[SECURITY-L] Virus Bugbear ja infecta mais do que o Klez

[Daniela Regina Barbetti Silva]

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Vírus Bugbear já infecta mais do que o Klez
To: daniela em ccuec.unicamp.br
Date: Thu, 03 Oct 2002 15:44:42 GMT


Vírus Bugbear já infecta mais do que o Klez 

3/10/2002 - 0:23 Giordani Rodrigues 

A aparente calmaria das últimas semanas no mercado antivírus foi quebrada
pela descoberta de uma nova praga virtual, que vem infectando muitos
computadores no mundo inteiro ― inclusive no Brasil. Trata-se de um
worm batizado de Bugbear e que já é o mais atuante do momento, segundo
algumas empresas de segurança. Apesar de não ser destrutivo, o vírus possui
alto poder de disseminação, capacidade de se espalhar por redes e abrir as
portas do micro infectado para intrusos.

O Bugbear, também chamado de Tanatos pela Kaspersky e Keywo pela Grisoft,
está infectando mais computadores do que o famigerado Klez, de acordo com a
empresa finlandesa F-Secure, que aumentou o grau de risco do vírus para 1,
o seu nível máximo. A informação é confirmada pela empresa britânica
MessageLabs que, até o momento, detectou o vírus em cerca de 50 mil
mensagens em mais de 100 países. Apenas nas últimas 24 horas, foram cerca
de 23 mil e-mails contaminados pelo vírus, mais do que o triplo da
quantidade de mensagens infectadas pelo Klez-H no mesmo período.

A Symantec também elevou a classificação de risco do Bugbear para 4, numa
escala de vai de 1 até 5. A filial brasileira da empresa informa que até o
meio-dia desta quarta-feira, 2 de outubro, já havia recebido 70 ligações de
clientes solicitando informações sobre o vírus. No final da tarde, a
divisão mundial da Symantec atualizou as estatísticas: de 157 arquivos
infectados pelo Bugbear enviados por seus clientes até a manhã de
terça-feira, houve um salto para 2.039 arquivos infectados na manhã de
quarta-feira.

O vírus, escrito em linguagem Microsft Visual C++ e comprimido com o
utilitário UPX, chega como um anexo de e-mail de aproximadamente 50 KB. A
mensagem tem muitos assuntos diferentes e variados textos, incluindo a
possibilidade de que estejam em português. O worm também se espalha por
redes locais, pode desabilitar vários produtos antivírus e firewalls e tem
capacidade de instalar um programa espião na máquina. Este programa abre a
porta 36794, dando a um intruso a possibilidade de controlar remotamente o
sistema, executar ou apagar arquivos.

O anexo de e-mail também pode ter vários nomes, mas geralmente tem dupla
extensão (por exemplo, doc.scr). Além disso, não é necessário clicar no
arquivo, pois o Bugbear pode se executar automaticamente, devido a um bug
do Internet Explorer que já tem correção há cerca de 18 meses. Isto, aliado
ao grande número de infecções, demonstra que muitos usuários de computador
continuam negligenciando princípios básicos de segurança na Internet, como
atualizar o sistema operacional, o navegador e os programas de e-mail. 

A bem da verdade, o Bugbear é uma mistura de várias técnicas conhecidas
pelos criadores de vírus. Porém, a reunião destas características num único
programa pode aumentar o risco que o worm oferece. Assim como o Klez, o
Bugbear pode recolher mensagens de e-mail antigas armazenadas no sistema e
enviá-las para endereços aleatórios. Além da ameaça à privacidade dos
usuários, a técnica representa mais uma forma de aguçar a curiosidade de
quem recebe o vírus.

“Repassar velhos e-mails é, na realidade, um truque de engenharia social”,
afirma Mikko Hypponen, diretor de pesquisas antivírus da F-Secure. “Quando
as pessoas recebem tais mensagens, ficam atônitas com o conteúdo. Em muitos
casos, elas irão clicar no anexo apenas para tentar entender o que
significa aquele estranho e-mail ― e conseqüentemente serão
infectadas”, completa.

Ao tentar copiar seu código para todas as máquinas compartilhadas em uma
rede, incluindo as impressoras, o Bugbear assume ainda um outro
comportamento inusitado. Apesar de não ter capacidade de infectar uma
impressora, o vírus tenta imprimir seu código binário, resultando em
centenas de páginas de papel desperdiçadas com conteúdo inútil.

