Nyxem.E Novo Worm atacará sistemas Windows em 3 de fevereiro.

Novo Worm atacará sistemas Windows em 3 de fevereiro

*ALERTA* No. 20060127.01- Assunto: Novo Worm atacará sistemas Windows em 3 de fevereiro
15:15:00 GMT-03 (BRT) Registro do(s) analista(s) de plantão (Jorge Luiz Corrêa):

*DESCRIÇÃO:*
Um novo worm [1] descoberto recentemente, tem se propagado rapidamente pela Internet com *PROGRAMAÇÃO DE ATAQUE* datada de 3 de fevereiro, tendo como alvo sistemas Microsoft Windows. Denominado *Nyxem.E* (também conhecido como Kama Sutra, Blackmal ou Win32/Mywife.E@mm, entre outros nomes) tem como principais meios de propagação arquivos anexos em e-mails e compartilhamento de pastas entre sistemas remotos.

A infecção pode ocorrer clicando em um link ou abrindo arquivos anexos. Para enganar o usuário, o arquivo apresenta-se como do tipo ZIP, mostrando até mesmo o ícone característico desse tipo de arquivo.
Apoiando-se em uma configuração padrão de sistemas Windows, em que não são mostradas as extensões dos arquivos, o Nyxem.E pode levar o usuário a acionar o worm sem conhecimento, acreditando estar abrindo
um arquivo ZIP.

Uma vez que o sistema esteja infectado, o artefato pode realizar algumas operações como:
* buscar endereços de e-mails no sistema infectado
* utilizar sua capacidade de envio de e-mails para se
auto-disseminar entre os endereços capturados
* desabilitar programas anti-vírus e de compartilhamento de arquivos
* utilizar todos os compartilhamentos de rede do Windows para se auto-disseminar
* modificar o papel de parede
Além disso, o worm está programado para, em 3 de fevereiro (há suspeitas de que a ação ocorra todo dia 3), apagar todo o conteúdo de arquivos com as extensões *.doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp*, substituindo o conteúdo original destes arquivos pelo texto “DATA Error [47 0F 94 93 F4 K5]“.

*SISTEMAS AFETADOS:*
Todo computador com o sistema operacional MICROSOFT WINDOWS.

*SOLUÇÕES:*

Como medidas *PALIATIVAS* ao problema:

1) Verificação de sistemas com anti-vírus atualizados

2) Não abrir e-mails com arquivos anexos suspeitos

3 Em um nível mais avançado:

Utilização das seguintes assinaturas no Snort, disponíveis no site
bleeding-snort (em inglês,

3a. Identificação de um sistema possivelmente infectado através de acessos ao contador desenvolvido pelo autor do worm:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS webstats.web.rcn.net count.cgi request
without referrer (possible BlackWorm/Nyxem infection)”; content:”GET
/cgi-bin/Count.cgi?”; depth:23; content:”df=”; within:20;
content:”Host|3a 20|webstats.web.rcn.net”; content:!”Referer|3a|”;
classtype:misc-activity; sid:2002788; rev:2;)

3b. Identificação de um sistema possivelmente infectado através de
acessos com características específicas ao site http://www.microsoft.com
(ausência de do cabeçalho User-agent:)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS Agentless HTTP request to www.microsoft.com
(possible BlackWorm/Nyxem infection)”; dsize:92; content:”GET /
HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a|
Cache-Control|3a20|no-cache|0d0a0d0a|”;classtype:misc-activity;
sid:2002789; rev:1;)

3c. Identificação de tentativa de propagação do worm através de SMTP:
alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:”BLEEDING-EDGE VIRUS
W32.Nyxem-D SMTP outbound”; flow:established,to_server;
content:”YmVnaW4gNjY0I”; content:”ICAgICAgICAgICAgICAgICAgICAgICA”;
distance:31; within:31; classtype:trojan-activity; reference:url,
www.sophos.com/virusinfo/analyses/w32nyxemd.html; sid: 2002778; rev:1;)

*Das SOLUÇÕES DISPONÍVEIS:*

Remoção do worm utilizando um anti-vírus atualizado que contenha as
assinaturas para o Nyxem
Remoção do worm seguindo as instruções disponibilizadas pela Microsoft
em (em inglês):
http://www.microsoft.com/security/

