Novo Worm atacará sistemas Windows em 3 de fevereiro

*ALERTA* No. 20060127.01- Assunto: Novo Worm atacará sistemas Windows em 3 de fevereiro
15:15:00 GMT-03 (BRT) Registro do(s) analista(s) de plantão (Jorge Luiz Corrêa):

*DESCRIÇÃO:*
Um novo worm [1] descoberto recentemente, tem se propagado rapidamente pela Internet com *PROGRAMAÇÃO DE ATAQUE* datada de 3 de fevereiro, tendo como alvo sistemas Microsoft Windows. Denominado *Nyxem.E* (também conhecido como Kama Sutra, Blackmal ou Win32/Mywife.E@mm, entre outros nomes) tem como principais meios de propagação arquivos anexos em e-mails e compartilhamento de pastas entre sistemas remotos.

A infecção pode ocorrer clicando em um link ou abrindo arquivos anexos. Para enganar o usuário, o arquivo apresenta-se como do tipo ZIP, mostrando até mesmo o ícone característico desse tipo de arquivo.
Apoiando-se em uma configuração padrão de sistemas Windows, em que não são mostradas as extensões dos arquivos, o Nyxem.E pode levar o usuário a acionar o worm sem conhecimento, acreditando estar abrindo
um arquivo ZIP.

Uma vez que o sistema esteja infectado, o artefato pode realizar algumas operações como:
* buscar endereços de e-mails no sistema infectado
* utilizar sua capacidade de envio de e-mails para se
auto-disseminar entre os endereços capturados
* desabilitar programas anti-vírus e de compartilhamento de arquivos
* utilizar todos os compartilhamentos de rede do Windows para se auto-disseminar
* modificar o papel de parede
Além disso, o worm está programado para, em 3 de fevereiro (há suspeitas de que a ação ocorra todo dia 3), apagar todo o conteúdo de arquivos com as extensões *.doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp*, substituindo o conteúdo original destes arquivos pelo texto “DATA Error [47 0F 94 93 F4 K5]“.

*SISTEMAS AFETADOS:*
Todo computador com o sistema operacional MICROSOFT WINDOWS.

*SOLUÇÕES:*

Como medidas *PALIATIVAS* ao problema:

1) Verificação de sistemas com anti-vírus atualizados

2) Não abrir e-mails com arquivos anexos suspeitos

3 Em um nível mais avançado:

Utilização das seguintes assinaturas no Snort, disponíveis no site
bleeding-snort (em inglês,

3a. Identificação de um sistema possivelmente infectado através de acessos ao contador desenvolvido pelo autor do worm:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS webstats.web.rcn.net count.cgi request
without referrer (possible BlackWorm/Nyxem infection)”; content:”GET
/cgi-bin/Count.cgi?”; depth:23; content:”df=”; within:20;
content:”Host|3a 20|webstats.web.rcn.net”; content:!”Referer|3a|”;
classtype:misc-activity; sid:2002788; rev:2;)

3b. Identificação de um sistema possivelmente infectado através de
acessos com características específicas ao site http://www.microsoft.com
(ausência de do cabeçalho User-agent:)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS Agentless HTTP request to www.microsoft.com
(possible BlackWorm/Nyxem infection)”; dsize:92; content:”GET /
HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a|
Cache-Control|3a20|no-cache|0d0a0d0a|”;classtype:misc-activity;
sid:2002789; rev:1;)

3c. Identificação de tentativa de propagação do worm através de SMTP:
alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:”BLEEDING-EDGE VIRUS
W32.Nyxem-D SMTP outbound”; flow:established,to_server;
content:”YmVnaW4gNjY0I”; content:”ICAgICAgICAgICAgICAgICAgICAgICA”;
distance:31; within:31; classtype:trojan-activity; reference:url,
www.sophos.com/virusinfo/analyses/w32nyxemd.html; sid: 2002778; rev:1;)

*Das SOLUÇÕES DISPONÍVEIS:*

Remoção do worm utilizando um anti-vírus atualizado que contenha as
assinaturas para o Nyxem
Remoção do worm seguindo as instruções disponibilizadas pela Microsoft
em (em inglês):

http://www.microsoft.com/security/

Remoção do worm com a ferramenta disponibilizada pela Symantec
Security em (em inglês):

http://securityresponse.symantec.com/avcenter/

Utilizar a ferramenta de desinfecção da F-Secure disponibilizada em:
ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip

http://www.f-secure.com/tools/f-force.zip

*REFERÊNCIAS (em português):*

[1] http://pt.wikipedia.org/wiki/Worm

CAIS – Centro de Atendimento a Incidentes de Segurança – Alerta do
CAIS 25012006

http://www.rnp.br/cais/alertas/2006/25012006.html

*REFERÊNCIAS (em inglês):*

US-CERT – Nyxem Mass-mailing Worm

http://www.us-cert.gov/current/current_activity.html

CME – Common Malware Enumeration – CME-24

http://cme.mitre.org/data/

SANS – Handler’s Diary January 24th 2006

http://isc.sans.org/

F-Secure Virus Information Pages: Nyxem.E

http://www.f-secure.com/

Código malicioso que explora uma falha na última versão do navegador.

