Índice:
Vídeo: Tua Presença - Gabi Oliveira feat Paulo Neto (Novembro 2024)
Conteúdo
- Este verme só quer curar
- Ameaça máxima W32 / Nachi.B-worm
- Os 10 principais vírus de email
- As 5 principais vulnerabilidades
- Dica de segurança
- Atualizações de segurança do Windows
- Jargon Buster
- Feed de notícias do Watch de segurança
Este verme só quer curar
Primeiro, testemunhamos a explosão do MyDoom.A e o subsequente ataque de negação de serviço que levou o site da Operação Santa Cruz (sco.com) por duas semanas. Depois veio o MyDoom.B, que adicionou o Microsoft.com como alvo de um ataque DoS. Enquanto MyDoom.A decolou com vingança, MyDoom.B, como um filme "B", foi um fracasso. De acordo com Mark Sunner, CTO da MessageLabs, o MyDoom.B apresentava bugs no código que fazia com que ele fosse bem-sucedido apenas em um ataque do SCO em 70% das vezes e 0% ao atacar a Microsoft. Ele também disse que havia "mais chances de ler sobre o MyDoom.B do que pegá-lo".
Na semana passada, vimos uma explosão de vírus nas caudas do MyDoom.A, a bem-sucedida aquisição de centenas de milhares de máquinas. O primeiro a entrar em cena foi o Doomjuice.A (também chamado MyDoom.C). O Doomjuice.A não era outro vírus de e-mail, mas aproveitou o backdoor que o MyDoom.A abriu em máquinas infectadas. O Doomjuice faria o download para uma máquina infectada do MyDoom e, como o MyDoom.B, instalava e tentava realizar um ataque de DoS no Microsoft.com. Segundo a Microsoft, o ataque não os afetou negativamente nos dias 9 e 10, embora o NetCraft tenha registrado que o site da Microsoft estava inacessível a certa altura.
Os especialistas em antivírus acreditam que o Doomjuice foi obra do (s) mesmo (s) autor (es) do MyDoom, porque também coloca uma cópia da fonte original do MyDoom na máquina da vítima. De acordo com um comunicado de imprensa da F-secure, essa pode ser uma maneira dos autores cobrirem suas faixas. Ele também libera um arquivo de código-fonte que funciona para outros criadores de vírus, para usar ou modificar. Portanto, o MyDoom.A e o MyDoom.B, como o Microsoft Windows e o Office, agora se tornaram uma plataforma para a propagação de outros vírus. Na última semana, vimos o surgimento de W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - uma variante Trojan do Proxy-Mitglieter, W32 / Deadhat.A e W32 / Deadhat.B, todos entrando no backdoor do MyDoom. O Vesser.worm / DeadHat.B também usa a rede de compartilhamento de arquivos SoulSeek P2P.
Em 12 de fevereiro, o W32 / Nachi.B.worm foi descoberto. Como seu antecessor, o W32 / Nachi.A.worm (também conhecido como Welchia), o Nachi.B se propaga explorando as vulnerabilidades RPC / DCOM e WebDAV. Enquanto ainda é um vírus / worm, o Nachi.B tenta remover o MyDoom e fechar vulnerabilidades. Na sexta-feira, 13 de fevereiro, o Nachi.B chegou ao segundo lugar em algumas listas de ameaças de fornecedores (Trend, McAfee). Como não usa email, não aparecerá na lista dos dez principais vírus da MessageLabs. Prevenir a infecção por Nachi.B é o mesmo que para Nachi.A, aplique todos os patches atuais de Segurança do Windows para fechar vulnerabilidades. Veja nossa principal ameaça para obter mais informações.
