Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

Volta a circular na Internet worm Happy New Year

Ainda circula pela Internet o e-mail que espalha worm intitulado de Happy New Year. Ele é um dos candidatos a se tornar o surto de infecção do ano. Desta forma, atenção às mensagens que chegam à dcaixa de entrada com desejos de boas festas na linha de assunto.

O worm é disseminado por e-mail que contêm anexos como Greeting Card.exe, Greeting Postcard.exe, Postcard.exe, greeting card.exe, greeting postcard.exe ou postcard.exe. Após a execução, o worm tenta desativar o antivírus e descarrega o cavalo de Tróia Tibs no computador infectado. Em seguida tentar fazer download de mais códigos maliciosos armazenados em um site remoto.

Uma vez infectado o computador, o worm procura proxies de correio e começa a enviar e-mails para infectar outros computadores. Esta ameaça que envia e-mails em massa está se disseminando rapidamente pela Internet, instalando vários códigos nos computadores das vítimas e protegendo-os com rootkit.

Durante o processo de propagação, o worm envia uma cópia de si mesmo utilizando seu próprio mecanismo SMTP para os endereços de e-mail do catálogo de endereços do PC infectado. Algumas vezes o worm envia uma cópia executável defeituosa (por exemplo, com um cabeçalho executável incorreto) que poderia ser considerada inofensiva e que pode ser considerada como e-mail de spam.

As primeiras amostras dessa variante do worm Nuwar foram descobertas no dia 29 de dezembro de 2006.
Leia mais...

Roubo de dados é foco da ação dos vírus

Publicado em Quarta - 10 de Janeiro de 2007 | por Luiz Celso

A ausência de grandes epidemias de vírus de computador tem sido, há alguns anos, a principal característica dos relatórios sobre a incidência das ameaças no mundo virtual. Além disso, a lista dos TOP 10 sofreu poucas alterações durante todo o ano de 2006. Porém, o usuário não deve se deixar levar por uma aparente tranqüilidade ao analisar este cenário e acreditar que o risco de contaminação de seu PC é baixo.

O que ocorre é que os ataques são mais silenciosos e personalizados, pois têm, cada vez mais, como finalidade a obtenção de ganhos financeiros a partir de roubo de dados pessoais e financeiros dos usuários de computador, ao contrário de anos atrás quando as contaminações não possuíam esta finalidade. De fato, o relatório do terceiro trimestre do PandaLabs deste ano revelava que 72% das ameaças on-line tinham como objetivo o roubo de dinheiro via Internet de contas bancárias dos usuários de computador.

No relatório 2006 divulgado pela Panda Software, baseado nas informações coletadas pelo serviço gratuito ActiveScan, este cenário é comprovado a partir da constatação do comportamento das dez pragas mais atuante durante o ano. No primeiro posto da lista de 2006 aparece o worm Sdbot.ftp, que surgiu em dezembro de 2004 e seis meses depois já ocupava a liderança nas listas divulgadas pelo PandaLabs. Ele possui uma periculosidade média, mas tem sofrido inúmeras variações cujo padrão comum de comportamento é se descarregar nos PCs via FTP para atacar endereços IPs aleatório objetivando explorar as vulnerabilidades dos sistemas. Durante 2006 contaminou 2.62% dos computadores em todo o mundo. No Brasil, este vírus também obteve a liderança na lista, com uma participação de 2.82% do total de computadores contaminados.

Outro veterano neste tipo de lista e que ficou na segunda colocação em 206 é o Netsky.P, com um percentual de infecção de 1.22% dos PCs analisados pelo ActiveScan. Este worm surgiu em 2004 e se propaga por intermédio de correio eletrônico escrito em Inglês e através de redes P2P (peer to peer). Seu objetivo é explorar uma vulnerabilidade do Internet Explorer denominada Exploit/iframe. No terceiro posto da lista do PandaLabs está o Exploit/Metafile,com 1,08% de computadores infectados. Este código malicioso foi criado para se aproveitar de uma vulnerabilidade crítica da biblioteca GDI32.DLL do Windows versões 2003/XP/2000 para permitir a execução de um código que permite descarregar e executar um programa spyware.

O quarto posto é do Tearec.A (0,79%). Este worm se propaga por meio de correio eletrônico e de redes de computadores e desabilita e fecha certos programas antivírus. A quinta colocação ficou com o cavalo de tróia Q.host.gen (0,76%). Nos demais postos da lista TOP 10 da Panda, estão o Torpig.A, um cavalo de tróia que busca e roubo as senhas armazenadas em determinados serviços do Windows; o Sober.AH, um worm que finaliza vários processos, entre eles alguns pertencentes a ferramentas de segurança; Parite.B, que ocupa o oitavo lugar na lista e que é um vírus que infecta arquivos PE com extensão EXE ou SCR; Gaobot.gen, uma detecção genérica para worms da família Gaobot que se aproveita de diversas vulnerabilidades de software para levar a cabo suas ações; e, finalmente, o Bagle.pwdzip, uma detecção da famosa e extensa família de worms Bagle.

Lista mundial: Vírus - % de infecção

# W32/Sdbot.ftp - 2,62
# W32/Netsky.P - 1,22
# Exploit/Metafile - 1,08
# W32/Tearec.A - 0,79
# Trj/Qhost.gen - 0,76
# Trj/Torpig.A - 0,69
# W32/Sober.AH.worm - 0,67
# W32/Parite.B - 0,62
# W32/Gaobot.gen - 0,55
# W32/Bagle.pwdzip - 0,54

Os dez mais atuantes no Brasil em 2006: Virus - % de infecção

# W32/Sdbot.ftp.worm - 2,82
# Trj/Downloader.DQK - 1,47
# Trj/Banker.gen - 1,36
# Bck/mIRCBased.X - 1,15
# W32/Netsky.AG.worm - 0,78
# Exploit/Metafile - 0,77
# W3 2/Parite.B - 0,70
# W32/Gaobot.gen.worm - 0,67
# W32/Bagle.pwdzip - 0,66
# Bck/Graybird.AN - 0,55
Leia mais...

Enforcamento de Saddam Husseim é a nova “isca” dos hackres para disseminar prag

Publicado em Quinta - 04 de Janeiro de 2007 | por Luiz Celso

O correio eletrônico com o link para o vídeo do enforcamento do ex-ditador Saddam Hussein é a nova isca dos hackers para disseminar pragas, segundo a Bluepex, companhia sediada em Limeira, focada em desenvolvimento e produção de “appliances” de gestão da Internet em redes corporativas.

De acordo com a companhia, a praga virtual que circula via correio eletrônico é um trojan, programa que captura as informações digitadas pelos usuários. A mensagem traz um link, oferecendo o vídeo com imagens do enforcamento de Saddam Husseim, ocorrido no dia 30 de dezembro.

Ao clicar no link, o código malicioso é instalado. Os dados são encaminhados para hackers, que invadem contas bancárias e desviam dinheiro dos correntistas. A empresa acrescenta que até o momento nem todos os anti-vírus conseguem detectar a nova praga.
Leia mais...

Vírus de ano novo é o campeão de infecções

Publicado em Quarta - 03 de Janeiro de 2007 | por Luiz Celso

A empresa de segurança Sophos divulgou a lista das pragas virtuais mais ativas no último mês de 2006. Em primeiro lugar aparece a ameaça Dref-V, que finge ser um cartão de feliz ano novo, com 35,2% das infecções registradas. Descoberto no dia 30 de dezembro de 2006, ele foi encontrado em 93,7% dos e-mails identificados no dia seguinte.

Para iludir suas vítimas, a mensagem traz no campo de assunto frases como Happy New Year, Fun 2007 ou Welcome 2007, entre outros. Junto com o correio eletrônico, segue um arquivo com nomes como postcard.exe ou greetingcard.exe. Clicou, o PC é infectado e passa enviar o invasor para outros computadores.

O link do top está em: http://www.sophos.com/pressoffice/news/articles/2007/01/toptendec.html
Leia mais...

Verisign alerta para nova praga que deseja feliz ano novo ao usuário

Publicado em Sexta - 29 de Dezembro de 2006 | por Luiz Celso

A Verisign está alertando usuário de um novo worm que chega às caixas postais com o assunto Happy New Year! (Feliz ano novo, em tradução livre).

A mensagem, enviada atualmente a partir de 160 domínios de e-mails, pedem que usuários cliquem no arquivo postcard.exe anexado para causar danos. O arquivo instalará diversas variantes de códigos maliciosos, incluindo Tibs, Nwar, Banwarum e Glowa, no PC da vítima.

A praga então se reenvia para e-mails encontrados nos registros de mensagens do PC infectado.

O worm já está sendo fortemente enviado a caixas postais, afirma a Verisign. A companhia de segurança descobriu uma rede que está enviando cinco mensagens por segundo com o worm.

Enquanto o worm pede interação do usuário para causar danos, a Verisign acredita que tem potencial para piores estragos graças ao assunto Happy New Year!.

A companhia está alertando usuários de e-mails que tomem cuidado antes de clicar em mensagens que pensam ser votos sinceros de seus amigos.

Até a última quinta-feira (28/12), grandes redes reportaram interceptações de e-mails, disse a Verisign.

Enquanto o anexo postcard.exe tem o mesmo nome de um ataque veiculado no começo do mês, esta praga é uma nova ameaça ainda sem correção, disse a Verisign.
Leia mais...

Site pornográfico semelhante ao YouTube traz codecs infectados com trojans

Publicado em Domingo - 24 de Dezembro de 2006 | por Luiz Celso

Um site com vídeos pornográficos chamado AdultTuba, cujo layout se assemelha ao do YouTube, oferece uma série de falsos codecs, para a execução dos vídeos, que podem trazer cavalos-de-Tróia que levam o nome de Zlob.

O Zlob, ao infectar a máquina do usuário, abre o PC para que outros vírus possam infectá-lo. Entre eles, podem estar spywares que podem roubar dados confidenciais da vítima como senhas bancárias e números de cartões de crédito.

Recomenda-se que o internauta evite sites que apresentam conteúdo não-confiável e que não conte com as certificações de segurança. Antivírus e firewal também devem estar sempre ativados e atualizados.
Leia mais...

Vírus diminui níveis de segurança do Internet Explorer

Publicado em Sábado - 23 de Dezembro de 2006 | por Luiz Celso

Um vírus chamado Semail.NAF é a nova ameaça a quem navega pela Web. Isso porque, quando acessa a máquina do usuário, o código consegue baixar os níveis de segurança do navegador Internet Explorer, permitindo o redirecionamento para sites modificados por crackers.

A praga ainda tenta modificar a configuração do acesso telefônico do usuário (conhecido também como dial-up), discando ocultamente para um determinado número indicado na arquitetura de seu código, sem que a vítima perca a conexão . Caso o internauta tenha sido contaminado pelo Semail.NAF, é recomendável alterar todos os códigos de acesso, assim como qualquer informação relacionada a transações bancárias, incluindo senhas e números de cartões de crédito. É necessário ainda restaurar as configurações do IE, restaurar a página inicial, bem como suas zonas de segurança. Programas de segurança como antivírus e o firewall devem ser mantidos ativados e atualizados.
Leia mais...

Skype está sendo usado para distribuir vírus

Publicado em Sexta - 22 de Dezembro de 2006 | por Luiz Celso

Hackers estão usando o programa de comunicação Skype para distribuir pacotes de vírus trojans. Embora o malware, que afeta apenas usuários de Windows, não explore falhas no aplicativo para ser distribuído, característica comumente associado aos vírus worm, ele conta com a falta de atenção da vítima para rodar o código hostil.

