[SECURITY-L] Software para envio de e-mail esta infectado por virus

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qua Out 9 11:15:21 -03 2002 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Software para envio de e-mail estX infectado por vXrus 
To: daniela em ccuec.unicamp.br
Date: Wed, 9 Oct 2002 05:09:32 -0300 (ART)


Software para envio de e-mail está infectado por vírus 

8/10/2002 - 19:52 Giordani Rodrigues 
O CERT/CC (Computer Emergency Response Team Coordination Center) acaba de publicar um alerta informando que as últimas versões do Sendmail estão infectadas com um vírus do tipo trojan horse. O Sendmail é um software gratuito (freeware) para envio de mensagens muito usado em servidores de e-mail.

Segundo o CERT, cópias do código-fonte do software foram modificadas por um intruso, que inseriu o vírus. Os pacotes sendmail.8.12.6.tar.Z e sendmail.8.12.6.tar.gz foram infectados. A ação ocorreu aproximadamente no dia 28 de setembro e as cópias com o código maléfico passaram a ser distribuídas a partir do servidor ftp.sendmail.org. 

No dia 6 de outubro, o servidor foi tirado do ar, mas supõe-se que outros sites (mirrors) também estão distribuindo cópias infectadas. Aparentemente, as cópias baixadas do servidor HTTP não apresentam o mesmo problema, mas o CERT recomenda aos administradores de sistemas que testem todos os pacotes.

O trojan é executado no momento em que o código-fonte do Sendmail infectado é compilado no servidor. Ao ser ativado, o programa maléfico estabelece uma conexão remota com a máquina do intruso através da porta TCP 6667. De acordo com o CERT, o invasor terá os mesmos privilégios que o usuário legítimo, mas só poderá acessar a máquina em que o Sendmail tiver sido construído e não aquelas que se utilizarem do software já compilado. No entanto, como o sistema comprometido cria uma espécie de túnel de comunicação com o sistema controlado pelo invasor, este poderá obter um caminho para comprometer outras máquinas da rede, alerta o centro de segurança.

Os administradores que tiverem baixado recentemente o código-fonte do Sendmail devem se certificar de sua autenticidade. Uma das formas de se fazer isso é verificar a assinatura criptografada que acompanha o código. A chave autêntica e outras formas de proteção podem ser encontradas nesta página. Cópias “limpas” do software podem ser baixadas do servidor http://www.sendmail.org. 

 

Fonte: InfoGuerra - http://www.infoguerra.com.br

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L