| Alerta do CAIS ALR-03102003aAtividade do Trojan QHosts-1 [CAIS, 03.10.2003, revisão 01]
O CAIS tomou conhecimento de que está circulando na Internet um novo trojan chamado QHosts-1, que explora a falha do Internet Explorer ainda não corrigida para modificar as configurações DNS do computador infectado, com objetivo de redirecionar as requisições feitas pelo usuário para domínios específicos.
O malware infecta máquinas que estejam executando Windows 2000 ou Windows XP, através de Pop-ups que aparecem quando o usuário acessa determinados sites.
A seqüência de infecção é listada abaixo:
- O usuário é direcionado a um website que contém o código malicioso
- Um script em Visual Basic é automaticamente executado gravando o arquivo AOLFIX.EXE no diretório %TEMP%.
- O arquivo AOLFIX.EXE é executado imediatamente, executando diversas operações.
- O script cria o arquivo O.BAT, que é executado ao final para remover os arquivos AOLFIX.EXE e O.BAT.
As mudanças efetuadas no sistema contaminado são:
- O arquivo HOSTS é criado no diretório %WinDir%\Help, redirecionando sites de busca mais populares para o endereço IP 207.44.220.30.
- A chave de registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters "DataBasePath" = %SystemRoot%\help e' criada para modificar o path do arquivo HOSTS.
- A configuração de DNS é alterada, passando a ser 69.57.146.14 e 69.57.147.175.
- A chave de registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\ Interfaces\windows "r0x" = your s0x e' criada
- Um arquivo de controle chamado winlog e' criado dentro do diretorio Windows
- O diretório c:\bdtmp\tmp é criado.
- Diversas chaves de registro do Internet Explorer sao criadas ou modificadas, como segue:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main "Search Bar" = http://www.google.com/ie
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main "Use Search Asst" = no HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
SearchUrl "(Default)" = http://www.google.com/keyword/%s
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main "Search Page" = http://www.google.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
SearchUrl "provider" = gogl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
Search "SearchAssistant" = http://www.google.com/ie
As instruções para desinfecção do sistema contaminado:
- Desabilitar a opcao Active Scripting no Internet Explorer
- Remover os arquivos %WinDir%Help\hosts e %WinDir%\winlog
- Modificar a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters "DataBasePath" = %SystemRoot%\System32\drivers\etc
- Remover a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\ Interfaces\windows "r0x"
- Reconfigurar as opções de DNS novamente.
Maiores informações podem ser obtidas em:
http://vil.nai.com/vil/content/v_100719.htm
http://www.microsoft.com/technet/treeview/default.asp?
http://www.rnp.br/cais/alertas/2003/cert-in-200304.html
O CAIS recomenda aos administradores manterem seus sistemas e aplicativos sempre atualizados de acordo com as últimas versões, correções ou soluções de contorno disponibilizadas pelos fabricantes ou grupos de segurança de renome na área.
|
Listas de alertas publicados: 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 +55 (19) 3787-3301
cais@cais.rnp.br
Chave PGP pública do Cais |