Posts tagged Antivirus
Intel anuncia compra da McAfee por US$ 7,68 bilhões
0Nesta quinta-feira, 19/8, a Intel anunciou a aquisição da empresa de soluções de segurança McAfee, em uma transação avaliada em 7,68 bilhões de dólares que visa reforçar a estratégia móvel da fabricante de chip.
O negócio foi aprovado pela diretoria-executiva de ambas as companhias. Com a aquisição, a McAfee provavelmente se tornará uma subsidiária dentro da Intel Software and Services Group, grupo de serviços e software.
“Melhorar a segurança de hardware trará avanços para combater efetivamente as ameaças cada vez mais sofisticadas de hoje e de amanhã”, disse James, vice-presidente sênior da Intel e gerente geral do grupo.
A receita da fabricante de segurança em 2009 foi de aproximadamente 2 bilhões de dólares. Atualmente, a fabricante tem cerca de 6,1 mil funcionários.
Espera-se que a conclusão do negócio seja feita após as autorizações normativas e a aprovação dos acionistas da McAfee.
Por IDG News Service http://idgnow.uol.com.br/mercado/2010/08/19/intel-anuncia-compra-da-mcafee-por-us-7-68-bilhoes/
Softwares de segurança demoram até dois dias para anular malwares, diz estudo
0Segundo o relatório da NSS Labs, mais de 50 mil novos códigos maliciosos são detectados por dia circulando pela Web.
Os softwares de segurança podem demorar até dois dias para bloquear um site projetado para atacar um computador, de acordo com o último relatório da NSS Labs, que realizou testes com um novo malware encontrado, recentemente, na Internet.
A companhia desenvolveu um teste que simula a média das pessoas que navegam na Web, a localização de sites potencialmente maliciosos e, em seguida, a visita com o uso de um navegador. Assim, é possível identificar como e quando o software de segurança reage às ameaças. O último teste foi executado 24 horas por dia, durante nove dias.
Segundo o relatório, a maioria das empresas e dos usuários são ameaçadas por malwares personalizados e recentes, e além de ser detectado, é importante, também, que ele não tenha tempo suficiente para infectar, por exemplo, uma janela de uma rede corporativa, ou circular tranqüilamente para infectar máquinas e roubar dados. Por dia, são detectados mais de 50 mil novos programas mal-intencionados na web.
Durante os testes, se um pacote de software não bloqueasse um site malicioso na primeira tentativa, novos testes eram realizados a cada oito horas, para analisar o tempo de cada proteção de segurança. O tempo variou de 4,62 horas para o programa com melhor desempenho, para fornecedores que demoraram até 92,48 horas para bloquear a página. Em geral, os softwares levaram uma média de 45,8 horas para bloquear um site, isso se ele for bloqueado completamente, de acordo com o relatório.
Algumas fabricantes de software de segurança empregam sistemas de reputação, para localizar um site malicioso,. Geralmente, esse processo envolve a verificação de um banco de dados e uma “lista negra” de sites. Esses métodos, entretanto, não são totalmente eficazes.
“As empresas de segurança poderiam fazer grandes melhorias na sua capacidade para detectar mais malwares novos. Para os consumidores e as empresas, comprar a marca que leva o maior espaço de anúncio não é, necessariamente, sinônimo de maior segurança”, disse o presidente da empresa, Rick Moy. “A NSS Labs realiza testes de segurança de forma independente. Diferentemente de muitas empresas, nós não aceitamos dinheiro de fornecedores em nossas análises. Isso resulta em avaliações muito mais precisas”, afirmou.
Até um terço dos contratos de software de segurança são alterados a cada ano. “As empresas e os usuários estão definitivamente insatisfeitas com a proteção e estão procurando por novas soluções”, declarou o executivo.
A NSS Labs escolheu revelar os piores desempenhos entre os 10 produtos testados, classificando entre três categorias: “recomendar”, “neutro” e “precaução”.
