A Kaspersky Labs divulgou nesta segunda-feira (19 de março) a descoberta de uma nova espécie de malware que se instala na memória RAM do computador. Embora a ameaça não afete nenhum arquivo do sistema das máquinas infectadas, ele abre brechas para ocorra uma infecção pelo Trojan Lurk, que então as conecta a uma botnet associada.

A descoberta foi feita após a empresa realizar análises nos sites Ria.ru, pertencente a uma agência de notícias russa, e no Gazeta.ru, popular jornal online do país. A infecção ocorre de forma totalmente automática, explorando uma vulnerabilidade conhecida do Java (CVE-2011-3544), que já foi corrigida nas versões atualizadas do software.

Os responsáveis pela propagação do malware não são os sites em si, mas sim os banners publicitários exibidos através de um serviço terceirizado conhecido como AdFox. Descrita pelos pesquisadores como "única" e "muito rara", a ameaça injeta um DLL criptografado diretamente na memória do processo "javaw.exe".

Ameaça global
Após infectar a máquina, o software malicioso modifica as Configurações de Controle de Conta do Windows, que então permite o download e instalação do arquivo "Trojan-Spy.Win32.Lurk". Embora a ameaça seja removida automaticamente toda vez que o computador é reiniciado, são grandes as chances de que uma nova infecção volte a acontecer, devido à alta probabilidade de que novas visitas aos sites noticiosos ocorram.

"O ataque tem como alvo usuários russos. Porém, não podemos descartar a possibilidade de que a mesma falha e a mesma botnet sejam usadas contra pessoas em outras partes do mundo. Elas podem ser distribuídas através de banners semelhantes em outros países", alerta o especialista em segurança Sergey Golavanov.

A melhor maneira de se proteger contra ataques do tipo é manter atualizados todos os softwares do computador, com prioridade para os navegadores e seus plugins. Além disso, é indispensável possuir instalado um bom programa antivírus capaz de realizar análises do tráfego de internet.