Possível Epidemia do Tipo Blaster
Segunda-feira, 23 de Fevereiro de 2004
%José Doutil
Foi posto a circular na Net uma porção de código que explora uma importante falha do Windows, para a qual a Microsoft começou a distribuir um "patch" há menos de duas semanas. Esta falha - conhecida como falha do Abstract Syntax Notation (ASN) 1 - é do tipo "buffer overflow" e afecta todas as versões do Windows com tecnologia NT: Windows NT, 2000, XP e Server 2003.
O ASN.1 é um "standard" utilizado por muitas aplicações e dispositivos para permitir a troca de dados entre diferentes plataformas. Esta falha pode ser explorada por um intruso para instalar programas num computador, ver, trocar ou apagar informação, ou ainda criar novas contas de utilizador com privilégios de administrador. Este código pode ser usado para criar vírus ou "worms" que tirem partido da dita falha, os quais poderiam desencadear uma epidemia do tipo da do Blaster (surgida no Verão passado) ou do Red Code, há dois anos.
Usando aquele código em computadores onde não foi ainda aplicado o "patch", desencadeia-se um processo de "buffer overflow" e o PC entra num ciclo de reinicializações em "loop", de onde já não sai. É, pois, imperativo que todos os utilizadores das versões referidas do Windows instalem o "patch" da Microsoft.
Netsky.B vem de remetentes conhecidos...
Surgiu na semana passada a variante B do "worm" Netsky - um vírus especialmente perigoso (classificado com o nível de perigosidade de 4 em 5 pela Symantec e "médio" pela McAfee), pois as mensagens que o propagam, além de terem como remetente o utilizador do computador infectado, o assunto, o texto e até o nome do ficheiro anexo (que pode ter uma ou duas extensões) são escolhidos aleatoriamente de uma extensa lista de opções, tornando-se difícil a sua detecção. Ele procura endereços de E-mail para onde se enviar, utilizando o seu próprio motor de SMTP, numa extensa lista de tipos de ficheiro em todas as unidades de disco, incluindo as de rede mapeadas no PC.
Quando o ficheiro anexo da mensagem é executado, o "worm" copia-se a si próprio para um ficheiro com o nome Services.exe criado na pasta do Windows, tentando fazer o mesmo em todas as unidades de disco do computador, incluindo as de rede nele mapeadas.
O Netsky.B também se copia a si próprio, sob vários nomes de ficheiros apelativos, para todas as pastas cujo nome contenha as palavras "share" ou "sharing" em qualquer daquelas unidades de disco, o que lhe permite propagar-se através de redes de partilha de ficheiros, como a do Kazaa. Este "worm" faz várias alterações no Registo do Windows para que seja executado sempre que ele é iniciado mas também apaga entradas que possam ter sido criadas por outros vírus, como o Mydoom.A ou o Mimail.T.
... e o Beagle.B também
Também na semana passada, surgiu uma nova variante do "worm" Bagle (ou Beagle), a B. É mais um "worm" de distribuição em massa via E-mail que, entre outras acções, abre a porta TCP 8866 dos PC infectados, permitindo a intrusos que gravem ficheiros na pasta do sistema, os quais serão de seguida executados.
Para se propagar, o Bagle.B cria mensagens em que o remetente é o utilizador do computador infectado. O assunto da mensagem tem o seguinte aspecto: "ID [texto aleatório]... thanks". O seu texto também é muito simples: "Yours ID [texto aleatório] - - Thank"
O ficheiro anexo da mensagem apresenta a extensão .exe e um nome aleatório. As mensagens são enviadas para todos os endereços encontrados em ficheiros com as extensões .wab, .txt, .htm e .html usando o seu próprio motor de SMTP. Quando é executado, o Bagle.B cria uma cópia com o nome Au.exe na pasta do sistema e altera o Registo do Windows de modo a assegurar que seja executado sempre que o sistema arranque.
Este "worm", classificado com o nível de perigosidade de 3 em 5 pela Symantec e "médio" pela McAfee, foi concebido para se actualizar a si próprio a partir de certas páginas da Web - estando programado para cessar a actividade em 25 de Fevereiro.
