- From: -=\(LusoNews\)=- <webshark@netcabo.pt>
- Date: Sat, 24 Feb 2001 11:34:43 -0000
- To: LUSOnews <LUSOnews@listbot.com>
LUSOnews - http://ousadias.net/publicidade/lusonews
--------------------------- ListBot Sponsor --------------------------
Build a marketing database and send targeted HTML and text e-mail
newsletters to your customers with List Builder.
http://www.listbuilder.com
----------------------------------------------------------------------
--------------------------------------------------------------------------
Centro de Pesquisa Antivírus da Symantec ISSN 1444-9994
Boletim Informativo Fevereiro 2001
--------------------------------------------------------------------------
Neste mês estamos ampliando para até dez a lista das principais ameaças em
cada região. Eu recebi muitos pedidos de ajuda sobre como remover certos
vírus e worms, desta forma, nós criamos uma seção na barra lateral que está
ligada às ferramentas de software para algumas das ameaças que podem ser
mais difíceis de remover. Agora também temos uma nova seção listando os
programas joke mais comuns. Estes programas são assim chamados (joke, em
português "piada") porque podem ser detectados por alguns produtos
antivírus, mas na verdade de modo algum são uma ameaça.
Novamente neste mês estamos cobrindo três categorias principais de
vírus, Trojans e worms. O interessante é que um deles é um worm de
Linux, outro um Trojan PHP. PHP é uma linguagem de programação para
inserir html a partir do servidor. Na edição de Novembro 2000 do
Boletim Informativo, falamos sobre a primeiríssima ameaça PHP.
Peter Ferrie do SARC Ásia/Pacífico e Peter Szor, SARC EUA escreveram
uma excelente análise do W32.Zmist, um novo vírus "indetectável", nós
publicamos aqui uma versão reduzida do artigo, a versão integral será
publicada no Virus Bulletin em Março de 2001.
Nós mudamos a nomenclatura de nossos níveis de gravidade das ameaças,
tanto aqui quanto em nosso site, agora elas são muito mais fáceis de
lembrar e mais alinhadas com a categorização de outros fornecedores.
Agora elas estão assim:
5 - Muito Grave
4 - Grave
3 - Moderado
2 - Fraco
1 - Muito Fraco
Finalmente um lembrete, a conferência anual da EICAR será realizada
de 3 a 6 de Março de 2001 em Munique, Alemanha.
David Banes,
Editor, sarcbr@symantec.com
--------------------------------------------------------------------------
O SARC anunciou um novo serviço de alerta para nossos clientes Platinum.
Este serviço permitirá que o SARC emita alertas sobre as ameaças com maior
antecedência. Por favor, visite o site Platinum para mais detalhes.
É necessário ter uma conta e senha Platinum.
http://www.symantec.com/platinum
--------------------------------------------------------------------------
Estes são os Vírus, Trojans e Worms mais informados aos escritórios do
SARC durante o mês passado.
Principais Ameaças
W95.Hybris - www.sarc.com/avcenter/venc/data/w95.hybris.gen.html
JS.Seeker - www.sarc.com/avcenter/venc/data/js.seeker.html
W95.MTX - www.sarc.com/avcenter/venc/data/w95.mtx.html
Wscript.KakWorm - www.sarc.com/avcenter/venc/data/wscript.kakworm.html
W32.Navidad.16896 - www.sarc.com/avcenter/venc/data/w32.navidad.16896.html
W32.HLLW.Bymer - www.sarc.com/avcenter/venc/data/w32.hllw.bymer.html
W32.Navidad - www.sarc.com/avcenter/venc/data/w32.navidad.html
Happy99.Worm - www.sarc.com/avcenter/venc/data/happy99.worm.html
VBS.LoveLetter - www.sarc.com/avcenter/venc/data/vbs.loveletter.a.html
W32.HLLW.Qaz.A - www.sarc.com/avcenter/venc/data/qaz.trojan.html
--------------------------------------------------------------------------
Viruses, Trojans e Worms Mais Informados
A seguir está uma lista dos principais vírus informados aos escritórios
regionais do SARC.
