[SECURITY-L] [caio_sm em yahoo.com.br: McAfee alerta para as principais ameaXas de julho]

[Silvana Mieko Misuta]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: McAfee alerta para as principais ameaXas de julho
To: security em unicamp.br
Date: Mon, 30 Jun 2003 18:43:41 -0300 (ART)

McAfee alerta para as principais ameaças de julho
 

CSO Online

<http://www.csoonline.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=24973&Area=5>

A equipe de especialistas da empresa de antivírus
McAfee Security, o AVERT (Anti Virus Emergency
Response Team), destaca as principais ameaças que
podem agir neste próximo mês: Bugbear, Fortnight,
NoClose, Byteverify, CIH.remants, Opaserv. MIME e
Klez.

A companhia divulgou um breve descritivo sobre cada
ameaça. Confira abaixo:

W32/Bugbear.b em MM - Esse worm contém vários elementos
de ataque: é mass-mailing, propaga-se por
compartilhamento de rede, Cavalo de Tróia, keylogger
(rouba informações digitadas), infector de arquivos,
danificador de software de segurança. Ele se envia aos
e-mails encontrados no computador, simulando o
remetente. E o vírus ainda consegue criar assuntos
aleatórios. A mensagem varia, os anexos também variam,
mas as extensões desses arquivos podem ser .exe, .pif
ou .scr. O vírus copia-se para a pasta "Iniciar"
usando um nome aleatório. Ele tenta ainda se copiar
para o diretório "Iniciar" de máquinas remotas ligadas
em rede. O vírus ainda abre a porta TCP 1080 para
comandos, o que permite a invasão remota do computador
infectado. Tenta infectar ainda os seguintes arquivos
executáveis: hh.exe;
mplayer.exe;notepad.exe;regedit.exe; scandskw.exe;
winhelp.exe; ACDSee32.exe; AcroRd32.exe (Acrobat
Reader 4.0 e 5.0), aim.exe; cutftp32.exe; DAP.exe;
Far.exe; Icq.exe; iexplore.exe; kazaa.exe;
Ad-aware.exe; msnmsgr.exe; msimn.exe;
QuickTimePlayer.exe; realplay.exe; Morpheus.exe;
Trillian.exe; winamp.exe; mplayer2.exe; WinRAR.exe;
winzip32.exe; WS_FTP95.exe; ZoneAlarm.exe.

W32/Fortnight.c em M - O vírus chega em forma de código
HTML em qualquer e-mail. Este código aponta para um
website, de forma que, quando a mensagem é aberta,
esse site passa a ser acessado. A página Web em
questão contém códigos JavaScript que carrega um
applet com a carga viral no computador. O Worm
instala-se no computador da seguinte forma: O arquivo
de assinatura HTML [s.htm], contendo o link para a
página web, é escrito no diretório WINDOWS. Após essas
mudanças, cada mensagem enviada através do Oulook
Express do computador infectado vai conter a
assinatura infectada. O Worm faz várias alterações de
configuração do Internet Explorer de forma a levar o
usuário a visitar o site infectado do autor do vírus,
aparentemente com objetivos de propaganda. As táticas
de programação usadas com este objetivo são
frequentemente denominadas como "scumware". O vírus
cria ainda atalhos na pasta "Favoritos" do Internet
Explorer, que levam ao site do autor do vírus:
1.c:\WINDOWS\Favorites\Nude Nurses.url
2.c:\WINDOWS\Favorites\Search You Trust.url
3.c:\WINDOWS\Favorites\Your Favorite Porn Links.url.

JS/NoClose - Este cavalo de Tróia escrito em linguagem
Java permite que várias funções ocultas ocorram no
sistema infectado. Ele ocorre de duas formas: No
formato HTA , é criada uma aplicação HTML não visível
ao usuário, e que não pode ser fechada. No formato
HTML, é criada uma janela de browser que é minimizada,
e não pode ser facilmente maximizada nem fechada.
Tipicamente, essas "armadilhas" do Windows são
associadas a anúncios ou banners, mais especificamente
os banners de sites pornográficos e sites que pagam
comissões a outros para abrirem banners nos
computadores dos visitantes. Esse Vírus não contém
nenhuma outra carga, e não causa maiores danos ao
computador local.