Como se proteger

Como o vírus pode se apresentar de inúmeras maneiras, não há um regra única
para identificá-lo. Para tentar se proteger, faça o seguinte:

1) Atualize os programas da Microsoft instalados em sua máquina. Para isso,
visite a página http://windowsupdate.microsoft.com. As atualizações são
automáticas e no mesmo idioma do sistema. Para baixar especificamente a
correção da vulnerabilidade explorada pelo Bugbear, acesse o site:


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp


2) Atualize seu programa antivírus, pois a maioria das empresas já lançou
vacinas contra o worm. Caso você não possua antivírus, poderá encontrar
várias opções gratuitas nos sites:


Em português: o site MyNetis.com oferece soluções de verificação e
desinfecção de arquivos contaminados por vírus gratuitamente, por e-mail e
também online. Por e-mail as alternativas são maiores, mas a opção requer o
preenchimento de um cadastro. Leia o regulamento antes de se cadastrar,
para saber como seus dados serão utilizados. Em português e espanhol.
http://www.mynetis.com 


Trend Micro (PC-cillin): http://housecall.antivirus.com 

A Trend Micro também oferece soluções para produtos específicos:

Para testar mensagens do Outlook: http://www.antivirus.com/free_tools/smo

Para testar mensagens do Microsoft Exchange:

http://housecall.antivirus.com/smex_housecall

Para testar dispositivos wireless (Palm, Epoc e Pocket PC): 

http://www.antivirus.com/free_tools/wireless

Para testar se seu antivírus está funcionando corretamente: 

http://www.antivirus.com/vinfo/testfiles 

Panda Software: clique em: 

http://www.pandasoftware.com e escolha a opção Panda ActiveScan.

BitDefender: http://www.bitdefender.com/scan/index.html 

Você também poderá fazer um rastreamento gratuito de seu micro, porém sem a
possibilidade de eliminar os vírus, nos seguintes links:

Network Associates (McAfee): http://www.mcafee.com/myapps/vso 

Symantec (Norton AntiVirus):
http://security2.norton.com/us/continue_vc.asp?scantype=2&venid=sym&langid=us

Command AntiVirus: http://www.commandondemand.com/cod/index.cfm

Para remoção de alguns vírus específicos e bastante difundidos, como
Magistr, Anna Kournikova, MTX, Hybris (Branca de Neve pornô), Navidad, I
Love You, Chernobyl e outros, clique em: 

Symantec: http://www.symantec.com/avcenter/tools.list.html

Central Command: http://www.centralcommand.com/removal_tools.html

Outros links:

TheFreeSite.com: programas e serviços gratuitos de várias categorias. A
página com links para antivírus gratuitos está em:

http://www.thefreesite.com/Free_Software/Anti_virus_freeware/index.html 

F-Script: programa da F-Secure específico para detectar e desinfectar vírus
que utilizam scripts, como VBS, JS, HTML, etc.
ftp://ftp.f-secure.com/anti-virus/tools/old/f-script.zip 

Outras ferramentas: vários programas para detecção e desinfecção de vírus
específicos, também da F-Secure. ftp://ftp.f-secure.com/anti-virus/tools 

3) Nunca clique em arquivos desconhecidos sem antes testá-los com um
antivírus em dia. Em caso de dúvida, simplesmente apague o arquivo. 

Se seu computador já foi infectado pelo Bugbear, a maneira mais fácil de
eliminá-lo é executar uma das ferramentas automáticas lançadas por várias
empresas antivírus, que não só apagam os arquivos maléficos, como restauram
as modificações feitas pelo vírus no registro do Windows. Lembre-se de que,
caso seu computador faça parte de uma rede, todas as máquinas podem ter
sido contaminadas. Nesta situação, você deve isolar todos os computadores
da rede e limpá-los um a um, caso contrário é muito provável que a infecção
retorne. 

Clique em um dos links abaixo para acessar as páginas das respectivas
empresas, com informações e ferramentas para desinfecção automática do
Bugbear:

Symantec ->
http://www.symantec.com/avcenter/venc/data/w32.bugbear@mm.removal.tool.html

Panda Software -> http://www.pandasoftware.com/library/W32Bugbear_en.htm

F-Secure  ->  ftp://ftp.f-secure.com/anti-virus/tools/f-bugbr.zip

Grisfot (AVG) ->
http://www.grisoft.com/html/news/bugbear.htm?session=23eb715438777ad0a57ff6ce1f985bde

BitDefender (AVX) -> http://www.bitdefender.com/html/free_tools.php



Fonte: InfoGuerra - http://www.infoguerra.com.br

----- End forwarded message -----