- Ásia/Pacífico
W95.Hybris
W95.MTX
Wscript.KakWorm
JS.Seeker
W32.Navidad
W32.HLLW.Bymer
W32.FunLove.4099
VBS.Stages.A
W32.HLLW.Qaz.A
VBS.LoveLetter
- Europa
W95.Hybris
JS.Seeker
W95.MTX
Wscript.KakWorm
W32.Navidad.16896
W32.HLLW.Bymer
W32.HLLW.Qaz.A
W32.Navidad
Wscript.KakWorm
VBS.Plan.B
- Japão
W95.Hybris
W95.MTX
VBS.Mill
W32.HLLW.Bymer
JS.Seeker
W32.Navidad
W32.HLLW.Qaz.A
Happy99.Worm
W95.MTX
W32.FunLove.4099
- EUA
W95.Hybris
JS.Seeker
W95.MTX
Wscript.KakWorm
VBS.LoveLetter
W32.Navidad
W32.HLLW.Bymer
W32.Navidad
VBS.Plan.B
Happy99.Worm
--------------------------------------------------------------------------
Novos Virus Hoaxes (Vírus Falsos) informados à Symantec
Elecciones 2000 Hoax
Forward Hoax
Pikachus Ball Hoax
Sarc Virus Test Hoax
Scoutshacker Hoax
Simon Pugh Hoax
Virtual Card 2
WAZ UP Hoax
WordScribe Virus Hoax
--------------------------------------------------------------------------
20 Principais Ameaças Globais Consolidadas - pelo SecurityPortal
http://securityportal.com/research/virus/virustop20.html
W95.MTX
W32.Navidad
VBS.KakWorm
W32.Hybris
VBS.LoveLetter
W32.FunLove
W32.Prolin
W97M.Marker
W95.CIH
W32.HLLW.Bymer
W97M.Melissa.BG
W97.Ethan
W32.HLLW.Qaz.A
(ou Troj.Qaz.A)
Happ99.Worm
(ou W32.Ska)
VBS.Stages.A
W97M.Thursday
W32.PrettyPark
W97M.Class
W32.ExploreZip.Worm
W32.BleBla
--------------------------------------------------------------------------
O SARC agora possui Ferramentas de Remoção, disponíveis no site da web
http://www.sarc.com/avcenter/tools.list.html, para as seguintes ameaças:
W32.HybrisF
W32.Kriz
W32.Navidad
W32.HLLW.QAZ.A
W95.MTX
W32.FunLove.4099
Wscript.Kakworm
Wscript.Kakworm.B
Happy99.Worm
VBS.Loveletter
PrettyPark.Worm
VBS.Stages.A
W2K.Stream
AOL.Trojan.32512
W95.CIH
Worm.ExploreZip
--------------------------------------------------------------------------
Programas Joke Informados à Symantec
Joke.Doh
Joke.Flipped
Joke.Freibier
Joke.Geschenk
Joke.Idioma
Joke.Lancheck
Joke.Scared
Joke.Wobbling
Joke.Wow
--------------------------------------------------------------------------
Worms
--------------------------------------------------------------------------
Linux.Ramen.Worm Muito Fraco [1] Linux
Linux.Ramen é um worm de Linux que ataca máquinas que estejam funcionando
com o sistema operacional Linux Red Hat 6.2 ou 7.0. Este worm não é
executado nos sistemas Microsoft Windows. O worm tenta usar versões sem o
patch do rpc.statd, wuftpd e LPRng.
Uma mensagem de e-mail para uma conta anônima de e-mail do Yahoo! e
Hotmail especificando o endereço IP da máquina atacada. Provavelmente
essas contas de e-mail pertencem ao autor deste worm, o que permite que o
autor rastreie as máquinas infectadas.
Para remover o Linux.Ramen.Worm:
1. Exclua os arquivos detectados pelo Norton AntiVirus.
2. Instale os patches que irão remover as vulnerabilidades mencionadas.
Esses patches já estão disponíveis para download no site da Red Hat
nos seguintes endereços:
RedHat 7.0 Security Advisories
- http://www.redhat.com/support/errata/rh7-errata-security.html
RedHat 6.2 Security Advisories
- http://www.redhat.com/support/errata/rh62-errata-security.html
http://service1.symantec.com/sarc/sarc.nsf/html/Linux.Ramen.Worm.html
por: Patrick Martin and Eric Chien
SARC, USA & EMEA.
