[SECURITY-L] CAIS-Alerta: Variante do MSBlaster (Welchia ou Nachi)

Security Team - UNICAMP security em unicamp.br
Sex Ago 22 10:04:17 -03 2003 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Variante do MSBlaster (Welchia ou Nachi)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 21 Aug 2003 11:16:10 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

Esta' circulando uma variante do worm MSBlaster, MSBlaster.D, tambem
chamado de Welchia ou Nachi.

A principal nova caraterisitica da variante e' que alem de explorar a
vulnerabilidade do MS DCOM RPC, o worm explora uma antiga vulnerabilidade
do WEBDAV.

Outras caracteristicas do MSBlaster.D sao:

. Tenta fazer o download da correcao para a vulnerabilidade do DCOM RPC
  atraves do site do Windows Update, em caso de sucesso o worm instalara'
  a correcao e reinicializara' o sistema.

. Mapeia as maquinas que estao ligadas executando um PING (ICMP echo
  request), o que resulta em um aumento no trafego ICMP na rede.

. Tenta remover o MSBlaster original, caso a maquina esteja infectada.


Maiores informacoes sobre a vulnerabilidade do Windows WEBDAV e do worm
MSBlaster.D podem ser obtidas nos seguintes enderecos:

. Unchecked Buffer In Windows Component Could Cause Server Compromise (815021)
  http://www.microsoft.com/technet/security/bulletin/ms03-007.asp

. CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL
  http://www.cert.org/advisories/CA-2003-09.html

. Vulnerabilidade no IIS 5.0
  http://www.rnp.br/cais/alertas/2003/ca200309.html

. Informações adicionais sobre a vulnerabilidade do IIS 5.0 (815021)
  http://www.rnp.br/cais/alertas/2003/cais-alr-18032003.html

. W32.Welchia.Worm
  http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html


Maiores informacoes sobre a vulnerabilidade do Windows DCOM RPC e do worm
MSBlaster podem ser obtidas nos seguintes enderecos:

. Exploitation of Vulnerabilities in Microsoft RPC Interface
  http://www.cert.org/advisories/CA-2003-19.html

. Exploração de Vulnerabilidades do Microsoft RPC
  http://www.rnp.br/cais/alertas/2003/CA200319.html

. Atualização do alerta MS03-026
  http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html

. Vulnerabilidade no RPC da Microsoft (823980)
  http://www.rnp.br/cais/alertas/2003/MS03-026.html

. Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
  http://www.microsoft.com/technet/security/bulletin/ms03-026.asp


O CAIS recomenda aos administradores de plataformas Microsoft que
mantenham seus sistemas e aplicativos sempre atualizados, alem de ficarem
atentos a eventuais comportamentos anomalos dos servicos.


Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# cais em cais.rnp.br     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBP0TUN+kli63F4U8VAQFGoAP8CQSBgRjE8EQSg05FexCEHveOjJNsz1qK
LEpdVFoeCBuhaKk7e0z0WSyK4CQKXmmKrrwaPBeAC1khQQNGGhRPzbC3KDVGO8x8
kkLV6T2sV+ovL/MFsSE4J6tiMaqYZ10fBwzArWthS9pACJeL7L1WGjGYh+fPvonX
ptQGEhnmREg=
=ss51
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L