[SECURITY-L] Variante do Blaster "conserta" PCs infectados

Security Team - UNICAMP security em unicamp.br
Ter Ago 19 09:45:21 -03 2003 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Variante do Blaster XconsertaX PCs infectados
To: security em unicamp.br
Date: Mon, 18 Aug 2003 18:32:01 -0300 (ART)

Variante do Blaster "conserta" PCs infectados

Segunda-feira, 18 de Agosto de 2003 - 17h50

IDG Now!

http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0037

Os usuários do Windows, da Microsoft, que foram
infectados pelo vírus Blaster, na semana passada, com
certeza gostariam de uma versão daquele vírus que
limparia os arquivos corrompidos, depois instalaria as
correções impedindo futuras infecções.

Um vírus, chamado de Worm_MSBlast-D e Nachi, apareceu
nesta segunda-feira e espalhou-se explorando a mesma
falha de segurança do Windows que o vírus Blaster
original usou para infectar milhares de computadores
ao redor do mundo, segundo vários informes.

As companhias antivírus não concordam se o novo vírus
é uma versão do original Blaster ou um novo tipo de
vírus. Algumas, como a Trend Micro considera-o uma
variante, chamando-o de Worm_MSBLAST.D. Outras
declaram que se trata de um novo worm, conhecido como
w32.Nachi-A.

Uma coisa é certa: ao contrário do original, o
Blaster-D/Nachi está mais preocupado em consertar o
sistema do que explorar suas fraquezas. Depois de
infectar o Windows 2000 ou XP, o vírus procura e
remove o arquivo com o Blaster (Msblast.exe) e tenta
baixar e instalar os software de correção da Microsoft
que fecha o buraco de segurança.

As companhias de segurança, que discordam sobre o nome
do vírus, recomendam que os usuários removam o
Blaster-D/Nachi. "Qualquer coisa feita sem a aprovação
ou conhecimento do usuário não é bom", declarou Ian
Hameroff, estrategista de segurança da Computer
Associates (CA). "É como se a sua casa fosse arrombada
e os ladrões instalassem um alarme."

O Blaster-D/Nachi não distingue entre sistemas
infectados e saudáveis e se espalha como o Blaster,
identificando os sistemas operacionais Windows 2000 e
XP que não foram atualizados com os patches de
segurança da Microsoft.

Não há ainda nenhuma evidência de que o novo vírus
instale um Cavalo de Tróia nas máquinas , afirmou
David Perry, diretor de educação da Trend Micro. A CA
ainda está analisando o novo vírus e ainda não tem
detalhes sobre ele.

[ Paul Roberts - IDG News Service/EUA ]


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L