- From: -=\(WebShark\)=- <webshark@netcabo.pt>
- Date: Wed, 7 Feb 2001 18:56:49 -0000
- To: LUSOnews <LUSOnews@listbot.com>
LUSOnews - http://ousadias.net/publicidade/lusonews
--------------------------- ListBot Sponsor --------------------------
Dial 800-555-TELL for FREE long-distance calls.
Tell your friends -- forward this message!
http://on.linkexchange.com/?ATID=27&AID=2144
----------------------------------------------------------------------
--------------------------------------------------------------------------
Centro de Pesquisa Antivírus ISSN 1444-9994
Boletim Informativo Janeiro 2001
--------------------------------------------------------------------------
Aqui no SARC nós temos discutido os vírus e worms do ano passado, e também
pensamos nas possibilidades para o ano que se inicia. Ao invés de gastar
tempo fazendo uma retrospectiva detalhada do ano 2000, pensei que seria
melhor se nós examinássemos o ano de 2001. Assim, eu incluí esse mês uma
tabela na barra lateral mostrando as 10 ameaças de 2000 conforme relatado
pela Symantec e nós vamos especular sobre o próximo ano em meu artigo
"Antecipando 2001"
Enquanto examinava alguns relatórios para o boletim desse mês, percebi que
o JS.Seeker, descoberto no meio de dezembro, sempre teve uma presença
crescente na lista das ameaças reportadas. Mesmo que ele ainda seja
classificado como de baixo risco e não tenha uma carga muito perigosa,
achei que devíamos incluí-lo nesse mês. Também falamos sobre
W32.Music.E.Worm, VBS.Sorry.A e VBS.TQLL.A@mm (@mm significa programa de
correio popular). Nos últimos meses todas as principais novas ameaças são
worms. Parece que os worms atingiram o topo da lista de tendências quando
se trata de programar códigos mal intencionados. Se você quiser saber a
diferença entre um vírus e um worm, então consulte nosso glossário ou esse
artigo.
EICAR (Instituto Europeu de Pesquisa de Antivírus para Computador) vai
realizar sua conferência anual em Março. A 10ª Annual EICAR & 2ª
Conferência Européia Anti-Malware será realizada de 3 a 6 de Março de 2001
em Munique, Alemanha.
David Banes,
Editor, sarcbr@symantec.com
--------------------------------------------------------------------------
Atenção
--------------------------------------------------------------------------
Resumo do Ano 2000
1. Wscript.KakWorm
- www.sarc.com/avcenter/venc/data/wscript.kakworm.html
2. W95.MTX
- www.sarc.com/avcenter/venc/data/w95.mtx.html
3. VBS.LoveLetter
- www.sarc.com/avcenter/venc/data/vbs.loveletter.a.html
4. W95.Hybris.gen
- www.sarc.com/avcenter/venc/data/w95.hybris.gen.html
5. VBS.Stages.A
- www.sarc.com/avcenter/venc/data/vba.stages.a.html
6. W32.HLLW.Qaz.A
- www.sarc.com/avcenter/venc/data/qaz.trojan.html
7. Happy99.Worm
- www.sarc.com/avcenter/venc/data/happy99.worm.html
8. W32.Navidad
- www.sarc.com/avcenter/venc/data/w32.navidad.html
9. VBS.Network
- www.symantec.com/avcenter/venc/data/vbs.network.html
10.W32.FunLove.4009
- www.symantec.com/avcenter/venc/data/w32.funlove.4099.html
--------------------------------------------------------------------------
Principais Ameaças Globais
W95.Hybris.gen - www.sarc.com/avcenter/venc/data/w95.hybris.gen.html
JS.Seeker - www.sarc.com/avcenter/venc/data/js.seeker.html
W95.MTX - www.sarc.com/avcenter/venc/data/w95.mtx.html
Wscript.KakWorm - www.sarc.com/avcenter/venc/data/wscript.kakworm.html
W32.Navidad.16896- www.sarc.com/avcenter/venc/data/w32.navidad.16896.html
W32.HLLW.Bymer - www.sarc.com/avcenter/venc/data/w32.hllw.bymer.html
W32.Navidad - www.sarc.com/avcenter/venc/data/w32.navidad.html
Happy99.Worm - www.sarc.com/avcenter/venc/data/happy99.worm.html
VBS.LoveLetter - www.sarc.com/avcenter/venc/data/vbs.loveletter.a.html
W32.HLLW.Qaz.A - www.sarc.com/avcenter/venc/data/qaz.trojan.html
--------------------------------------------------------------------------
Estes são os Vírus, Trojans e Worms mais informados aos escritórios do
SARC durante o mês passado.