--------------------------------------------------------------------------
Vírus
--------------------------------------------------------------------------
W32.Demiurg.16354 Fraco [2] Win32
W32.Demiurg.16354 é um vírus que pode infectar programas DOS, arquivos de
lote (batch), arquivos de programas Windows, e planilhas do Excel 97/2000.
O computador que executar esse vírus será o único infectado. Esse vírus
não se envia por e-mail, e ele não reconhece rede.
As atuais definições de vírus vão detectar esse vírus. Execute o
LiveUpdate para ter certeza de que você está com as definições de vírus
mais recentes.
Se o computador já estiver infectado com o W32.Demiurg.16354, siga esses
passos para remover o vírus:
1. Inicie o NAV, execute uma verificação completa do sistema, e exclua
qualquer planilha infectada.
2. Reinicie o computador a partir de um Disco de Inicialização do Windows,
Disco de Resgate, disco de inicialização, ou CD do Norton AntiVirus 2001,
dependendo do computador e do sistema operacional.
3. Execute uma verificação completa usando o verificador do Norton AntiVirus
DOS. Se algum arquivo for detectado como infectado com o
W32.Demiurg.16354,
selecione Reparar.
Depois de executar o verificador do DOS e selecionar o reparo dos arquivos
infectados conforme recomendado, então execute o verificador do DOS uma
segunda vez. Se os arquivos forem detectados novamente como infectados, o
Norton AntiVirus não foi capaz de repará-los. Neste caso, selecione Remover.
http://service1.symantec.com/sarc/sarc.nsf/html/W32.Demiurg.16354.html
por: Peter Ferrie and Cary Ng
SARC, APAC & EUA
--------------------------------------------------------------------------
Trojans
--------------------------------------------------------------------------
PHP.Sysbat Muito Fraco [1] Script
PHP.Sysbat é um Trojan horse, não um vírus. Trojan horses não se duplicam.
PHP.Sysbat é executado apenas em computadores com interpretes de PHP.
(PHP é uma linguagem de programação multiplataforma para inserir HTML a
partir do servidor.) Ele não pode ser contraído simplesmente visitando uma
página Web infectada.
O PHP.Sysbat modifica o arquivo Autoexec.bat de forma que da próxima vez
que o computador for reiniciado, o comando para formatar o disco rígido é
executado. O Trojan também irá anexar texto ao C:\Config.sys e em outros
arquivos com a extensão .sys que estão localizados na pasta
C:\Windows\Command.
Finalmente, o Trojan tenta apagar o C:\Windows\System\Wsock32.dll.
Para remover esse Trojan:
1. Execute o LiveUpdate para ter certeza de que você está com as
definições de vírus mais recentes.
2. Inicie o Norton AntiVirus (NAV), e faça uma verificação completa
do sistema, estando certo de que o NAV está configurado para verificar
todos os arquivos.
3. Se qualquer arquivo for detectado como infectado pelo PHP.Sysbat,
você precisará apagá-lo.
4. Remova o seguinte texto do arquivo Autoexec.bat:
ctty nul
format c: /autotest /q /u
CUIDADO: Não reinicie o computador enquanto não tiver removido este texto.
5. Restaure de um backup ou reinstale todos os arquivos .sys que foram
infectados pelo Trojan.
6. Se necessário, substitua o arquivo Wsock32.dll.
http://service1.symantec.com/sarc/sarc.nsf/html/PHP.Sysbat.html
por: Eric Chien
SARC, EMEA
--------------------------------------------------------------------------
Visite o Site de Segurança Empresarial da Symantec na Web
--------------------------------------------------------------------------
Tenha todas as últimas novidades sobre segurança empresarial entregues em
sua caixa de entrada. Registre-se para receber gratuitamente os boletins
de Segurança Empresarial da Symantec.