Exploit-Byteverify - Essa detecção cobre applets Java
que tentam se valer da vulnerabilidade Microsoft
Security Bulletin MS03-011, considerada crítica, pois
permite que um hacker execute código malicioso
simplesmente com a visita a um site infectado. Tais
detecções não significam necessariamente que qualquer
código malicioso foi executado.

W32/CIH.remants - Trata-se de códigos virais
corrompidos do antigo vírus CIH, também conhecido como
Chernobyl. Esse vírus surgiu em 1998, no sudeste
asiático. Atualmente existem 35 variantes desse vírus.
As mais comuns são as variantes 1003 e 1019. Infecta
arquivos Windows 95 em formato PE. Consiste de uma
carga ativada por data.Os arquivos infectados pela
família de vírus W95/CIH não são executados em
ambiente windows NT, Windows 2000 ou XP porque sua
estrutura não é válida. O vírus contém uma carga muito
perigosa, cuja data de ativação depende da variante.
Nessa data, eles tentam sobrescrever a flash-BIOS. Se
ela estiver write-enabled (este é o caso na maioria
dos computadores modernos com flash-BIOS) a máquina
será inutilizada, porque ela não vai mais inicializar.
Na mesma hora, o HD também é sobrescrito com lixo. As
datas de ativação do vírus variam de acordo com a
variante: CIH.1003 - 26 de abril; CIH.1010 - 26 de
junho; CIH.1019 - no dia 26 de qualquer mês.

W32/Opaserv.worm – Não se propaga em sistemas
WindowsNT/2K/XP. O vírus tenta se enviar via
compartilhamentos de rede copiando-se para o diretório
WINDOWS das máquinas remotamente acessadas como
SCRSVR.EXE, por meio de uma chave de execução no
WIN.INI para que o worm seja carregado na
inicialização do sistema. Quando executado na máquina
da vítima, o worm copia-se como %WinDir%\ScrSvr.exe.
Ele então tenta acessar uma URL remota, já
indisponível. Há indícios de que o worm poderia baixar
atualizações desse site.

Exploit-MIME.gen - Explora a vulnerabilidade de
cabeçalho MIME incorreto, que permite aos arquivos
anexos executáveis serem automaticamente executados
com a simples vizualização de uma mensagem. Inúmeros
vírus se aproveitam desse bug, dentre eles
W32/Badtrans em MM, W32/Nimda.gen em MM, e W32/Klez.gen em MM.
Trata-se de uma detecção genérica, que abrange
inúmeros vírus e cavalos de Tróia. Portanto, fica
difícil especificar detalhes de infecção.

Klez.h - O risco desse vírus é considerado médio pelo
AVERT, e os usuários domésticos correm mais risco de
infecção, por atualizarem as DATs dos antivírus com
menos freqüências do que as empresas. Como todas as
outras variantes do klez, ele se aproveita de uma
falha do Intenet Explorer 5.01 ou 5.5 sem SP2. Chega
por e-mail, e tem a habilidade de mudar o nome do
remetente do e-mail. A seguir, invalida vários
programas (principalmente antivírus) da memória do
computador. Ele é capaz também de se espalhar via
rede, copiando-se para compartilhamentos de rede,
desde que isso seja permitido pelo administrador do
ambiente. E, se as outras variantes usam-se de vários
arquivos anexos e assuntos nos campos da mensagem
infectada enviada, o klez.h tem ainda a habilidade de
se disfarçar como uma ferramenta gratuita de imunidade
em pelo menos uma das mensagens enviadas. E, com a
capacidade de enviar em anexo um arquivo aleatório
escolhido no HD infectado, o vírus pode acabar
enviando informação confidencial a terceiros.

Autor: Da redação
Data: 30/06/2003

_______________________________________________________________________
Yahoo! Mail
Mais espaço, mais segurança e gratuito: caixa postal de 6MB, antivírus, proteção contra spam.
http://br.mail.yahoo.com/

----- End forwarded message -----