Ásia Pacífico - JS.Seeker, W95.Hybris.gen, W95.MTX
Europa - JS.Seeker, W95.Hybris.gen, W95.MTX
Japão - W95.Hybris.gen, W95.MTX, W32.HLLW.Bymer
EUA - W95.Hybris.gen, JS.Seeker, Wscript.KakWorm
--------------------------------------------------------------------------
Novos Vírus Falsos (Hoaxes) Informados à Symantec
Nenhum Vírus Falso esse Mês
http://www.sarc.com/avcenter/hoax.html
--------------------------------------------------------------------------
20 Principais Ameaças Globais Consolidadas Pelo SecurityPortal
http://securityportal.com/research/virus/virustop20.html
W32.Navidad
W32.Prolin
W32.Hybris
WScript.KakWorm (VBS.KakWorm)
VBS.LoveLetter
W95.MTX
Happy99.Worm (alias W32.Ska)
W95.CIH
W97M.Melissa.BG
W32.Funlove
VBS.Stages.A
W97M.Marker
W97M.Thursday
W32.BleBla
W32.ExploreZip
W32.HLLW.Qaz.A (alias Troj.Qaz.A)
VBS.Quatro.A
W97.Sonic
W97M.Stand
VBS.Network
--------------------------------------------------------------------------
Worms em Notícia
--------------------------------------------------------------------------
JS.Seeker Pequeno [2] Script
JS.Seeker é um programa Trojan (cavalo de Tróia) que altera as páginas
iniciais e de procura padrão de seu navegador Web. O Trojan algumas vezes
chega como um arquivo chamado Runme.hta, e é executado apenas se o Windows
Script Host está instalado.
Quando o JS.Seeker é executado, ele faz várias mudanças no registro do
Windows.
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Netscape\Netscape Navigator\Main\Home Page
Os valores originais do registro são gravados nos arquivos Backup1.reg e
Backup2.reg no diretório Windows.
O Trojan cria um arquivo chamado Homereg111.reg no diretório Windows e
define as chaves de registro mencionadas acima para seus próprios valores.
O Trojan então executa o Removeit.hta, que apaga o arquivo Runme.hta na
pasta C:\Windows\Menu Iniciar\Programas\Iniciar.
O Trojan também cria o Prefs.js no diretório Windows. O arquivo Prefs.js é
um arquivo escrito em JavaScript, que altera as Preferências do Netscape
para as suas próprias.
Para remover o JS.Seeker, verifique com o Norton AntiVirus e apague todos
os arquivos detectados como JS.Seeker. Apague os arquivos Homereg111.reg
e Prefs.js do diretório Windows. Execute o Backup1.reg e Backup2.reg a
partir do seu diretório Windows.
http://www.sarc.com/avcenter/venc/data/js.seeker.html
por: Gor Nazaryan
SARC, USA
--------------------------------------------------------------------------
W32.Music.E.Worm Mínimo [1] Win32
W32.Music.E.Worm é um worm que é executado somente nos sistemas Windows 95
e no Windows 98. O worm requer uma API específica do Win32 que é disponível
apenas nas versões do Kernel32.dll no Windows 95 e Windows 98.
W32.Music.E.Worm é uma variante do W32.Music.A.Worm. A principal diferença
entre essas duas variantes é que o W32.Music.E.Worm se dirige à outro site
para fazer a transferência do componente do programa de correio eletrônico.
Esse novo componente não depende necessariamente de um componente de
programa de correio eletrônico específico; isto é, ele pode trabalhar com
qualquer versão do componente. O resultado disso é que o assunto e o corpo
da mensagem onde o arquivo está anexado pode variar, e também o nome do
anexo.
Para remover o W32.Music.E.Worm veja o link abaixo.
http://www.sarc.com/avcenter/venc/data/w32.music.e.worm.html
por: Cary Ng
SARC, USA
--------------------------------------------------------------------------
VBS.Sorry.A Pequeno [2] Script
VBS.Sorry.A é um worm escrito em Visual Basic que copia a si mesmo para
múltiplos diretórios no disco rígido e nas unidades de rede. O worm também
libera uma arquivo de configuração mIRC que procura por computadores
infectados com o Trojan SubSeven. Ele se auto copia e se auto executa
nestes computadores.
