para Softwares de Segurança
Lista de AntiSpywares Suspeitos
Lista atualizada de Programas que contém Malware
