[SECURITY-L] VXrus rouba senhas de vXtima
Silvana Mieko Misuta
mieko em ccuec.unicamp.br
Ter Fev 18 10:22:50 -03 2003
Subject: VXrus rouba senhas de vXtima
Date: Mon, 17 Feb 2003 20:39:59 -0300 (ART)
From: Caio Souza <caio_sm em yahoo.com.br>
Notícias
São Paulo, 17 de Fevereiro de 2003
Vírus rouba senhas de vítima
CSO Online
Foi-se o tempo em que os vírus estavam interessados em apenas
prejudicar sistemas, travar computadores ou
desconfigurar páginas Web. A McAfee Security está alertando para o
aparecimento de novas ameaças: PWS/Aileen,
Tellafriend, W32/Proget.worm.b e IRC/Yoink.
PWS/Aileen
O Cavalo de Tróia de origem desconhecida tenta recuperar senhas
armazenadas no cache da máquina local e, em
seguida, as envia ao autor.
Quando executado, uma chave de registro é criada para ser carregado na
inicialização do sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\dancingBaby =
%TEMP%\dancingBaby.exe
O PWS/Aileen tenta criar e carregar um documento HTML chamado
strTempHtm.htm. Esse documento contém
comandos que apontam para um script remoto na página trellix.com e, por
sua vez, resulta em armazenar senhas no cache
da máquina.
Tellafriend
Outro Cavalo de Tróia que chega como uma mensagem de SPAM. A ameaça se
espalha por todos os endereços de
e-mail encontrados no catálogo do Windows (WAB) e no catálogo de
endereços do Eudora, usando o servidor de
SMTP.
Um link para a página que contém o instalador da ameaça pode chegar em
uma mensagem de e-mail contendo o seguinte
formato: Assunto: Hi, i think you need this; Corpo da mensagem: Do you
hate POPUPS ?? well i just installed this free
Zero POPUP toolbar on my browser, it kills ALL popup ads and best of
all it's FREE ! Download it from here
http://www.zeropopup.com (its a 10 seconds download with a 56k modem) I
hope you'll like it alot, it also has good
rating on CNET download.com. Bye :)
Finalmente, quando o usuário acessa o link, vai para uma página que
contém um controle ActiveX, que é carregado na
inicialização do sistema, resultando uma mensagem imediata, porém com
assinatura inválida. Se o usuário clicar no botão
YES, a instalação é executada.
W32/Proget.worm.b
O Proget cria milhares de arquivos de 10 bytes no sistema local. Quando
executado, o vírus se copia para o diretório
System do Windows, mantendo o nome original. Também há uma chave de
registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"%FileName%" = %WormPath%
O vírus tem carga para criar um arquivo de 10 bytes em cada diretório
do sistema local, usando 8 caracteres aleatórios
seguidos da extensão aaa. A ação ocorre toda vez que o sistema é
reinicializado, fazendo com que o disco fique cheio.
Além disso, a cada minuto uma cópia do vírus é copiada para o drive A:\
.
IRC/Yoink
De origem norte-americana, o Yoink é um Cavalo de Tróia que pode se
conectar a servidores IRC. A ameaça possui a
função de um backdoor que pode "escutar" portas e verificar informações
que trafegam pelas portas 1-65535. Além
disso, ataques remotos podem capturar senhas e logins da vítima, entre
outras ações efetuadas por ele. Depois que entra
em ação, inúmeras mensagens são exibidas na tela do usuário, como por
exemplo: "You ‘re infected with the xxxxhead
virus".
No momento, todas as as ameaças são consideradas de Baixo Risco devido
ao pequeno número de casos registrados.
http://www.csoonline.com.br/adCmsDocumentoShow.aspx?documento=22350&Area=2
Mais detalhes sobre a lista de discussão SECURITY-L