Possível Epidemia do Tipo Blaster
Segunda-feira, 23 de Fevereiro de 2004
%José Doutil
Foi posto a circular na Net uma porção de código que explora uma importante falha do Windows, para a qual a Microsoft começou a distribuir um "patch" há menos de duas semanas. Esta falha - conhecida como falha do Abstract Syntax Notation (ASN) 1 - é do tipo "buffer overflow" e afecta todas as versões do Windows com tecnologia NT: Windows NT, 2000, XP e Server 2003.
O ASN.1 é um "standard" utilizado por muitas aplicações e dispositivos para permitir a troca de dados entre diferentes plataformas. Esta falha pode ser explorada por um intruso para instalar programas num computador, ver, trocar ou apagar informação, ou ainda criar novas contas de utilizador com privilégios de administrador. Este código pode ser usado para criar vírus ou "worms" que tirem partido da dita falha, os quais poderiam desencadear uma epidemia do tipo da do Blaster (surgida no Verão passado) ou do Red Code, há dois anos.
Usando aquele código em computadores onde não foi ainda aplicado o "patch", desencadeia-se um processo de "buffer overflow" e o PC entra num ciclo de reinicializações em "loop", de onde já não sai. É, pois, imperativo que todos os utilizadores das versões referidas do Windows instalem o "patch" da Microsoft.
Netsky.B vem de remetentes conhecidos...
Surgiu na semana passada a variante B do "worm" Netsky - um vírus especialmente perigoso (classificado com o nível de perigosidade de 4 em 5 pela Symantec e "médio" pela McAfee), pois as mensagens que o propagam, além de terem como remetente o utilizador do computador infectado, o assunto, o texto e até o nome do ficheiro anexo (que pode ter uma ou duas extensões) são escolhidos aleatoriamente de uma extensa lista de opções, tornando-se difícil a sua detecção. Ele procura endereços de E-mail para onde se enviar, utilizando o seu próprio motor de SMTP, numa extensa lista de tipos de ficheiro em todas as unidades de disco, incluindo as de rede mapeadas no PC.
Quando o ficheiro anexo da mensagem é executado, o "worm" copia-se a si próprio para um ficheiro com o nome Services.exe criado na pasta do Windows, tentando fazer o mesmo em todas as unidades de disco do computador, incluindo as de rede nele mapeadas.
O Netsky.B também se copia a si próprio, sob vários nomes de ficheiros apelativos, para todas as pastas cujo nome contenha as palavras "share" ou "sharing" em qualquer daquelas unidades de disco, o que lhe permite propagar-se através de redes de partilha de ficheiros, como a do Kazaa. Este "worm" faz várias alterações no Registo do Windows para que seja executado sempre que ele é iniciado mas também apaga entradas que possam ter sido criadas por outros vírus, como o Mydoom.A ou o Mimail.T.
... e o Beagle.B também
Também na semana passada, surgiu uma nova variante do "worm" Bagle (ou Beagle), a B. É mais um "worm" de distribuição em massa via E-mail que, entre outras acções, abre a porta TCP 8866 dos PC infectados, permitindo a intrusos que gravem ficheiros na pasta do sistema, os quais serão de seguida executados.
Para se propagar, o Bagle.B cria mensagens em que o remetente é o utilizador do computador infectado. O assunto da mensagem tem o seguinte aspecto: "ID [texto aleatório]... thanks". O seu texto também é muito simples: "Yours ID [texto aleatório] - - Thank"
O ficheiro anexo da mensagem apresenta a extensão .exe e um nome aleatório. As mensagens são enviadas para todos os endereços encontrados em ficheiros com as extensões .wab, .txt, .htm e .html usando o seu próprio motor de SMTP. Quando é executado, o Bagle.B cria uma cópia com o nome Au.exe na pasta do sistema e altera o Registo do Windows de modo a assegurar que seja executado sempre que o sistema arranque.
Este "worm", classificado com o nível de perigosidade de 3 em 5 pela Symantec e "médio" pela McAfee, foi concebido para se actualizar a si próprio a partir de certas páginas da Web - estando programado para cessar a actividade em 25 de Fevereiro.