Na sexta-feira, 13 de fevereiro, vimos outro arpão do MyDoom, o W32 / DoomHunt.A. Esse vírus usa o backdoor MyDoom.A e encerra processos e exclui chaves do registro associadas ao seu destino. Ao contrário do Nachi.B, que funciona silenciosamente em segundo plano, o DoomHunt.A exibe uma caixa de diálogo proclamando "MyDoom Removal Worm (DDOS the RIAA)". Ele se instala na pasta Windows System como um Worm.exe óbvio e adiciona uma chave de registro com o valor "Delete Me" = "worm.exe". A remoção é igual a qualquer worm, interrompe o processo worm.exe, verifique com um antivírus, exclua o arquivo Worm.exe e todos os arquivos associados e remova a chave do registro. Obviamente, atualize sua máquina com os patches de segurança mais recentes.
A Microsoft anunciou mais três vulnerabilidades e lançou patches esta semana. Dois são prioridade de nível importante e um é nível crítico. A principal vulnerabilidade envolve uma biblioteca de códigos no Windows, que é central para proteger aplicativos da Web e locais. Para mais informações sobre a vulnerabilidade, suas implicações e o que você precisa fazer, consulte nosso relatório especial. As outras duas vulnerabilidades envolvem o serviço WINS (Windows Internet Naming Service), e a outra está na versão Mac do Virtual PC. Consulte a seção Atualizações de segurança do Windows para obter mais informações.
Se parece um pato, anda como um pato e grasna como um pato, é um pato ou um vírus? Talvez, talvez não, mas a AOL estava avisando (Figura 1) os usuários para não clicarem em uma mensagem que estava circulando pelo Instant Messenger na semana passada.
A mensagem continha um link que instala um jogo, Capture Saddam ou Night Rapter, dependendo da versão da mensagem (Figura 2). O jogo incluía o BuddyLinks, um vírus semelhante à tecnologia que envia automaticamente cópias da mensagem para todos na sua lista de amigos. A tecnologia realiza marketing viral com sua campanha de mensagens automatizadas e envia publicidade e pode seqüestrar (redirecionar) seu navegador. Na sexta-feira, tanto o site do jogo (www.wgutv.com) quanto o site da Buddylinks (www.buddylinks.net) estavam inativos, e a empresa Buddylinks, sediada em Cambridge, não estava retornando telefonemas.Atualização: Na semana passada, falamos sobre um site falso do Not Email, prometendo reduzir o spam, mas na verdade era um coletor de endereços de email para spammers. Nesta semana, uma reportagem da Reuters relata que a Comissão Federal de Comércio dos EUA está alertando: "Os consumidores não devem enviar seus endereços de e-mail para um site que promete reduzir" spams "indesejados por serem fraudulentos. O artigo continua descrevendo o site e recomenda, como já foi, "manter suas informações pessoais para si mesmo - incluindo seu endereço de e-mail - a menos que você saiba com quem está lidando".
Na quinta-feira, 12 de fevereiro, a Microsoft descobriu que parte de seu código-fonte estava circulando na web. Eles rastrearam a MainSoft, uma empresa que cria uma interface Windows para Unix para programadores de aplicativos Unix. A MainSoft licenciou o código-fonte do Windows 2000, especificamente a parte relacionada à API (interface do programa de aplicativo) do Windows. De acordo com uma história da eWeek, o código não é completo ou compilável. Embora a API do Windows seja bem publicada, o código-fonte subjacente não é. A API é uma coleção de funções e rotinas de código que executam as tarefas de execução do Windows, como colocar botões na tela, fazer segurança ou gravar arquivos no disco rígido. Muitas das vulnerabilidades no Windows decorrem de buffers e parâmetros não verificados para essas funções. Geralmente, as vulnerabilidades envolvem a transmissão de mensagens ou parâmetros especialmente criados para essas funções, causando falhas e abrindo o sistema à exploração. Como grande parte do código do Windows 2000 também está incorporada no servidor Windows XP e Windows 2003, ter o código-fonte pode permitir que criadores de vírus e usuários mal-intencionados encontrem mais facilmente falhas em rotinas específicas e as explorem. Embora as vulnerabilidades sejam normalmente identificadas pela Microsoft ou por fontes de terceiros antes de se tornarem públicas, dando tempo para emitir correções, isso pode mudar esse procedimento, colocando os hackers na posição de descobrir e explorar vulnerabilidades antes que a Microsoft as encontre e corrija.