Laura Garcia-Manrique

No dia 17 de janeiro, a Symantec anunciou uma nova tecnologia, SONAR, que significa Symantec Online Network for Advanced Response. Na semana do anúncio, o SONAR desempenhou importante papel como sistema de aviso preventivo e detecção imediata no caso da ameaça PeaComm; vejamos como isso aconteceu:

Durante o fim de semana de 13 e 14 de janeiro, o SONAR alertou a Symantec sobre um aumento de atividades em um novo pacote. Com base na tecnologia SONAR, lançamos a detecção na segunda-feira, 15 de janeiro, e ela acabou sendo usada na quarta-feira, 17 de janeiro, para o Trojan.Peacomm (também conhecido como Storm Worm). Embora até então a ameaça não tenha sido divulgada, o alerta preventivo do SONAR acionou algumas atualizações de definições para lidar com a nova ameaça.

Como o Storm Worm foi detectado pelas nossas definições de vírus, ele não conseguiu infectar os computadores de nossos clientes. Em um computador com definições atualizadas, ele não pôde ser executado e não conseguiu acionar seus arquivos de suporte.

Porém, suponhamos que um cliente tenha desativado sua proteção e, por isso, tenha sido infectado. Apesar do Cavalo de Tróia em si não ser um processo de execução (que é o que o SONAR analisa), o SONAR inspeciona todos os arquivos resultantes de downloads feitos pelo Cavalo de Tróia. As detecções do SONAR são também informadas à Symantec. No dia 19 de janeiro, notamos algumas alterações nos arquivos de suporte do Cavalo de Tróia, que foram enviados pelo SONAR para a Symantec, e isso nos permitiu atualizar nossas definições para considerar o novo pacote.

Como demonstrado, o SONAR agiu como um sistema de alerta preventivo no fim de semana antes da ameaça ser divulgada (sexta-feira, 19 de janeiro) quando o Cavalo de Tróia estava sendo alterado, e como sistema de detecção imediata para os componentes do Cavalo de Tróia.

Laura