Componente malicioso é baixado automaticamente do site da empresa, sem o conhecimento dos usuários. Dispositivo já saiu de circulação.
Por Fabiana Baioni
Pesquisadores do US-CERT (órgão do governo americano especializado em emergências na área de informática) identificaram nesta última semana uma backdoor no software do carregador de baterias USB DUO Energizer que permite o acesso não autorizado ao sistema remoto.
De acordo com o site TG Daily o programa de instalação do software DUO Energizer coloca o arquivo UsbCharger.dll no diretório do aplicativo e um outro arquivo Arucer.dll no diretório system32 do Windows. Quando o software é executado, ele utiliza o componente UsbCharger.dll para permitir a comunicação USB com o computador. O UsbCharger.dll por sua vez executa o Arucer.dll via Windows rundll32.exe e configura o componente para ser executado automaticamente quando o Windows for inicializado.
Para os pesquisadores, o arquivo Arucer.dll é considerado uma backdoor porque permite o acesso não autorizado ao sistema remoto através de conexões em 7777/tcp.
Segundo o The Register o arquivo contaminado é baixado automaticamente do site da empresa durante a instalação do programa. Os CDS que acompanham o carregador USB não contem o malware.
A empresa de segurança Symantec alerta que o arquivo Arucer.dll, identificado como Trojan-Arugizer, é capaz de trazer uma série de problemas ao sistema infectado. Isso inclui o envio e recebimento de arquivos, execução de programas e download de outros tipos de malwares.
Ainda de acordo com o The Register, a Energizer reconheceu o problema em um comunicado e suspendeu as vendas do dispositivo afetado. A fabricante de baterias também começou uma investigação junto ao US-CERT para descobrir como a funcionalidade backdoor foi inserida ao seu software.
A Energizer aconselha que o software seja desinstalado ou removido do computador, eliminando a vulnerabilidade criada pelo arquivo. A empresa recomenda ainda que os usuários removam a pasta do Arucer.dll, encontrada no diretório system32 do Windows, que pode permanecer lá mesmo após a desinstalarão do programa.
A publicação dos resultados da consultoria feita pelo US-CERT, com detalhes da investigação, pode ser encontrada no site: http://www.kb.cert.org/vuls/id/154421.
Receba essa e muitas outras notícias no seu celular. Envie igtecnologia para 49094