Google finaliza compra da Motorola Mobility, mas garante Android aberto
Microsoft libera kit de desenvolvimento do Kinect for Windows
Brasil: Galaxy S III deverá custar R$ 2.099
Novos rumores apontam para iPhone de quatro polegadas, diz jornal
Intel quer 300 mil desenvolvedores no Brasil
ATUALIZADA - Brasil: veja a lista de dispositivos que serão atualizados para Android 4.0
Google Knowledge Graph: como ele muda a pesquisa
Lei do Cibercrime impacta, também, aplicativo móvel
Linux lança kernel 3.4
Altova tem ferramenta de colaboração para desenvolvedores
Google Chrome 19 é lançado com 20 falhas corrigidas
Dilma: acesso à internet banda larga quase dobrou no Brasil
Se o Duqu está relacionado aos autores do Stuxnet, seu código fonte é a menor das preocupações no caso de sua empresa ser alvo do ataque. Mesmo assim, há algumas formas de companhias se protegerem enquanto o mundo espera por mais informações sobre o ataque, bem como por uma correção para a falha dia zero pelo Microsoft que foi explorada e usada com o Word para espalhar a infecção.
A fabricante de software lançou uma medida paliativa, juntamente com um alerta sobre o Duqu, e garantiu aos usuários que os fornecedores de antivírus em seu programa Mapp logo atualizariam seus produtos.
Mesmo que você não seja uma empresa de certificação ou fabricação – as duas indústrias citadas publicamente como vítimas do malware –especialistas em segurança afirmam que há alguns passos para ajudar na proteção da sua infraestrutura.
1. Instale a recém-lançada medida paliativa da Microsoft e contorne o problema
A Microsoft está trabalhando em uma correção, e a fará por meio de seus boletins regulares de segurança – mas não em tempo do patch dessa semana. Então, nesse meio tempo, a empresa começou a oferecer uma medida paliativa para a ameaça que bloqueia o acesso para o t2embed.dll usado no ataque dia zero no Duqu.
A falha está na fonte Win32k TrueType: “o invasor que explorar com êxito essa vulnerabilidade pode executar um código arbitrário no modo kernel. O invasor pode então instalar programas, visualizar, mudar ou deletar dados; ou criar novas contas com diretos totais de usuário”, afirmou a assessoria de segurança da Microsoft.
Jerry Bryant, gerente de comunicação de respostas no Trustworthy Computing Group, da Microsoft, disse que a empresa está monitorando de perto a evolução com o Duqu. “Como foi dito anteriormente, o risco continua baixo. Entretanto, isso pode mudar, então incentivamos os clientes a ou aplicar a medida paliativa ou se assegurar que o fornecedor de antimalware adicionou novas assinaturas com base nas informações fornecidas a eles”.
2. Execute atualizações antimalware – e utilize as técnicas padrões de segurança
Nem todos os antivírus conseguem detectar o Duqu, mas os especialistas em segurança dizem para manter a atualização para garantir a proteção contra a ameaça assim que ela for lançada.
“Pedimos às pessoas que não cliquem em anexos de e-mails que pareçam suspeitos, mesmo se vierem de um conhecido”, afirmou Kevin Haley, diretor de gerenciamento de produto da Symantec.
A Secureworks recomenda o uso de qualquer proteção com base no host além do monitoramento de rede e controle de acesso do usuário para impedir o acesso do Duqu. Tarek Saadawi, professor de engenharia elétrica da Grove School of Engineering da The City College of New York, afirmou que como o Duqu rastreia os toques do teclado para roubar senhas de sistemas internos, os usuários também devem proteger seus computadores e redes pessoais. Além de atualizar o antivírus e o Windows, se assegure de atualizar aplicativos terceirizados e desligar o computador à noite.
3. Escaneie ou filtre documentos do Word de fontes desconhecidas
Uma ferramenta útil nesse caso é o Moice (Microsoft Office Isolated Conversion Environment), que verifica documentos Word mal-formatados, afirmou Don Jackson, diretor da Dell Secureworks Counter Threat Unit. “É assim que Duqu se inicia: com um arquivo mal-formatado do Word. Ele engana o Microsoft Word para executar o código”.
Outra opção é usar softwares como o da FireEyes: “o FireEyes carrega o documento do Word dentro da virtual machine e detecta o arquivo malicioso”.
4. Monitore o tráfego para possível contato de máquinas infectadas com o Duqu
Fique atento com máquinas tentando se conectar com um servidor command-and-control (C&C) Duqu ou tentando separar um domínio relacionado ao malware. Dois servidores C&C foram desligados, mas possivelmente há outros. Os endereços de IP que foram encontrados e fechados são: 206.183.111.97 e 77.241.93.160.
Segundo Jackson, o “duqu possui um módulo vivo… e tem a habilidade de mudar, então qualquer coisa que se faça para bloquear o endereço IP, ajuda”.
5. Observe qualquer tráfego Port 443 que não seja codificado e fique atento aos arquivos ~DQ.
Observar o tráfego não codificado com base na entrada HTTP-s ou SSL pode ajudar a detectar malware. “Se o tráfego não está criptografado, provavelmente são más notícias”, afirmou Jackson.
Também fique atento a arquivos iniciados com “~DQ” no diretório de arquivo temporário do Windows, pois eles podem estar infectados com a ameaça.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Saiba mais:
Microsoft detalha medida paliativa para o Duqu, sucessor do Stuxnet
Nova ameaça utiliza Stuxnet como base
Duqu: vulnerabilidade Zero Day da Microsoft é usada para infectar computadores atacados
O valor dos servidores Blade para os negócios
Assista o Webinar
Nuvem Privada Microsoft - Uma conversa sobre funcionalidades, benefícios e economia
Assista o Webinar
SAP Business One – Solução SAP ao alcance das Pequenas e Médias Empresas
Assista o Webinar
IBM Enterprise Linux Server
Baixe o White Paper