https://enterprisesecurity.symantec.com/Content/Subscribe.cfm
As manchetes recentes incluem:
Hacker Anti-globalização Roubam Dados Confidenciais em Davos; Agência
France Presse
http://enterprisesecurity.symantec.com/content.cfm?articleid=587
Falhas Deixam a Rede Aberta aos Ataques, Alerta Grupo; Los Angeles Times
http://enterprisesecurity.symantec.com/content.cfm?articleid=583
Tenha certeza de que sua empresa possui um plano de contingência completo
preparado antes que seja muito tarde. Leia nosso último artigo especial
"Guia para Plano de Contingência" para saber mais:
http://enterprisesecurity.symantec.com/content.cfm?articleid=573
--------------------------------------------------------------------------
Vírus Nas Sombras
--------------------------------------------------------------------------
Durante a VB 2000, Dave Chess e Steve White apresentaram os resultados de
sua pesquisa sobre Vírus Indetectáveis. No início deste ano o criador
russo de vírus Zombie lançou a sua revista "Total Zombification" com uma
série de artigos e vírus de sua autoria. Um dos artigos na revista tinha
o título de "Tecnologia de Vírus Indetectável".
Zombie já havia demonstrado habilidades de programação de vírus
polimórficos e metamórficos. Faz anos que seus vírus são distribuídos no
formato de códigos fonte abertos, e outros criadores de vírus os modificam
para criar novas variantes. Certamente será o mesmo caso com a última
criação de Zombie: o W95.Zmist.
Muitos de nós não vemos há alguns anos uma abordagem de vírus com esta
complexidade. Nós podemos dizer que o Zmist é um dos mais complexos vírus
binários já escritos. W95.SK, One_Half, ACG, e poucos outros nomes vêem à
nossa mente para fazer uma comparação. O Zmist é um pouco de tudo: existe
um ponto de entrada obscurecendo o vírus que é metamórfico. Além disso o
vírus usa aleatoriamente um decodificador polimórfico adicional.
O vírus suporta uma técnica nova e única: integração de código.
O mecanismo Mistfall contido no vírus é capaz de decompilar arquivos
Portable Executable nos seus menores elementos, requerendo 32MB! de
memória. O Zmist irá se auto-inserir no código: ele tira do caminho os
blocos de código, se insere, gera novamente o código e os dados de
referência, incluindo a realocação de informação, e remonta o executável.
Isso é uma coisa que nunca vimos anteriormente em qualquer outro vírus.
O Zmist ocasionalmente insere saltos depois de cada uma das seções de
instruções do código, cada um deles apontará para a próxima instrução.
Espantosamente esses aplicativos terrivelmente modificados ainda irão
funcionar como antes, só que como fazem os executáveis infectados, de uma
geração para outra. De fato nós não vimos um único computador travar
durante os testes. Ninguém esperava que isto funcionasse, nem mesmo o seu
autor, Zombie. Embora o programa não seja à prova de falhas parece ser bom
o bastante para um vírus. Leva algum tempo até que um usuário humano
descubra o vírus nos arquivos infectados. Por causa de sua excessiva
camuflagem o Zmist é facilmente o vírus anti-heurístico perfeito.
Há alguns poucos anos atrás vários pesquisadores antivírus disseram que a
detecção algorítmica não tinha futuro. Nós gostaríamos de voltar ao
assunto, dizendo que os verificadores de vírus não terão futuro algum se
eles não suportam a detecção algorítmica no nível de banco de dados. É
espantoso ver como os vírus polimórficos se tornaram mais e mais avançados
com o passar dos anos. Tais criações metamórficas vão chegar muito próximas
do conceito de vírus indetectável.
O ambiente dos computadores mudou. Os vírus modernos suportam esse novo
ambiente. Nós próximos dois anos nós veremos como os complexos vírus de
DOS seriam hoje se o ambiente não tivesse mudado durante os últimos anos.
[Nota dos Editores:O artigo completo inclui uma descrição técnica
detalhada do W95.Zmist e será publicado na Edição de Março do Virus
Bulletin.
Por Peter Ferrie e Peter Szor
SARC, APAC & EUA.
Ganhe Dinheiro enquanto navega
Assine grátis: http://www.DesktopDollars.com/default.asp?id=webshark
______________________________________________________________________
To unsubscribe, write to LUSOnews-unsubscribe@listbot.com
Received on Saturday, 24 February 2001 06:51:43 UTC