Entre os softwares analisados estão: Eset, F-Secure, Kaspersky, McAfee, Norman, Sophos, Symantec, Trend Micro, AVG Internet Security Business Edition e Internet Security Panda Security.
Os resultados completos estão contidos no relatório da NSS Labs “Endpoint Protection Products Group Test Report, Socially-Engineered Malware”, que custa 495 dólares.
Por IDG News Service Publicada em 21 de junho de 2010 às 11h01
Casos de ‘falsos positivos’ desafiam fabricantes de antivírus
0Symantec afirma encontrar de 10 a 40 ocorrências por mês; monitoração de redes sociais colabora na identificação precisa de ameaças.
A Symantec acredita que as empresas de segurança deveriam se concentrar na erradicação de falsos positivos – arquivos que são identificados equivocadamente como malware. Continue reading “Casos de ‘falsos positivos’ desafiam fabricantes de antivírus” »
Vírus “retrô” destrói arquivos do computador
1Nova praga virtual age como as ameaças da década de 1990, que apagavam dados vitais do PC.
Os mais novos não devem se lembrar, mas há cerca de 20 anos, os vírus de computador tinham como objetivo atormentar os usuários de PCs (não roubar dados, como faz hoje a maioria das pragas virtuais), destruindo dados. Pois a empresa de segurança Sophos identificou uma nova ameaça que segue essa estratégia “retrô”.
Trata-se do W32/Scar-H. Esse programa nocivo tem como objetivo simplesmente apagar todos os arquivos executáveis do computador, gravando seu código sobre eles. Segundo a Sophos, ele é como uma bomba virtual, pois detona os arquivos do computador.
A ameaça costuma se disseminar por drives compartilhados (que são muito comuns em redes de computadores) e por dispositivos de armazenamento portáteis, como discos rígidos externos.
Ao ser executado pela primeira vez ele cria os arquivos (cópias suas) <System>\ntldr.exe e <Root>\WinNT.exe, além de <Root>\AutoRun.inf. Feito isso, passa a se disseminar com o uso de drives mapeados. Depois, passa a substituir todos os arquivos do drive C: com extensão .exe por uma cópia sua. Com tudo isso, o computador passa a não funcionar mais.
Ao religar a máquina, o usuário recebe a mensagem “Windows could not start because the following file is missing or corrupt: <Windows root>\system32\ntoskrnl.exe. Please re-install a copy of the above file”. Resumindo: o Windows não conseguiu carregar porque um arquivo não está acessível ou foi corrompido. Por favor, reinstale o arquivo”.
Fonte: Daniel dos Santos, Macworld Brasil
Publicada em 07 de maio de 2010 às 08h08
Entenda a confusão causada pela atualização da McAfee
0O que aconteceu quando a atualização furada da McAfee foi distribuída, quem foi atingido e por quê?
FRAMINGHAM (04/22/2010) – O dia de ontem foi duro para os administradores de TI presos à McAfee. Muitos deles enfrentaram um apocalipse completo dos PCs de suas organizações à medida em que centenas, em alguns casos milhares, de computadores com o Windows XP deixaram de funcionar após receber uma atualização de antivírus defeituosa enviada pela empresa de segurança.
A história completa ainda não está clara no momento, mas há algumas coisas que já sabemos — e muitas que ainda não sabemos — sobre o último desastre causado por um fornecedor que deveria proteger, e não desabilitar, PCs.
Estas são nossas primeiras impressões sobre o que aconteceu, quem foi atingido e porque. Se você tem tempo de ler este artigo, assumimos que não é um dos que estão correndo para trazer máquinas aleijadas de volta à vida.
