Software distribuído automaticamente remove a praga ‘Flashback’.
Vírus contaminou 650 mil computadores equipados com Mac OS X.
A companhia de segurança Symantec informou nesta segunda-feira (16) que 140 mil computadores Macs ainda estão contaminados com o vírus Flashback, quatro dias após a Apple lançar uma atualização que remove as ‘principais versões’ da praga. A Symantec divulgou estatísticas atualizadas sobre o vírus, que apontam, no entanto, para uma redução no número de máquinas infectadas.
As companhias de antivírus usam uma técnica chamada de “Sinkhole”, na qual elas registram um endereço de controle do vírus para obter as estatísticas diretamente a partir das máquinas comprometidas. A primeira empresa a fazer isso foi a russa Dr. Web, cujos dados mostraram um total de 650 mil vítimas.
O número de infecções começou a cair no dia 10 de abril, quando ferramentas foram divulgadas para caçar o vírus nos computadores. A própria Symantec, a F-Secure e a Kaspersky lançaram ferramentas para remover o Flashback. A Apple se juntou ao grupo no dia 12, distribuindo um software por meio das atualizações automáticas do Mac OS X.
O Flashback foi disseminado em sites alterados por hackers usando uma falha do Java que a Oracle – responsável pelo plugin – corrigiu no dia 14 de fevereiro. Devido a um acordo, a Apple é a responsável por redistribuir as atualizações aos usuários de Mac OS X. Isso só aconteceu no dia 3 de abril, deixando os usuários vulneráveis por quase 50 dias a um ataque que permitia a infecção imediata do Mac com a simples visita a um site.
Sabpab
Apesar de a falha estar corrigida, criminosos ainda estão utilizando a brecha no Java para disseminar outra praga digital para Mac OS X. A fabricante de antivírus Sophos batizou o código de “Sabpab”.
Enquanto o Flashback redireciona tráfego de sites de busca, o Sabpab serve como “controle remoto” dos computadores infectados, comunicando o hacker responsável sobre as características do computador da vítima e aguardando instruções. Segundo a Sophos, o ataque infectou poucas máquinas.
Java
Devido aos ataques usando o Java, a Apple mudou a forma que o plugin se comporta no navegador do Safari. Com o Java atualizado no sistema, a execução automática do plugin é desativada por padrão. Se o usuário ativar a execução automática do Java, mas não utilizá-lo durante algum tempo, o navegador irá novamente desativar a execução automática do plugin.
O navegador Firefox, da Mozilla, também está automaticamente bloqueando versões desatualizadas do plugin do Java no Windows. O navegador Chrome, do Google, também impede a execução automática do plugin.