we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

9 jun, 2004

McAfee divulga os 10 piores vírus de maio

Redação iMasters

Redação iMasters
Publicidade

O AVERT (Anti Virus and Vulnerability Emergency
Response Team), laboratório de pesquisa de ameaças
da McAfee, divulgou os 10 vírus que mais atacaram os computadores
espalhados por todo o mundo e os que mais incomodaram os usuários
brasileiros durante o mês de maio.

Entre os piores do mundo, surge o Sasser.d liderando
o ranking dos 10 mais, seguido, por ordem de ataque, das seguintes
ameaças: Sasser.b, Sasser.a, Bagle.aa, Bagle.z, Netsky.ab,
Netsky.p, Netsky.j, Lovgate.ab e StartPage-DL.

No Brasil, a lista difere um pouco. Embora o Saser.d
também lidere o ranking brasileiro de ameaças mais
ativas, é o Bagle.aa que ocupa o segundo lugar na lista
dos que mais atacaram computadores no País, seguido pelo
Bagle.gen!pwdzip, Netsky.aa, Gaobot, Netsky.d, Qhost , Bagle.z,
PWS-Bancos e Sdbot, respectivamente.

A seguir, veja um breve descritivo fornecido pela
McAfee sobre os vírus que surgiram durante o mês
de maio. Alguns deles estão entre os vírus que mais
atacaram durante no período, segundo o laboratório
de pesquisas da empresa.

W32/Sasser.worm.d (e variante .f)
http://vil.nai.com/vil/content/v_125012.htm
http://vil.nai.com/vil/content/v_125095.htm

Todos os usuários de computador podem conferir
se estão ou não infectados com este vírus
baixando a ferramenta stinger no site da McAfee. Os usuários
também devem atualizar seus sistemas no site da Microsoft,
de forma a corrigir a brecha no programa que permite a ação
do vírus. A variante .D espalha-se por meio do arquivo
SKYNETAVE.EXE; a variante .F usa o arquivo napatch.exe.

Ao contrário da maioria dos vírus
mais recentes, eles não se espalham por e-mail e sim via
portas TCP: ambos criam um Shell remoto pelas portas TCP 9995
e 9996, aproveitando-se de uma falha no sistema operacional, e
sobrecarregam o arquivo lsass.exe. O worm trabalha de forma a
instruir os sistemas vulneráveis a baixar e executar o
código viral. O vírus copia-se para o diretório
Windows como SKYNETAVE.EXE (ou napatch.exe) e cria uma chave de
registro para se executar a cada inicialização do
sistema. Ele busca por endereços IP aleatórios,
e procura por sucessivas portas TCP a começar pela 1068.
Também funciona como servidor FTP na porta TCP 5554, e
cria um Shell remoto na porta TCP 9995. é criado então
um arquivo win2.log no diretório raiz. O arquivo contém
um enderçeo IP e o número de máquinas infectadas.

Cópias do vírus são criadas
no diretório WindowsSystem, como #up.exe (# equivale a
4 ou 5 dígitos numéricos) Um efeito colateral do
worm faz com que o arquivo LSASS.exe dê problema, e por
default, o sistema efetua o reboot para tentar consertar a falha.
Exibe-se então uma janela avisando do encerramento da sessão.

W32/Bobax.worm.a
http://vil.nai.com/vil/content/v_125304.htm

Trata-se de um vírus auto-executável
que explora uma vulnerabilidade do Windows. Espalha-se por um
arquivo de nome aleatório. Quando executado, lança
uma DLL que é “injetada” no processo do EXPLORER.EXE.
A DLL contém a principal funcionalidade do worm. O vírus
copia-se para o diretório de sistema com um nome aleatório,
e adiciona uma chave de registro para ser carregado a cada inicialização
do sistema. Quando executado, a DLL é lançada no
diretório temporário, e se “injeta’
no EXPLORER.EXE. Como efeito colateral, o processo do Explorer
pode se encerrar inesperadamente, causando a reinicialização
do computador. Outro efeito colateral do worm faz com que o arquivo
LSASS.exe dê problema, e por default, o sistema é
reiniciado para tentar consertar a falha. Exibe-se então
uma janela avisando do encerramento da sessão.

W32/Lovgate.ab@MM
http://vil.nai.com/vil/content/v_125301.htm

Assim como seus antecessores, o Worm possui as
seguintes características: Lança um componente backdoor,
tenta copiar-se para compartilhamentos remotos mal protegidos
ou acessíveis, em busca de portas IP disponíveis
e compartilhamentos IPC$ ou ADMIN$ acessíveis; ele cria
um compartilhamento na máquina infectada (com o nome “MEDIA”;
envia-se por e-mail, construindo mensagens com seu próprio
mecanismo SMTP. O Anexo do e-mail pode ser um arquivo ZIP. Além
disso, os e-mails podem ser enviados em resposta a mensagens de
e-mail encontradas na máquina da vítima (MAPI).
Ele também infecta arquivos executáveis, substituindo
os originais por uma cópia de seu código e renomeando
o arquivo original com a extensão .ZMX e encerra aplicativos
de proteção e antivírus.