De acordo com o The Register, a firma de segurança F-Secure alerta para dois vírus conhecidos que estão circulando pela rede do programa, ambos enviados por vítimas infectadas para cada um de seus contatos. O sp.exe, por exemplo, tenta acessar o endereço nsdf.no-ip.biz para baixar outras ameaças para o computador. O outro vírus, detectado em outubro, tenta baixar novas ameaças do servidor marx2.altervista.org.

Ambos os sites já foram retirados do ar após a descoberta do esquema, mas acredita-se que os novos ataques surgirão diversificando as ameaças já que, em vez de usar métodos amplamente explorados e já conhecido pelo público, os hackers passaram a tentar explorar um campo novo, neste caso um cliente VoIP.

Há alguns dias, a firma de segurança Websense classificou o vírus como worm, mas investigações levaram ao fato de que, na realidade, as ameaças se tratavam de trojans e não exploravam uma vulnerabilidade do programa. Segundo o alerta, os ataques parecem ter começado na região asiática, principalmente na Coréia.

Quando executado no computador da vítima, o vírus procura no registro do Windows a localização do Skype. Caso o trojan não encontre o programa, mostra uma mensagem de erro, caso contrário, uma mensagem afirma que a aplicação passará a rodar no Skype. A cada três minutos, usuários aleatórios da lista são escolhidos e recebem a mensagem Check this! (veja isto!), com o link para o site malicioso, conforme noticiou o site ZDNet.

Usuários infectados já contam com a proteção de diversos programas antivírus.
Leia mais...

Vírus se propaga em arquivos compartilhados

Publicado em Terça - 19 de Dezembro de 2006 | por Luiz Celso

Mofei.NAN. Esse é o nome de um vírus que pode trazer bastante preocupação aos suportes corporativos de TI. Isso porque a praga se propaga por meio de arquivos compartilhados em redes locais e compromete o desempenho dos PC infectados.

O código possui ainda características de trojan (cavalo-de-Tróia), ou seja também abre brechas para que outros vírus possam se instalar na máquina infectada, inclusive spywares que permitem que crackers acessem o sistema remotamente, para a execução de outros ataques.

A rotina de propagação do código funciona somente nos Windows NT, 2000 e XP. A praga tenta conectar-se a outros computadores usando a conta do administrador da rede, testando diferentes contrasenhas.

Para evitar o ataque do Mofei.NAN, é recomendado que o usuário mantenha tanto o seu antivírus quanto o firewall, ativados e atualizados.
Leia mais...

Novo vírus explora falha em software de proteção

Publicado em Domingo - 17 de Dezembro de 2006 | por Luiz Celso

A EEye Digital Security alerta para um novo worm (praga eletrônica que se difunde enviando cópias de si mesmo por uma rede) que está atacando PCs corporativos por meio de uma falha no antivírus para empresas da Symantec. Apelidado de Big Yellow, o vírus começou o ataque na última quinta-feira, sete meses depois que a EEye descobriu a falha.

O Big Yellow entra na máquina por meio de uma falha de segurança na versão corporativa do antivírus da Symantec. Infectado, o computador pode ser utilizado por um hacker para, por exemplo, formar cadeias de pcs zumbis dedicadas a atacar outras máquinas.

A Symantec lançou um patch para corrigir a falha de segurança em maio, mas os usuários corporativos é que devem instalá-lo. Representantes da empresa disseram que tinham recebido desde então apenas três relatos de sistemas afetados pelo vírus.

Definitivamente é um novo vírus, e está procurando sistemas vulneráveis, mas não temos nenhuma evidência de algo mais sério como uma infecção, disse Vincent Weafer, diretor sênior na Symantec. A EEye recomenda aos administradores de redes que atualizem o software para a correção da falha.
Leia mais...