Total Security - www.totalsecurity.com.br
Doomjuice pode dificultar prisão do autor do MyDoom
À medida que mais informações sobre o worm Doomjuice são divulgadas, mais se reúnem evidências de que o autor da praga é a mesma pessoa que criou o MyDoom.A. Além disso, especialistas acreditam que o criador do vírus lançou o Doomjuice para despistar a polícia e dificultar sua eventual prisão.Uma empresa antivírus que levantou estas hipóteses foi a finlandesa F-Secure, e uma das evidências apontadas é o fato de o Doomjuice lançar o código original do Mydoom.A em várias pastas da máquina que infecta. Isto prova que Doomjuice e MyDoom.A foram escritos pelas mesmas pessoas, comenta Mikko Hypponen, diretor de pesquisa da F-Secure. O código-fonte do MyDoom.A não foi visto circulando no underground antes.
Para o executivo, os motivos da distribuição do código-fonte por vários computadores é fácil de compreender: Os autores sabem que a polícia está procurando por eles, e a melhor evidência contra eles seria a posse do código original do vírus. Antes da incidência do Doomjuice, apenas os autores do MyDoom.A tinham o código-fonte original, agora, provavelmente dezenas de milhares de pessoas também o têm no disco rígido do computador – sem saber disso”.
O çódigo-fonte do worm é lançado na raiz de todos os discos rígidos, em pastas do sistema e pastas temporárias em um arquivo comprimido de nome “sync-src-1.00.tbz”. A disseminação do código do Mydoom também abre possibilidades de que ele seja facilmente modificado por outros programadores. Abaixo se vê reproduzido trecho do arquivo com o código-fonte lançado no sistema:
[Clique aqui para ver a imagem]
Outro efeito do worm é lançar, a partir do dia 8 de fevereiro e indefinidamente, um ataque de negação de serviço contra o site www.microsoft.com. Até agora, as medidas tomadas pela Microsoft têm sido eficientes e o site se mantém “de pé”.
O Doomjuice, que pela ligação com as versões anteriores do MyDoom tem sido chamado de MyDoom.C, é um worm exclusivamente de rede. Ao contrário das versões A e B, não se propaga por e-mail, nem por redes P2P. Sua forma de propagação é escanear a rede TCP/IP por endereços aleatórios em busca de computadores com a porta TCP/3127 aberta. Esta porta foi deixada aberta pela backdoor (porta traseira) instalada pelo MyDoom A e B.
Caso consiga se conectar a essa porta, o worm envia uma cópia de si mesmo para a máquina, em um pacote que faz o MyDoom executar o arquivo e instalá-lo no sistema. Ao ser executado, o Doomjuice se copia para o diretório System do Windows, como INTRENAT.EXE, o que serve como uma forma fácil de identificar máquinas contaminadas. O worm também cria uma chave de registro para ser carregado quando o sistema é iniciado.
Depois de se instalar com sucesso no sistema, o Doomjuice dá continuidade ao processo de rastreamento da rede e contaminação de outras máquinas previamente infectadas pelo MyDoom. O impacto deste código maléfico tem sido considerado entre baixo e médio-baixo pelas empresas de segurança e o resultado na prática não foi muito sentido. Mas esta versão significa mais uma demonstração de que os autores do MyDoom não são amadores e aparentemente têm um plano arquitetado que pode ter novos desdobramentos em breve.
Para o executivo, os motivos da distribuição do código-fonte por vários computadores é fácil de compreender: Os autores sabem que a polícia está procurando por eles, e a melhor evidência contra eles seria a posse do código original do vírus. Antes da incidência do Doomjuice, apenas os autores do MyDoom.A tinham o código-fonte original, agora, provavelmente dezenas de milhares de pessoas também o têm no disco rígido do computador – sem saber disso”.
O çódigo-fonte do worm é lançado na raiz de todos os discos rígidos, em pastas do sistema e pastas temporárias em um arquivo comprimido de nome “sync-src-1.00.tbz”. A disseminação do código do Mydoom também abre possibilidades de que ele seja facilmente modificado por outros programadores. Abaixo se vê reproduzido trecho do arquivo com o código-fonte lançado no sistema:
[Clique aqui para ver a imagem]
Outro efeito do worm é lançar, a partir do dia 8 de fevereiro e indefinidamente, um ataque de negação de serviço contra o site www.microsoft.com. Até agora, as medidas tomadas pela Microsoft têm sido eficientes e o site se mantém “de pé”.
O Doomjuice, que pela ligação com as versões anteriores do MyDoom tem sido chamado de MyDoom.C, é um worm exclusivamente de rede. Ao contrário das versões A e B, não se propaga por e-mail, nem por redes P2P. Sua forma de propagação é escanear a rede TCP/IP por endereços aleatórios em busca de computadores com a porta TCP/3127 aberta. Esta porta foi deixada aberta pela backdoor (porta traseira) instalada pelo MyDoom A e B.
Caso consiga se conectar a essa porta, o worm envia uma cópia de si mesmo para a máquina, em um pacote que faz o MyDoom executar o arquivo e instalá-lo no sistema. Ao ser executado, o Doomjuice se copia para o diretório System do Windows, como INTRENAT.EXE, o que serve como uma forma fácil de identificar máquinas contaminadas. O worm também cria uma chave de registro para ser carregado quando o sistema é iniciado.
Depois de se instalar com sucesso no sistema, o Doomjuice dá continuidade ao processo de rastreamento da rede e contaminação de outras máquinas previamente infectadas pelo MyDoom. O impacto deste código maléfico tem sido considerado entre baixo e médio-baixo pelas empresas de segurança e o resultado na prática não foi muito sentido. Mas esta versão significa mais uma demonstração de que os autores do MyDoom não são amadores e aparentemente têm um plano arquitetado que pode ter novos desdobramentos em breve.
Fonte:
Infoguerra
URL Fonte: http://www.totalsecurity.com.br/noticia/475/visualizar/
Comentários