[SECURITY-L] Sobig.F pode ter surgido em mensagens da Usenet

Security Team - UNICAMP security em unicamp.br
Seg Ago 25 15:59:51 -03 2003 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Sobig.F pode ter surgido em mensagens da Usenet
To: security em unicamp.br
Date: Mon, 25 Aug 2003 14:55:14 -0300 (ART)

Sobig.F pode ter surgido em mensagens da Usenet

Segunda-feira, 25 de Agosto de 2003 - 11h23

IDG Now!

http://idgnow.terra.com.br/idgnow/internet/2003/08/0061

A variante da praga Sobig, o Sobig.F, que pode ter
infectado mais de 100 mil computadores em todo o
mundo, deve ter surgido disfarçada por meio de uma
foto pornográfica para grupos de discussão do serviço
Usenet.

O norte-americano Easynews, provedor de acesso da
Usenet, foi intimado pelo FBI para explicar a denúncia
de que a sua conta teria servido de porta de entrada
para que o vírus fosse espalhado na Usenet.

Na sexta-feira (22/08), após receber cópia da
intimação, o provedor forneceu ao órgão do governo
norte-americano todas as contas dos usuários.

Uma mensagem da última segunda-feira (18/08), teria
sido enviada a seis novos grupos da Usenet:
alt.binaries.amp, alt.binaries.boneless,
alt.binaries.nl, alt.binaries.pictures.chimera,
alt.binaries.pictures.erotica e
alt.binaries.pictures.erotica.amateur.female.

Segundo a Easynews, a mensagem de título "Nice, who
has more of it? DSC-00465.jpeg", continha uma foto
que, ao ser clicada, infectou o navegador do
computador com o worm.

A companhia acredita que a conta tenha sido criada com
o uso de um cartão de crédito roubado, com o propósito
de espalhar o vírus na Usenet, criado minutos antes do
envio pela web.

Uma busca pelo arquivo Usenet no Google confirma a
suspeita ao revelar uma mensagem de teste com o mesmo
endereço do remetente: misiko em dot.com para o novo
grupo alt.alt.test, feita nove minutos antes do envio.

O provedor Realtime Communications, que opera o
domínio dot.com domain, disse que a conta de e-mail
listada é falsa. A empresa possui três contas de
e-mail, mas nenhuma com o endereço misiko em dot.com.

Investigadores do Canadá descobriram que as mensagens
da Usenet naquele País são provenientes de
computadores pessoais da British Columbia, infectados
pelo vírus.

[ Martyn Williams - IDG News Service, Japão ]


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L