[SECURITY-L] Worm Blaster foi mal escrito, dizem analistas

Security Team - UNICAMP security em unicamp.br
Qua Ago 13 10:00:32 -03 2003 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Worm Blaster foi mal escrito, dizem analistas
To: security em unicamp.br
Date: Tue, 12 Aug 2003 20:51:00 -0300 (ART)

Worm Blaster foi mal escrito, dizem analistas

Terça-feira, 12 de Agosto de 2003 - 18h01

IDG Now!

http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0020

Especialistas em segurança afirmam que apesar de ter
infectado milhares de computadores em todo o mundo, o
worm W32.Blaster é pobremente escrito e ineficiente, o
que diminui seu impacto.

Os analistas alertam no entanto, que futuras versões
do worm poderão corrigir estas falhas, fazendo com que
o Blaster se espalhe muito mais rapidamente, o que
resultaria na interrupção de serviços das redes
infectadas e causaria grandes danos aos negócios e
usuários individuais na web.

O Blaster, também conhecido como MSBlast, Lovsan Worm
e DCOM Worm, apareceu nesta segunda-feira (11/08) e se
espalhou rapidamente em computadores de todo o mundo
ao explorar uma falha no sistema operacional Windows.
De acordo com Johannes Ullrich, Chief Technology
Officer (CTO) do SANS Internet Storm Center, até esta
terça-feira (12/08), o worm atacou mais de 30 mil
sistemas.

Especialistas já familiarizados com o novo worm
afirmam porém, que uma inspeção mais detalhada do
código do worm revelaram um trabalho de baixa
qualidade. Segundo Marc Maiffret, especialista de
segurança da empresa eEye Digital Security, o criador
do Blaster não escreveu um novo código, mas copiou e
colou uma ferramenta de ataque já conhecida para a
vulnerabilidade que estava disponível na web. Apesar
da falha afetar todos os PCs que rodam Windows, o worm
Blaster ataca somente os sistemas Windows XP e Windows
2000, o que reduz o número de máquinas afetadas.

De acordo com a empresa de segurança F-Secure, da
Finlândia, o código do Blaster não consegue detectar
que tipo de sistema operacional está instalado na
máquina que ele está atacando e escolhe, de forma
randômica, entre atacar sistemas Windows XP e Windows
2000. Ao fazer isso, o Blaster frequentemente usa o
recurso errado para o sistema operacional instalado o
que faz com que as máquinas com Windows XP sejam
reiniciadas com uma mensagem de erro.

Os autores do Blaster criaram um método ineficiente e
nada sutil para espalhar o código de uma máquina
infectada para outra vulnerável, mas ainda “limpa”. O
worm solicita que a máquina vulnerável estabeleça uma
conexão individual com o PC infectado, para copiar o
código do worm, facilitando sua detecção em uma rede e
fornecendo vários caminhos para seu bloqueio.

[ Paul Roberts - IDG News Service / EUA ]


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L