Nyxem.E Novo Worm atacará sistemas Windows em 3 de fevereiro.

Novo Worm atacará sistemas Windows em 3 de fevereiro

*ALERTA* No. 20060127.01- Assunto: Novo Worm atacará sistemas Windows em 3 de fevereiro
15:15:00 GMT-03 (BRT) Registro do(s) analista(s) de plantão (Jorge Luiz Corrêa):

*DESCRIÇÃO:*
Um novo worm [1] descoberto recentemente, tem se propagado rapidamente pela Internet com *PROGRAMAÇÃO DE ATAQUE* datada de 3 de fevereiro, tendo como alvo sistemas Microsoft Windows. Denominado *Nyxem.E* (também conhecido como Kama Sutra, Blackmal ou Win32/Mywife.E@mm, entre outros nomes) tem como principais meios de propagação arquivos anexos em e-mails e compartilhamento de pastas entre sistemas remotos.

A infecção pode ocorrer clicando em um link ou abrindo arquivos anexos. Para enganar o usuário, o arquivo apresenta-se como do tipo ZIP, mostrando até mesmo o ícone característico desse tipo de arquivo.
Apoiando-se em uma configuração padrão de sistemas Windows, em que não são mostradas as extensões dos arquivos, o Nyxem.E pode levar o usuário a acionar o worm sem conhecimento, acreditando estar abrindo
um arquivo ZIP.

Uma vez que o sistema esteja infectado, o artefato pode realizar algumas operações como:
* buscar endereços de e-mails no sistema infectado
* utilizar sua capacidade de envio de e-mails para se
auto-disseminar entre os endereços capturados
* desabilitar programas anti-vírus e de compartilhamento de arquivos
* utilizar todos os compartilhamentos de rede do Windows para se auto-disseminar
* modificar o papel de parede
Além disso, o worm está programado para, em 3 de fevereiro (há suspeitas de que a ação ocorra todo dia 3), apagar todo o conteúdo de arquivos com as extensões *.doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp*, substituindo o conteúdo original destes arquivos pelo texto “DATA Error [47 0F 94 93 F4 K5]”.

*SISTEMAS AFETADOS:*
Todo computador com o sistema operacional MICROSOFT WINDOWS.

*SOLUÇÕES:*

Como medidas *PALIATIVAS* ao problema:

1) Verificação de sistemas com anti-vírus atualizados

2) Não abrir e-mails com arquivos anexos suspeitos

3 Em um nível mais avançado:

Utilização das seguintes assinaturas no Snort, disponíveis no site
bleeding-snort (em inglês,

3a. Identificação de um sistema possivelmente infectado através de acessos ao contador desenvolvido pelo autor do worm:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS webstats.web.rcn.net count.cgi request
without referrer (possible BlackWorm/Nyxem infection)”; content:”GET
/cgi-bin/Count.cgi?”; depth:23; content:”df=”; within:20;
content:”Host|3a 20|webstats.web.rcn.net”; content:!”Referer|3a|”;
classtype:misc-activity; sid:2002788; rev:2;)

3b. Identificação de um sistema possivelmente infectado através de
acessos com características específicas ao site http://www.microsoft.com
(ausência de do cabeçalho User-agent:)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS Agentless HTTP request to www.microsoft.com
(possible BlackWorm/Nyxem infection)”; dsize:92; content:”GET /
HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a|
Cache-Control|3a20|no-cache|0d0a0d0a|”;classtype:misc-activity;
sid:2002789; rev:1;)

3c. Identificação de tentativa de propagação do worm através de SMTP:
alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:”BLEEDING-EDGE VIRUS
W32.Nyxem-D SMTP outbound”; flow:established,to_server;
content:”YmVnaW4gNjY0I”; content:”ICAgICAgICAgICAgICAgICAgICAgICA”;
distance:31; within:31; classtype:trojan-activity; reference:url,
www.sophos.com/virusinfo/analyses/w32nyxemd.html; sid: 2002778; rev:1;)

*Das SOLUÇÕES DISPONÍVEIS:*

Remoção do worm utilizando um anti-vírus atualizado que contenha as
assinaturas para o Nyxem
Remoção do worm seguindo as instruções disponibilizadas pela Microsoft
em (em inglês):
http://www.microsoft.com/security/

Remoção do worm com a ferramenta disponibilizada pela Symantec
Security em (em inglês):
http://securityresponse.symantec.com/avcenter/
Utilizar a ferramenta de desinfecção da F-Secure disponibilizada em:
ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip
http://www.f-secure.com/tools/f-force.zip

*REFERÊNCIAS (em português):*

[1] http://pt.wikipedia.org/wiki/Worm

CAIS – Centro de Atendimento a Incidentes de Segurança – Alerta do
CAIS 25012006
http://www.rnp.br/cais/alertas/2006/25012006.html

*REFERÊNCIAS (em inglês):*

US-CERT – Nyxem Mass-mailing Worm
http://www.us-cert.gov/current/current_activity.html

CME – Common Malware Enumeration – CME-24
http://cme.mitre.org/data/

SANS – Handler’s Diary January 24th 2006
http://isc.sans.org/

F-Secure Virus Information Pages: Nyxem.E
http://www.f-secure.com/

Follow Me on Pinterest
Marcado com:

Deixe uma resposta