[SECURITY-L] CAIS-Alerta: Malware Earthstation 5
Security Team - UNICAMP
security em unicamp.br
Seg Out 6 14:23:23 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Malware Earthstation 5
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 3 Oct 2003 15:34:36 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS tomou conhecimento de que um aplicativo conhecido como
"Earthstation 5" esta' sendo considerado como 'malware', ou seja,
possuidor de codigo malicioso que pode permitir que arquivos do computador
em que foi instalado sejam removidos remotamente sem o consentimento do
usuario.
O aplicativo "Earthstation 5" surgiu ha' 6/12 meses atras como mais um
aplicativo P2P (Peer-to-Peer) que possuia o diferencial de nao necessitar
de registro do usuario que queria utiliza-lo.
Os desenvolvedores do referido software entraram em conflito com a
RIAA/MPAA, organismos que protegem os direitos autorais e que combatem
diretamente os aplicativos P2P, o que acabou tornando tal aplicativo muito
popular para esta finalidade.
O referido conflito pode ser ilustrado atraves da seguinte citacao:
"Earthstation 5 is at war with the Motion Picture Association of America
(MPAA) and the Record Association of America (RIAA), and to make our point
very clear that their governing laws and policys have absolutely no
meaning to us here in Palestine, we will continue to add even more movies
for FREE.", de acordo com site:
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=SVBIZINK2.story&STORY=/
www/story/08-19-2003/0002003023&EDATE=TUE+Aug+19+2003,+06:14+AM
O aplicativo "Earthstation 5", tambem conhecido como "ES5" ou "ESV" esta'
disponivel para download nos enderecos listados a seguir, alem de outras
fontes:
. http://www.es5.com/
. http://www.earthstation5.com/
As versoes do aplicativo que foram identificados com trechos de codigo
malicioso sao:
ES5 build 1266
ES5 build 2180 (latest version)
Segue a lista das assinaturas MD5 associadas a estes arquivos:
e35838ef6668abe883344e3a7e734794 *es5beta1266.exe
ce44a1f0542b9132f2debd9866febc65 *es5beta2180.exe
373c30ba0e8b1dce05dcab2acce94a77 *es5_build1266.exe
915de0f8e72be40bf071a86bc9dc2626 *es5_build2180.exe
Maiores informacoes:
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=SVBIZINK2.story&STORY=/
www/story/08-19-2003/0002003023&EDATE=TUE+Aug+19+2003,+06:14+AM
http://lists.netsys.com/pipermail/full-disclosure/2003-October/011339.html
O CAIS relembra aos usuarios sobre algumas das melhores praticas para
download de arquivos na Internet:
. Fazer download de sites oficiais e confiaveis.
. Ter um anti-virus instalado e atualizado, usando-o para checar o arquivo
obtido por download.
. Checar a assinatura MD5 do arquivo, sempre que possivel.
. Acompanhar os alertas de seguranca e noticias sobre os malwares, trojans
e/ou eventuais comprometimentos de repositorios de sofware/aplicativos.
Finalmente, o CAIS recomenda aos administradores manterem seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes disponibilizadas pelos fabricantes.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBP33BQ+kli63F4U8VAQEBKQQAxislY7iBqxH3Mzt4pR2vuO7JXJCnuiL7
TaFOvNyTwwZakrczvW9uiIVZci/WuMk3Ht31sxM+1q1EZOgZg7angAdeMarvGt9M
8qDOVw5Q4vA3LxW32mPBai3d+3mLMTH58kcOssa6TZSqmoC5Y3Qo5fvOTCF/Qf0F
CnQYar1rCew=
=cFZN
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L