[SECURITY-L] CAIS-Alerta: Variante do MSBlaster (Welchia ou Nachi)
Security Team - UNICAMP
security em unicamp.br
Sex Ago 22 10:04:17 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Variante do MSBlaster (Welchia ou Nachi)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 21 Aug 2003 11:16:10 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
Esta' circulando uma variante do worm MSBlaster, MSBlaster.D, tambem
chamado de Welchia ou Nachi.
A principal nova caraterisitica da variante e' que alem de explorar a
vulnerabilidade do MS DCOM RPC, o worm explora uma antiga vulnerabilidade
do WEBDAV.
Outras caracteristicas do MSBlaster.D sao:
. Tenta fazer o download da correcao para a vulnerabilidade do DCOM RPC
atraves do site do Windows Update, em caso de sucesso o worm instalara'
a correcao e reinicializara' o sistema.
. Mapeia as maquinas que estao ligadas executando um PING (ICMP echo
request), o que resulta em um aumento no trafego ICMP na rede.
. Tenta remover o MSBlaster original, caso a maquina esteja infectada.
Maiores informacoes sobre a vulnerabilidade do Windows WEBDAV e do worm
MSBlaster.D podem ser obtidas nos seguintes enderecos:
. Unchecked Buffer In Windows Component Could Cause Server Compromise (815021)
http://www.microsoft.com/technet/security/bulletin/ms03-007.asp
. CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL
http://www.cert.org/advisories/CA-2003-09.html
. Vulnerabilidade no IIS 5.0
http://www.rnp.br/cais/alertas/2003/ca200309.html
. Informações adicionais sobre a vulnerabilidade do IIS 5.0 (815021)
http://www.rnp.br/cais/alertas/2003/cais-alr-18032003.html
. W32.Welchia.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
Maiores informacoes sobre a vulnerabilidade do Windows DCOM RPC e do worm
MSBlaster podem ser obtidas nos seguintes enderecos:
. Exploitation of Vulnerabilities in Microsoft RPC Interface
http://www.cert.org/advisories/CA-2003-19.html
. Exploração de Vulnerabilidades do Microsoft RPC
http://www.rnp.br/cais/alertas/2003/CA200319.html
. Atualização do alerta MS03-026
http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html
. Vulnerabilidade no RPC da Microsoft (823980)
http://www.rnp.br/cais/alertas/2003/MS03-026.html
. Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
O CAIS recomenda aos administradores de plataformas Microsoft que
mantenham seus sistemas e aplicativos sempre atualizados, alem de ficarem
atentos a eventuais comportamentos anomalos dos servicos.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBP0TUN+kli63F4U8VAQFGoAP8CQSBgRjE8EQSg05FexCEHveOjJNsz1qK
LEpdVFoeCBuhaKk7e0z0WSyK4CQKXmmKrrwaPBeAC1khQQNGGhRPzbC3KDVGO8x8
kkLV6T2sV+ovL/MFsSE4J6tiMaqYZ10fBwzArWthS9pACJeL7L1WGjGYh+fPvonX
ptQGEhnmREg=
=ss51
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L