O worm tenta apagar arquivos e pastas incomuns, e se copia com o nome
sndload.vbs, ttfload.vbs, ou com um nome de arquivo aleatório.Para remover
o VBS.Sorry apague todos os arquivos detectados, restaure a Página Inicial
do Internet Explorer e apague ou reverta todas as entradas de registro
para seus valores anteriores.
http://www.sarc.com/avcenter/venc/data/vbs.sorry.a.html
por: Eric Chien
SARC, EMEA
--------------------------------------------------------------------------
VBS.TQLL.A@mm Mínimo [1] Win32
VBS.TQLL.A@mm é um worm escrito em Visual Basic. A Symantec não possui
nenhum relatório confirmado sobre a atuação desse vírus e não o considera
uma ameaça, ou apenas uma ameaça de baixo risco, até este momento.
O worm chegará por e-mail com a seguinte mensagem e anexo.
Assunto: New Year ! (Ano Novo!)
Corpo da mensagem: Wow Happy New Year ! (Feliz Ano Novo)
Ele terá um anexo chamado happynewyear.txt.vbs que possui o tamanho de
10,390 bytes.
O worm não será executado simplesmente lendo o e-mail. Mas se o anexo,
chamado happynewyear.txt.vbs for executado, ele irá criar uma programa
maligno chamado 3k.exe em seu diretório Windows e o executará
automaticamente. O programa 3k.exe é um programa Trojan. O Norton AntiVirus
irá detectá-lo como Backdoor.TQLL. O worm também irá se enviar para todos
os endereços no seu catálogo de endereços.
Para remover esse worm apague todos os arquivos detectados como
VBS.TQLL.A@mm e Backdoor.TQLL
http://www.sarc.com/avcenter/venc/data/vbs.tqll.a.html
por: Motoaki Yamamura
SARC, USA
--------------------------------------------------------------------------
Visite o Site de Segurança Empresarial da Symantec na Web
Tenha todas as últimas novidades sobre segurança empresarial entregues em
sua caixa de entrada. Registre-se para receber gratuitamente os boletins
de Segurança Empresarial da Symantec.
https://enterprisesecurity.symantec.com/Content/Subscribe.cfm
As manchetes recentes incluem:
Projeto Leahy sobre Crimes em Computador Recebe a Aprovação Final do
Senado; US Newswire (USA).
http://enterprisesecurity.symantec.com/content.cfm?articleid=539
A Rede Aperta o Cerco Contra as Atividades dos Hackers: as Grandes
Corporações e o Governo Querem Frear os Protestos dos Cyber Hippies; The
Guardian (London)
http://enterprisesecurity.symantec.com/content.cfm?articleid=547
Leia nosso artigo principal mais recente "O Crescimento dos Vírus
Trojan" para aprender qual a melhor defesa contra vírus que carregam
Trojans.
http://enterprisesecurity.symantec.com/content.cfm?articleid=535
--------------------------------------------------------------------------
Antecipando 2001.
--------------------------------------------------------------------------
Muitas pessoas já publicaram seus pensamentos sobre esse assunto, desde os
fabricantes de antivírus até os jornalistas e organizações independentes
de pesquisa. As opiniões são variadas e algumas vezes contraditórias.
Imaginamos que vocês gostariam de saber o que achamos sobre isso, agora que
tivemos uma chance de olhar as tendências em termos de ameaças e
tecnologias que a Symantec observou no ano passado. Ao mesmo tempo em que
esse é um tópico interessante, esse artigo deve ser lido como uma previsão
de tempo a longo prazo.
Durante o ano passado nós vimos um aumento no número de complicados worms
e vírus de 32 bit do Windows. Na verdade, se você olhar para os últimos
cinco anos, poderá estimar que 50% das ameaças nessa categoria apareceram
em 2000, um pensamento tranqüilizante se você passa os seus dias
encontrando defeitos em programas de computador. O nível de complexidade
aumentou em duas ou três vezes, e agora nós estimamos que, para programar
a detecção e reparo para a média de ameaças em Win32, leva algo em torno
de 2 até 6 horas, e algumas vezes algo realmente complicado pode levar até
uma semana. Você pode ter uma idéia do nível de preocupação que temos sobre
isso quando percebe que um worm de correio eletrônico popular pode enviar
quantas cópias dele mesmo forem necessárias para cobrir todo o seu catálogo
de endereços.