Programadores divulgaram ontem a existência de um código malicioso que explora uma falha na última versão do navegador Firefox (1.5). A informação foi divulgada hoje pelo “Cnet”, site especializado em tecnologia.

O alvo deste programa são os usuários do Service Pack 2 do sistema operacional Windows XP. A vulnerabilidade explorada está no arquivo history.dat, do Firefox, que arquiva o histórico de sites visitados.

Quando o código malicioso é executado no PC da vítima, ele trava o navegador –em alguns casos, impedindo seu uso por completo. O problema não permite que pessoas mal-intencionadas controlem remotamente o computador.

Ainda não há uma atualização para a falha. Segundo especialistas ouvidos pelo “Cnet”, os usuários devem desativar o arquivo history.dat até que a Mozilla Foundation ofereça uma correção.

Realização de ataques de estouro de pilha (heap buffer overflow).

+ *ALERTA* No. 20051224.01
+ Assunto: Vulnerabilidade Crítica em 40 produtos Symantec.
19:00:00 GMT-03 (BRT) Registro do(s) analista(s) de plantão (Ronan Gaeti):

DESCRIÇÃO:
Uma vulnerabilidade foi encontrada no AntiVirus da empresa Symantec. A vulnerabilidade considerada crítica pode ser utilizada para a realização de ataques de estouro de pilha (heap buffer overflow) permitindo a execução de código malicioso enquanto se analisa arquivos do tipo RAR. O problema foi identificado na versão 3.4.14.3 do arquivo Dec2Rar.dll.

Estima-se que todos os produtos que fazem uso dessa dll estejam comprometidos, na listagem encontram-se desde programas voltados ao ambiente corporativo quanto ao ambiente doméstico.

PROGRAMAS AFETADOS:
Uma listagem completa dos programas afetados está disponível em:

http://securityresponse.symantec.com/

SOLUÇÃO:
Ainda não foi disponibilizado nenhum patch de segurança, mas a empresa divulgou que está estudando o caso e em breve disponibilizará as correções necessárias. Enquanto as correções não estão disponíveis, recomenda-se desabilitar urgentemente a análise de arquivos compactados do tipo RAR.

REFERÊNCIAS (em inglês):

Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/

Symantec AntiVirus Decomposition Buffer Overflow
http://securityresponse.symantec.com/

Critical Symantec bug hits 40 products
http://www.theregister.co.uk/

Vulnerabilidade pode ser explorada através de um arquivo SWF

[ACME-ALERTA] *ALERTA* No. 20051108.01
11:00:00 GMT-03 (BRT) – Registro dos analistas de plantão (Maria Carolina Matera Bozza):

DESCRIÇÃO:
Foi descoberta uma vulnerabilidade no Macromedia Flash Player, que pode ser explorada maliciosamente, e comprometer o sistema do usuário.
A vulnerabilidade é causada, devido a uma falta de validação do identificador de tipo do frame de um arquivo SWF. Esse valor é usado como um índice no Flash.ocx (componente do Flash PLayer) que referencia um vetor de ponteiros de funções.
A vulnerabilidade pode ser explorada através de um arquivo SWF intencionalmente modificado, fazendo com que o índice referencie um endereço de memória que esteja sob controle do atacante, permitindo-o fornecer valores arbitrários aos ponteiros de função.
VERSÕES AFETADAS:
Macromedia Flash Player 7.x
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
RECOMENDAÇÕES:
Instalar a versão 8 (8.0.22.0) do Flash Player em: http://www.macromedia.com/shockwave/download/
Fazer a atualização da versão 7 (7.0.61.0 or 7.0.60.0) em: http://www.macromedia.com/go/
Recomendamos fortemente que os administradores mantenham seus sistemas e aplicativos SEMPRE atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
REFERÊNCIAS (em Inglês):

http://www.macromedia.com/devnet/security/security_zone/mpsb05-07.html

http://secunia.com/advisories/17430/

Marfisa