O que aconteceu? Resposta curta: a McAfee pisou na bola
A resposta longa é mais complicada. A atualização desta quarta-feira — a McAfee fornece atualizações diárias para seus clientes corporativos — deveria detectar e destruir uma ameaça menor, o worm “W32/wecorl.a”. Em vez disso ela “enlouqueceu”, marcando incorretamente o arquivo crítico svchost.exe do Windows XP Service Pack 3 (SP3) como malware, e então colocou-o de quarentena, removendo-o de seu local de origem. Em alguns casos, o arquivo foi deletado.
Pense na situação como um caso onde a polícia culpou um suspeito pela autoria de um crime com base em um teste de DNA falho, e descobriu depois que pegou o cara errado.
Oops!
Porque os PCs capotaram após receber a atualização ruim? Sem o svchost.exe — um processo crítico para serviços que rodam a partir de outras DLLs (dynamic link libraries) do Windows — um PC com Windows não consegue inicializar corretamente.
Quando os usuários aplicaram a atualização, e reiniciaram o computador, estavam fritos: as máquinas reiniciavam repetidamente. A maioria delas também perdeu qualquer capacidade de conexão a redes, e algumas se tornaram incapazes de “enxergar” drives USB, o que é um grande problema já que a recuperação pode exigir a reinstalação do arquivo svchost.exe, algo que poderia ser feito facilmente copiando-o de um pendrive para cada computador afetado.
Que máquinas foram afetadas? Apenas PCs rodando o Windows XP Service Pack 3 (SP 3), diz a McAfee.
Outras versões do Windows XP, incluindo a SP1 e SP2, não foram afetadas pela atualização, nem sistemas rodando o Windows 2000, Vista, Windows 7, Windows Server 2003 e Windows Server 2008. A McAfee também disse que versões ainda mais antigas – como o Windows 98 – não foram afetadas.
Há, entretanto, alguns poucos relatos nos fóruns de suporte da McAfee sobre máquinas com o Windows Vista que também foram afetadas.
Minha empresa roda o Windows XP SP3. Porque só algumas máquinas foram afetadas? Boa pergunta.
Apenas máquinas rodando o VirusScan 8.7 foram afetadas, de acordo com relatos de usuários confirmados pela McAfee. Se você usa uma versão mais antiga, incluindo a Enterprise 8.5, está seguro.
Um gerente da McAfee desvendou um pouco mais do mistério de algumas máquinas com o Windows XP SP3 terem sido afetadas, enquanto outras ficaram incólumes. “Não vi relatos de consumidores que deixaram esta opção desabilitada”, disse Samantha Price, uma gerente da McAfee Global Threat Response Team, em uma mensagem nos fóruns de suporte ao VirusScan Enterprise mantidos pela empresa.
A opção à qual Price se refere, “Scan Processes on enable” está desabilitada por padrão na maioria das instalações do VirusScan 8.7
Mas nem todas. Um usuário disse a Robert McMillan, do IDG News Service, que sua cópia do programa tinha esta opção habilitada por padrão. E um documento de suporte da McAfee pede aos usuários que a desabilitem após atualizar o VirusScan 8.7 com o Patch 1. Também há uma nota no arquivo Leiame do Patch 3 do VirusScan que diz a mesma coisa.
Para deixar as coisas ainda mais confusas Mike Davis, diretor executivo da Centrality, uma empresa inglesa de design e suporte de redes, disse que cópias recém-instaladas do McAfee Enterprise Policy Orchestrator (EPO) tem a opção desabilitada por padrão, mas atualizações não tem. “Investigações feitas hoje mostraram que após uma atualização para o EPO mais recente… na maioria dos casos a opção foi habilitada por padrão”, disse Davis. “Se é uma instalação “limpa” da versão mais recente do EPO, acreditamos que a opção estará desabilitada”.
A EPO é a plataforma para gerenciamento de segurança corporativa da McAfee, e é usada para distribuir atualizações do arquivo de assinaturas do antivírus para toda uma empresa.