W32/Cycle.worm.a
http://vil.nai.com/vil/content/v_125092.htm

Espalha-se por uma brecha no sistema operacional.
É necessário atualizar os sistemas no site da Microsoft,
de forma a corrigir a brecha no programa que permite a ação
do vírus. O worm copia-se para o computador como %SysDir%SVCHOST.EXE
, e instala-se como Host Service na máquina infectada,
com as seguintes características: Display name – Host Service;
Image path – %SysDir%SVCHOST.EXE; Startup – automatic

Outro arquivo é lançado no diretório
do Windows: CYCLONE.TXT. Ele contém apenas mensagem política.
Um efeito colateral do worm faz com que o arquivo LSASS.exe dê
problema, e por default, o sistema efetua a reinicialização
da máquina para tentar consertar a falha. Exibe-se então
uma janela avisando do encerramento da sessão. O worm busca
por endereços IP aleatrórios na porta 445 em busca
de máquinas vulneráveis. Quando uma é encontrada,
o worm explora o sistema de forma a criar uma sobrecarga no arquivo
LSASS.EXE. Ele cria um shell remoto na máquina visada,
conectando-se a uma porta aleatória. Ele então dá
instruções à máquina remota para baixar
o worm de um host infectado usando TFTP.EXE. A porta 69 do host
infectado é usada para esse download (o worm executa um
servidor TFTP na porta UDP das máqinas infectadas). Caso
consiga, o worm é baixado como CYCLONE.EXE. O worm tenta
encerrar processos associados com os vírus W32/Sasser.worm
e W32/Netsky.

PWS-Bancos
http://vil.nai.com/vil/content/v_100798.htm

Esse vírus visa a roubar senhas de bancos,
dados que são enviados a seu autor via FTP. Há inúmeras
variantes desse vírus, que vêm com arquivos executáveis
anexos, que, quando são rodados, exibem uma caixa de mensagens:

“Book especial a você: Elaborado com
carinho para alguém muito especial”
(Continuar / sair)

“Book especial a você: todos os arquivos
foram copiados com sucesso”
(OK)

BOOK COM AMOR
“Book pessoal – minha vida em fotos”
(Continuar / sair)

BOOK COM AMOR todos os arquivos foram copiados
com sucesso

Os arquivos copiados são os seguintes: %Sysdir%winmaxy.exe;
%Sysdir%winmax.exe; %Sysdir%SYS_386Xinicio.exe.

Chaves de registro são criadas para que
o vírus seja executado a cada inicialização
do sistema.

O vírus monitora as janelas do Internet
Explorer. Se determinada página é aberta, o vírus
exibe, ao invés dessa página solicitada, uma de
suas próprias páginas, e tenta enviar as informações
de senhas digitadas via FTP para o endereço ftp.kit.net.
Uma dessas páginas é a do Internet banking do Banco
do Brasil (Banco do Brasil – Gerenciador financeiro), na
qual o vírus pede a chave, a senha de acesso e a senha
eletrônica da conta empresarial.

Backdoor-CEV
http://vil.nai.com/vil/content/v_125303.htm

Pode ser instalado pelo cavalo de Tróia
Exploit-BMP.dldr. Uma vez instalado, contacta vários sites
remotos para avisar o autor dos endereços IP dos istemas
infectados. Ele se copia para o diretório do Windows com
um nome aleatório, e cria uma chave de registro para ser
executado a cada inicialização do sistema.

Para verificar se o computador está conectado
à Internet, tente estabelecer contato com os seguintes
sites: www.intel.com; www.microsoft.com; www.yahoo.com; www.google.com;
www.ibm.com; www.kernel.org. Depois, tente estabelecer contato
com os seguintes sites para efeito de notificação
e para receber mais isntruções: fateback.com; yoll.net;
imess.net; deep-ice.com; undonet.com; 4t.com; bebto.com; freeservers.com;
noneto.com. Ele pose ser instruído a obter endereços
de e-mail, baixar e executar arquivos, obter informações
sobre a versão do Explorer e do Outlook Express e se remover
da máquina infectada.

W32/Dabbler.worm.a
http://vil.nai.com/vil/content/v_125300.htm

Worm auto executável que explora sistemas
já infectados com o vírus W32/Sasser.worm.a. Ele
se espalha com o arquivo package.exe. Mas, diferentemente de outros
worms, ele não se espalha por e-mail: ele dá instruções
aos sistemas vulneráveis para que baixem e executem o código
viral. Ele se copia para o diretório do Windows, e cria
uma chave de registro para ser iniciado a cada inicialização
do sistema. Ele busca por subredes aleatórias, age como
servidor tftp server e contém um backdoor, que se conecta
à porta TCP 9898.

Exploit-BMP.dldr
http://vil.nai.com/vil/content/v_125302.htm

Este cavalo de Tróia tenta se valer da vulnerabilidade
Microsoft Internet Explorer Bitmap Processing Integer Overflow.
Na maioria dos sistemas, ele não funciona corretamente
ou nem chega a funcionar. A versão do Internet Excplorer
mais vulnerável a esse ataque é a 5.x. Quando consegue
rodar direito, o vírus tenta baixar e executar um arquivo
remoto, o cavalo de Tróia BackDoor-CEV trojan.

 

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters