[SECURITY-L] VXrus rouba senhas de vXtima

Silvana Mieko Misuta mieko em ccuec.unicamp.br
Ter Fev 18 10:22:50 -03 2003 

Subject: VXrus rouba senhas de vXtima
    Date:  Mon, 17 Feb 2003 20:39:59 -0300 (ART)
   From: Caio Souza <caio_sm em yahoo.com.br>

 Notícias
 São Paulo, 17 de Fevereiro de 2003



 Vírus rouba senhas de vítima

 CSO Online

 Foi-se o tempo em que os vírus estavam interessados em apenas
prejudicar sistemas, travar computadores ou
 desconfigurar páginas Web. A McAfee Security está alertando para o
aparecimento de novas ameaças: PWS/Aileen,
 Tellafriend, W32/Proget.worm.b e IRC/Yoink.

 PWS/Aileen

 O Cavalo de Tróia de origem desconhecida tenta recuperar senhas
armazenadas no cache da máquina local e, em
 seguida, as envia ao autor.

 Quando executado, uma chave de registro é criada para ser carregado na
inicialização do sistema:
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\dancingBaby =
 %TEMP%\dancingBaby.exe

 O PWS/Aileen tenta criar e carregar um documento HTML chamado
strTempHtm.htm. Esse documento contém
 comandos que apontam para um script remoto na página trellix.com e, por
sua vez, resulta em armazenar senhas no cache
 da máquina.

 Tellafriend

 Outro Cavalo de Tróia que chega como uma mensagem de SPAM. A ameaça se
espalha por todos os endereços de
 e-mail encontrados no catálogo do Windows (WAB) e no catálogo de
endereços do Eudora, usando o servidor de
 SMTP.

 Um link para a página que contém o instalador da ameaça pode chegar em
uma mensagem de e-mail contendo o seguinte
 formato: Assunto: Hi, i think you need this; Corpo da mensagem: Do you
hate POPUPS ?? well i just installed this free
 Zero POPUP toolbar on my browser, it kills ALL popup ads and best of
all it's FREE ! Download it from here
 http://www.zeropopup.com (its a 10 seconds download with a 56k modem) I
hope you'll like it alot, it also has good
 rating on CNET download.com. Bye :)

 Finalmente, quando o usuário acessa o link, vai para uma página que
contém um controle ActiveX, que é carregado na
 inicialização do sistema, resultando uma mensagem imediata, porém com
assinatura inválida. Se o usuário clicar no botão
 YES, a instalação é executada.

 W32/Proget.worm.b

 O Proget cria milhares de arquivos de 10 bytes no sistema local. Quando
executado, o vírus se copia para o diretório
 System do Windows, mantendo o nome original. Também há uma chave de
registro:
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"%FileName%" = %WormPath%

 O vírus tem carga para criar um arquivo de 10 bytes em cada diretório
do sistema local, usando 8 caracteres aleatórios
 seguidos da extensão aaa. A ação ocorre toda vez que o sistema é
reinicializado, fazendo com que o disco fique cheio.
 Além disso, a cada minuto uma cópia do vírus é copiada para o drive A:\
.

 IRC/Yoink

 De origem norte-americana, o Yoink é um Cavalo de Tróia que pode se
conectar a servidores IRC. A ameaça possui a
 função de um backdoor que pode "escutar" portas e verificar informações
que trafegam pelas portas 1-65535. Além
 disso, ataques remotos podem capturar senhas e logins da vítima, entre
outras ações efetuadas por ele. Depois que entra
 em ação, inúmeras mensagens são exibidas na tela do usuário, como por
exemplo: "You ‘re infected with the xxxxhead
 virus".

 No momento, todas as as ameaças são consideradas de Baixo Risco devido
ao pequeno número de casos registrados.



http://www.csoonline.com.br/adCmsDocumentoShow.aspx?documento=22350&Area=2

Mais detalhes sobre a lista de discussão SECURITY-L