Parece um PC normal, mas é o computador com mais malware instalado no mundo. A equipe do VirusTotal chama isso MICE (‘O computador mais infectado de todos os tempos’) e durante a inauguração do novo GSEC em Málaga pudemos verificar que ainda funciona. A questão era “quantos malwares de famílias diferentes podemos executar ao mesmo tempo?” Este é o desafio lançado por Bernardo Quintero, fundador do VirusTotal e diretor de engenharia de segurança do Google. De Xataka conversamos com ele para nos contar como foi a criação deste computador, o que ele pretendia alcançar e como todo o mundo em torno do malware mudou ao longo dos anos. MICE ainda é um experimento. Um teste de quanto malware pode ser infectado em um único computador sem travar o sistema. O resultado é este computador que expuseram no novo centro de segurança cibernética do Google e que contém até 30 tipos diferentes de malware, executados ao mesmo tempo e sem causar o colapso do sistema. “No final das contas é algo educativo. Queríamos fazer um site onde explicaríamos todos os diferentes tipos de malware que nos atacam, mas não era muito atrativo. E tive essa ideia, como um desafio”, explica Quintero. O fundador do VirusTotal não se lembra do momento exato em que surgiu. Apontar para 2019, um pouco antes da pandemia. “O desafio era encontrar malware que não se unisse muito”, diz ele. “No início falhou muito, pois no terceiro ou quarto havia algum tipo de incompatibilidade. “Foi tentativa e erro.” Demorou uma semana de trabalho para chegar a 30 tipos diferentes de malware. “A grande vantagem que tivemos foi o grande banco de dados do VirusTotal. Simplesmente buscamos determinadas famílias e entre elas procuramos quais arquivos não eram incompatíveis. E também a ordem de execução”, descreve Quintero. Precisamente encontrar a ordem correta de execução foi o mais complexo porque se você fizer diferente, o sistema entra em colapso. Atualmente o MICE é capaz de operar por mais de 24 horas sem problemas. A equipe do Google desliga normalmente e liga quando quer fazer a demonstração. Neste caso eles já possuem um comando criado para executar todo o malware novamente, na ordem que eles sabem que não trava. Eles lembram que durante sua criação a GPU do computador travou, embora a priori não devesse estar relacionado. No nível de hardware, o MICE é um computador típico. Ele possui um grande ventilador frontal, principalmente para neutralizar a temperatura do Miner, que é o tipo de malware que explora criptomoedas sem a permissão do usuário. Este é apenas um dos 30 tipos de malware em execução. “Escolhemos algumas amostras representativas dos vírus mais antigos. Por exemplo, o vírus da ambulância, que foi o primeiro vírus real da sua categoria”, explica Daniel Vaca, engenheiro de software da VirusTotal. A lista completa, que pode ser encontrada na página do Github da equipe do VirusTotal, é a seguinte: APT, vírus, worm, backdoor, exploit, banqueiro, clicker, FakeAV, spyware, keylogger, VirTool, dialer, barra de ferramentas, adware, mineiro, bot , ransomware, ladrão de jogos, rootkit, worm IM, worm Net, worm P2P, DDoS, conta-gotas, ferramenta de hack, MailFinder, Joke, Autorun, sequestrador e trojan. O MICE funciona no Windows XP, já que com sistemas operacionais mais modernos provavelmente todo esse malware não poderia ser executado, apontam. “Fui direto para o Windows XP porque conheço mais ou menos os sistemas operacionais e isso ficou claro para mim.” “Fiz isso na época e esqueci um pouco do projeto, porque no final era algo anedótico. O que aconteceu é que percebi sua utilidade, principalmente educacional e de treinamento. do mundo, minha primeira meta era 10, depois fui para 20 e depois cheguei a 30 famílias. Procurei principalmente que os diferentes tipos de malware tivessem um efeito gráfico. Porque se não for pouco, este computador tem 30 malwares ao mesmo tempo, mas se eles estão em segundo plano, você tem que