Hoje, a McAfee disse que planeja publicar um FAQ próprio detalhando quais consumidores foram afetados, e quais não foram. Um porta-voz da empresa não deu uma data exata para publicação de tal FAQ, dizendo apenas que seria “muito em breve”.
Parece que o que aconteceu está claro. Mas como foi que o problema passou desapercebido pela empresa? A McAfee não explicou tudo, mas admitiu que “enganos acontecem“, nas palavras de seu vice-presidente executivo de suporte, Barry McPherson.
Além deste, o único outro comentário foi de um porta-voz da companhia, que disse ontem: “Estamos investigando como a detecção incorreta foi inclusa em nossos arquivos DAT e iremos tomar medidas para impedir que isto ocorra novamente”.
John Pescatore, um analista do Gartner, disse que houve na verdade um par de pontos de falha na McAfee. “Primeiro, um aviso de que o arquivo svchost.exe seria colocado de quarentena ou excluído deveria ter sido exibido”, disse Pescatore, que avisou que não tem informação interna sobre o problema. “E segundo, o sistema de avaliação de qualidade (QA) de assinaturas deles falhou”.
Poderemos ter acesso a informações internas em algum momento: a McAfee prometeu tornar públicos os resultados de sua investigação. “A McAfee está focada em uma análise completa da raiz deste problema. Tornaremos esta informação pública o mais rápido possível”, disse a empresa em uma página publicada em seu site.
Alguns usuários não podem esperar. “Quando tudo isto estiver terminado, eu espero que a McAfee tenha algumas respostas diretas para mim”, disse CrazyFingers, o usuário que iniciou a mais longa thread de suporte nos fóruns da empresa. “Espero que eles expliquem claramente como um engano desta magnitude pôde ocorrer. E depois quero saber como ele passou pelo QA”.
Como o problema se espalhou tão rapidamente? Atualizações apressadas, diz Pescatore.
“Todo mundo quer mais velocidade”, disse o analista, se referindo aos fabricantes de antivirus que aceleraram a entrega de assinaturas em uma tentativa de igualar o passo do desenvolvimento de novos malware pelos hackers.
A Centrality repete as opiniões de Pescatore. “Tipicamente, usuários do McAfee Enterprise Policy Orchestrator (EPO) tem esquemas agressivos para distribuição de atualizações para se certificar de que o tempo de exposição a novas ameaças é minimizado”, disse a empresa em um relato pós-fato na newsletter McAfee disaster (baixe o PDF). “É por causa deste processo de distribuição agressivo por padrão que a atualização conseguiu chegar a um número tão grande de máquinas tão rapidamente”.
E como eu limpo a bagunça que a McAfee fez? Manualmente.
Como praticamente todos os PCs afetados se tornaram incapazes de se conectar a uma rede, as equipes de suporte corporativo tem de lidar diretamente com cada máquina.
Ontem a McAfee divulgou os passos necessários em seu site (consumidores devem procurar aqui). Hoje, ela disponibilizou uma ferramenta semi-automatizada, batizada “SuperDAT Remediation Tool” que pode ter de ser executada após entrar no modo de segurança do Windows. Baixe a ferramenta em um sistema que consegue se conectar à rede ou à internet, e então copie-a para um pendrive. Vá com ele de PC em PC, rodando-a em cada um deles.
Como posso evitar fiascos futuros? Pescatore tem algumas sugestões.
“Sete ou oito anos atrás, as empresas rotineiramente testavam atualizações antivirus antes de enviá-las a toda a organização”, disse ele. “Mas de cinco anos para cá, a prática foi abandonada”.
Mas como as atualizações são distribuídas pelos fabricantes tão frequentemente – novamente, a síndrome da velocidade – é improvável que empresas possam testá-las adequadamente antes de distribuí-las. Em vez disto, disse ele, é sábio deixar que os outros hajam como cobaias. “Você não quer ser o primeiro a aplicar qualquer atualização, seja ela um patch de segurança ou algo como isto”, disse ele.
Fonte: IDGNow