Nós iremos continuar a ver as ameaças que se encontram na linha entre o
tipo tradicional de ameaça de vírus de computador, as falhas de segurança
de rede e os ataques de DoS (Interrupção de Serviço). Nós vimos o começo
disso em 2000 com os vários e bem divulgados ataques de interrupção de
serviço e roubos de DNS. Examinando nossos próprios relatórios, podemos ver
que muito mais Trojans de invasão back door e a distância visam um tipo
específico de dados, como arquivos de senha e detalhes sobre contas
financeiras.
Para ir contra esse tipo de ameaça os produtores, como a Symantec, tem
estado ocupados lançando versões atualizadas de produtos com servidor de
antivírus, filtragem de conteúdo e firewall. A maioria das corporações deve
passar o ano analisando não apenas suas soluções e políticas de verificação
de e-mail, mas a sua própria segurança na empresa toda, desde os firewalls
pessoais e antivírus em desktop para completar soluções amplas de
gerenciamento da empresa, como aquelas oferecidas recentemente pelo
portfólio combinado entre a Symantec e a Axent.
Em também estou certo que com a convergência dos dispositivos móveis, tais
como os computadores portáteis e telefones celulares, esses dispositivos
serão alvo dos autores de códigos malignos. Todos nós, pesquisadores e
consumidores de antivírus, precisamos manter a mente aberta e perceber que
é apenas uma questão de tempo para que os dispositivos móveis estejam na
categoria de alto risco. Quanto tempo falta é um jogo de adivinhação, mas
precisamos estar preparados, especialistas em pesquisa antivírus como Eric
Chien do SARC EMEA e o seu trabalho em PDA, pesquisando continuamente essas
áreas, são importantíssimos se queremos estar preparados para um mundo
totalmente conectado e móvel.
No final do ano ou início de 2002, espere ver novas ameaças para Linux,
dispositivos PalmOS tal como os PDAs e telefones celulares, PocketPCs
(Windows CE), e talvez até mesmo dispositivos capazes de usar EPOC e WAP
(v1.2 ou superior). Nós já estamos vendo as coisas se moverem nessa direção
com vários vírus de Linux e os primeiros vírus e trojans de PalmOS.
Conforme o Linux se tornar mais comum nos desktop e o custo dos PDAs cair
dramaticamente, estas plataformas se tornam mais acessíveis aos autores de
vírus e worms. Adicionando mais poder de processamento à rede sem fio (o
iPaq 3600 PocketPC da Compaq já está em mais de 200Mhz) e aumentando a
riqueza de mídia que está sendo vista nos dispositivos de mão, os níveis de
risco aumentam substancialmente.
Essas ameaças podem ser evitadas ou minimizadas se os fabricantes de
dispositivos de computação e telefonia móvel racionalizarem a
funcionalidade, protegendo recursos como a programação dentro do modelo de
segurança dos dispositivos e melhorando essa segurança com assinaturas
digitais, codificação e controle de acesso. Apenas dessa forma a computação
móvel permanecerá segura.
Por David Banes
SARC, APAC
--------------------------------------------------------------------------
Glossário do SARC para definições de Vírus, Trojans e Worms e muito mais.
http://www.symantec.com.br/region/br/avcenter/refa.html
--------------------------------------------------------------------------
Contatos
--------------------------------------------------------------------------
Correspondência por e-mail para: sarcbr@symantec.com, não envie nenhum
e-mail de cancelamento de assinatura ou suporte.
Envie amostras de vírus para: avsubmit@symantec.com
Arquivo do Boletim Informativo:
http://www.symantec.com/avcenter/sarcnewsletters.html
--------------------------------------------------------------------------
Toda a informação contida neste boletim é correta e válida até a data da
sua publicação.
--------------------------------------------------------------------------
Copyright © 1996-2000 Symantec Corporation. Todos os direitos reservados.
--------------------------------------------------------------------------
______________________________________________________________________
To unsubscribe, write to LUSOnews-unsubscribe@listbot.com
Received on Wednesday, 7 February 2001 14:18:48 UTC