acreditar”, descreve Quintero. O resultado é muito marcante, já que Quintero optou por diferentes malwares com efeito visual. Temos janelas que vão de alertas de erro vermelhos para avisos em russo passando pela animação de Feliz Ano Novo 1999. “Temos a ambulância, o pingue-pongue… agora um efeito visual já não faz sentido, porque o que lhes interessa é permanecer no sistema o maior tempo possível sem serem detectados”, salienta. “Quando os 30 estiverem correndo, É bastante estável”explica seu criador. Seria possível replicá-lo? Diante disso, Quintero para por um segundo e responde que “talvez uma pessoa com conhecimento possa fazer algo semelhante. Sim, você poderia, desde que tenha acesso às diferentes amostras de malware. Porque essa é a vantagem que temos no VirusTotal. “Não requer conhecimentos super avançados, é uma questão de muita tentativa e erro.” “No início, não estava claro exatamente quais, dentro de todas as famílias, eram especificamente as mais adequadas. Eu estava procurando por eles com base no tamanho; aqueles que consomem menos recursos. Acredito que não estamos perdendo nenhum tipo de malware. Temos mais de seis milhões em nossa base do VirusTotal e esses 30 representam todas as variações”, afirma Quintero, destacando o valor educativo do experimento. Do VirusTotal Eles realizaram MICE nas escolas, como parte da educação em segurança cibernética. “O que eles mais nos perguntam é se o Fortnite funciona; quais gráficos ele possui e como funciona o Miner. Acreditamos que isso serve para lhes ensinar muitas coisas, embora de repente tenhamos que lembrá-los de detalhes como os roteadores usados para se conectar por telefone”, ressalta. Vaca, em referência ao malware Dialer. Quintero nos explica o quanto o setor mudou desde então. Desde a época de ouro dos vírus informáticos, onde não havia nenhum tipo de monetização por trás e era “um pouco de ego pessoal dentro do mundo” até agora, quando a cibersegurança é uma questão que afecta globalmente e as empresas dedicam milhares de milhões de euros. “A Internet chegou e mudou tudo, pois já se via que havia um filão onde a questão dos malwares poderia ser monetizada.. Foi aí que começamos com a questão do AdWare.” “Tive que pesquisar constantemente em fóruns clandestinos e então tive a ideia do VirusTotal. As pessoas me enviam amostras suspeitas, eu as coleto e em tempo real vejo como o antivírus as detecta e obtenho minhas estatísticas. Essa foi a minha ideia original. Aí vi que a partir dessas comparações eu sabia que cada antivírus cobria uma parte do malware e eles começaram a usar para se complementarem e no final oferecerem uma proteção mais eficaz”, analisa. “Essa cultura do anonimato se perdeu um pouco. Agora tudo se tornou muito profissional”, explica Quintero, lembrando que na Espanha existiram grandes especialistas em malware, como o grupo 29A, composto principalmente por espanhóis e que criou o primeiro vírus para celulares em symbian e o primeiro vírus para Windows 95. O que aconteceu com eles? Perguntamos a ele: “Acho que a maioria acabou se dedicando a questões de segurança de computadores. Eram especialistas de baixíssimo nível, montadores e tal.” A verdade é que eles eram muito bons tecnicamente.” “Eles criaram vírus muito avançados, mas nunca foram maliciosos em termos de exclusão de arquivos ou de causar danos. Eles procuraram ser a ponta de lança em termos de pesquisa. Houve um caso em que um dos membros do 29A projetou um malware do tipo worm, o primeiro em formato binário. Mas eu estava preocupado que ele pudesse escapar. O que ele fez foi me fornecer, que estava na Hispasec, a amostra do vírus para que eu pudesse analisá-lo e obter o relatório antes que se espalhasse. É um pouco como tomar a vacina antes que o vírus chegue. “Havia uma certa ética.” Em Xataka | O que aconteceu com ILOVEYOU, o worm que infectou mais de 50 milhões de computadores e causou o caos global nos computadores