Remoção do worm com a ferramenta disponibilizada pela Symantec
Security em (em inglês):
http://securityresponse.symantec.com/avcenter/
Utilizar a ferramenta de desinfecção da F-Secure disponibilizada em:
ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip
http://www.f-secure.com/tools/f-force.zip

*REFERÊNCIAS (em português):*

[1] http://pt.wikipedia.org/wiki/Worm

CAIS - Centro de Atendimento a Incidentes de Segurança - Alerta do
CAIS 25012006
http://www.rnp.br/cais/alertas/2006/25012006.html

*REFERÊNCIAS (em inglês):*

US-CERT - Nyxem Mass-mailing Worm
http://www.us-cert.gov/current/current_activity.html

CME - Common Malware Enumeration - CME-24
http://cme.mitre.org/data/

SANS - Handler’s Diary January 24th 2006
http://isc.sans.org/

F-Secure Virus Information Pages: Nyxem.E
http://www.f-secure.com/

Novo MAC da Apple: MacBook Pro

MacWorldExpo 2006, em São Franscisco.

Hoje Steve Jobs, CEO da Apple, abriu a MacWorldExpo 2006 em São Franscisco. Ele começou falando sobre como os negócios da Apple cresceram no último ano. As grandes novidades foram os novos Macs: o iMac G5 e o novo portátil (notebook), o MacBook Pro. Todos os dois, com Intel Duo Core.

Apple detém 83% do mercado de vendas online de músicas. Segundo os números apresentados, até o momento foram vendidos cerca de 850 milhões de músicas, média de 3 milhões por dia. Foram vendidos também cerca de 8 milhões de vídeos, desde que a empresa passou a oferecer este tipo de conteúdo em outubro passado.

Somente no mês de dezembro foram vendidos 14 milhões de iPods, totalizando a marca de 42 milhões de aparelho vendidos desde o seu lançamento. Em 2005, foram vendidos 35 milhões de unidades.

Ele apresentou o iLife 6.0, que conjuga diferentes aplicações: iPhoto, iMovie, Garage Band, iDVD, iTunes e a grande novidade, iWeb.

iPhoto ganha melhorias na performance e oferece um limite maior de arquivos, agora com suporte para até 250 mil.

O PhotoCasting (um “podcast para fotos”) é uma função que permite compartilhar de maneira fácil e rápida fotos na Internet através de uma conta no serviço .Mac. Existe ainda a opção dos usuários de receber notificações de atualizações via RSS.

iMovie HD exporta video para o iPod, facilitando para quem quer fazer videocast. A nova versão do iMovie passa a oferecer novos efeitos para títulos em tempo real, efeitos e ferramentas para áudio, além de permitir a habilidade de abrir mais de um projeto simultaneamente.

iDVD 6
A grande novidade esta no formato widescreen para DVDs. Existem 10 novos templates e suporta outros gravadores de DVD (third-party DVD burners).

GarageBand 3
Está super eficiente, e agora é fácil criar podcasts utilizando esta ferramenta “Podcast Studio”, que ainda integra ao iWeb. Existe uma biblioteca free de jingles e radio-style sounds. Use o iChat, faça suas entrevistas

iWeb
Fácil criar sites com esta ferramenta. Existem 12 templates bem legais. Pode-se adicionar fotos, vídeos, textos e gráficos de maneira muito simples. Blogs podem ser criados facilmente.
Lembra um pouco o RapidWeaver, porém muitos mais fácil de usar.
Publicar o site prduzido no .MAC é bem simples. No entanto, será que quem não tiver conta no .MAC também vai conseguir publicar o site em um FTP( host) próprio?

iPod ganha controle remoto da Apple, e um dispositivo também permite sintonizar estações de rádio FM.
A Apple anunciou hoje o iPod Radio Remote, combinando as funções de controle remoto e sintonizador FM para os modelos nano e a mais recente geração do iPod. O recurso de rádio FM mostra na própria tela do dispositivo as informações da estação e música.

Também foi mostrado o APERTURE. O Aperture foi criado para manusear imagens grandes
em formato Camera Raw, mas funciona bem para tudo; e parece ser bem ágil para corrigir fotos e aplicar efeitos.

Steve anunciou o novo iMac G5 que já traz o chip Intel Duo Core e é, ao menos, 2 vezes mais rápido que o modelo recém lançado. Traz iSight integrada. Os preços no USA, iniciam em 1.299 dólares.

Mas a grande revelação ficou mesmo para o “one more thing…”, bem no finalzinho do keynote.
Steve com um grande sorriso na face, revela o MacBook Pro

Equipado com a nova linha de processadores Duo Core da Intel, o MacBook Pro é de 4 a 5 vezes mais rápido que o PowerBook G4, segundo Jobs.

O novo portátil ainda vem com tela de 15,4 polegadas, placa de vídeo ATI Radeon X600. T em ainda um sensor infra-vermelho “built-in” para um controle remoto semelhante aos que acompanham o iMac G5.

Logo que uma imagem frontal do novo MacBook Pro é mostrada, alguém da platéia logo percebe que no novo modelo traz um câmera iSight integrada e grita!

Steve, diz: - “Yeah.. your are right!”

Outra grande novidade do MacBook Pro é o cado de força MagSafe, que possui uma guia magnética ( um imã) que permite que o cabo seja gentilmente desconctado em caso de alguém, ou algo, forçar a conexão.

Genial! São detalhes que fazem toda a diferença. Tempos atrás eu mesma, já havia destruio o cabo de força do meu PowerBook ao tropeçar no fio.

Com disponibilidade prevista para fevereiro, o MacBook Pro tem o preço sugerido de US$ 1.999 para o modelo 1.67GHz e US$ 2.500 para o modelo 1.83GHz.

Vale dizer q todo o keynote do Steve Jobs foi feito em um novo iMac Duo Core. Até uma videoconferência via iChat foi feita com um MacBook Pro que estava na platéia, conectado logicamente via wireless.

Quem quiser saber mais e não viu “ao vivo”, o vídeo do keynote do Steve está disponível no site da Apple : Acesso Direto aqui.

Firefox 1.5 e falha em Windows XP

Código malicioso que explora uma falha na última versão do navegador.

Programadores divulgaram ontem a existência de um código malicioso que explora uma falha na última versão do navegador Firefox (1.5). A informação foi divulgada hoje pelo “Cnet”, site especializado em tecnologia.

O alvo deste programa são os usuários do Service Pack 2 do sistema operacional Windows XP. A vulnerabilidade explorada está no arquivo history.dat, do Firefox, que arquiva o histórico de sites visitados.

Quando o código malicioso é executado no PC da vítima, ele trava o navegador –em alguns casos, impedindo seu uso por completo. O problema não permite que pessoas mal-intencionadas controlem remotamente o computador.

Ainda não há uma atualização para a falha. Segundo especialistas ouvidos pelo “Cnet”, os usuários devem desativar o arquivo history.dat até que a Mozilla Foundation ofereça uma correção.

Firefox: Web Developer

Novas ferramentas ao menu e a barra de ferraments

O plugin ( extension) Web Developer para o FIREFOX adiciona várias novas ferramentas ao menu e a barra de ferraments do seu navegador ( browser).

É uma excelente ferramenta para webdesigners. Entre as características que mais gostei, destaco:
Edit HTML, Outline Positioned Elements, View Color Information, View Document Outline and Source and View Generated Source.

Esta extensão foi feita para Firefox, Flock e Mozilla e funciona em qualquer plataforma, como Windows, Mac OS X e Linux.

A mais recente versão deste plugin é a 1.0, e foi lançada dia 31 de dezembro.

As características desta versão podem ser consultadas aqui:
http://chrispederick.com/work/webdeveloper/

Web Developer Extension

A extensão pode ser donwloadeada aqui: http://chrispederick.com/work/

Limite de Download Speedy Novos

O consumidor pode exigir a manutenção do que foi pactuado em seu contrato.

Direitos dos usuários dos serviços de banda larga

Uma série de comerciais amplamente divulgados na mídia apresentam os novos planos de banda larga oferecidos pela Telefônica no Estado de São Paulo. Muitos consumidores que já assinam
o Speedy têm dúvidas sobre a obrigatoriedade ou não de mudarem seus contratos e, desta maneira, assinarem os novos serviços. Porém, o Código de Defesa do Consumidor (CDC) garante que os usuários que já contratavam o Speedy antes dos novos planos não são obrigados a alterar seus contratos. Isso vale também para todos os usuários de serviços de banda larga.

O consumidor pode exigir a manutenção do que foi pactuado em seu contrato, de acordo com os princípios da harmonização das relações de consumo (art. 4º, inciso III do CDC) e da livre escolha (art. 6º, inciso II do CDC). O artigo 51 do Código de Defesa do Consumidor também veda a possibilidade de alteração unilateral do contrato pelo fornecedor. Dessa forma, a operadora não pode alterar o contrato sem a expressa autorização do usuário.

Os contratos com imposição de limite do download por velocidade de conexão contratada só podem ser comercializados pela empresa desde que o consumidor seja claramente informado a respeito disso durante a divulgação do serviço, ou seja, na oferta ou propaganda. A informação adequada e clara é um direito básico do consumidor, garantido pelo artigo 6º, inciso III do CDC.

Entretanto, o que se vê é que, por ser um dado estritamente técnico, muitos consumidores não têm noção do que representa a limitação de downloads imposta, violando assim o direito à informação.

As cláusulas que impõem restrição ou limitação de direito devem vir descritas em destaque, permitindo a imediata e fácil compreensão pelo consumidor. É o que assegura o artigo 54, capítulo 4º do CDC.

Se a oferta ou a propaganda foi omissa a respeito e o contratante somente verificar a ocorrência da limitação no ato da assinatura do contrato, poderá exigir o imediato cumprimento da obrigação ofertada, nos moldes do artigo 35 do Código de Defesa do Consumidor: “Se o fornecedor de produtos ou serviços recusar cumprimento à oferta, apresentação ou publicidade, o consumidor poderá, alternativamente e à sua livre escolha:
I - exigir o cumprimento forçado da obrigação, nos termos da oferta, apresentação ou publicidade;
II - aceitar outro produto ou prestação de serviço equivalente; III - rescindir o contrato, com direito à restituição de quantia eventualmente antecipada, monetariamente atualizada, e a perdas e danos”.

Uma outra questão diz respeito à qualidade da conexão. Um exemplo é quando a conexão fica mais lenta. A modificação de qualquer característica que comprometa a qualidade da prestação do serviço do fornecedor ao consumidor é considerada, nos termos de lei, vício de serviço. Ocorrendo isto, o usuário poderá solicitar o cumprimento do contrato nos termos pactuados e a manutenção da qualidade do serviço até então prestado. O consumidor tem o direito de solicitar o abatimento proporcional de preço, caso o serviço tenha ficado inacessível por um determinado período de tempo, sem prejuízo de eventuais perdas e danos.
Informações Completas, acesse o site do IDEC.
http://www.idec.org.br/

Vulnerabilidade Antivirus Symantec

Realização de ataques de estouro de pilha (heap buffer overflow).

+ *ALERTA* No. 20051224.01
+ Assunto: Vulnerabilidade Crítica em 40 produtos Symantec.
19:00:00 GMT-03 (BRT) Registro do(s) analista(s) de plantão (Ronan Gaeti):

DESCRIÇÃO:
Uma vulnerabilidade foi encontrada no AntiVirus da empresa Symantec. A vulnerabilidade considerada crítica pode ser utilizada para a realização de ataques de estouro de pilha (heap buffer overflow) permitindo a execução de código malicioso enquanto se analisa arquivos do tipo RAR. O problema foi identificado na versão 3.4.14.3 do arquivo Dec2Rar.dll.

Estima-se que todos os produtos que fazem uso dessa dll estejam comprometidos, na listagem encontram-se desde programas voltados ao ambiente corporativo quanto ao ambiente doméstico.

PROGRAMAS AFETADOS:
Uma listagem completa dos programas afetados está disponível em:
http://securityresponse.symantec.com/

SOLUÇÃO:
Ainda não foi disponibilizado nenhum patch de segurança, mas a empresa divulgou que está estudando o caso e em breve disponibilizará as correções necessárias. Enquanto as correções não estão disponíveis, recomenda-se desabilitar urgentemente a análise de arquivos compactados do tipo RAR.

REFERÊNCIAS (em inglês):

Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/

Symantec AntiVirus Decomposition Buffer Overflow
http://securityresponse.symantec.com/

Critical Symantec bug hits 40 products
http://www.theregister.co.uk/