RNP > Serviços > Segurança em redes > Alertas do CAIS

Alerta do CAIS ALR-03102003a

Atividade do Trojan QHosts-1

[CAIS, 03.10.2003, revisão 01]

O CAIS tomou conhecimento de que está circulando na Internet um novo trojan chamado QHosts-1, que explora a falha do Internet Explorer ainda não corrigida para modificar as configurações DNS do computador infectado, com objetivo de redirecionar as requisições feitas pelo usuário para domínios específicos.

O malware infecta máquinas que estejam executando Windows 2000 ou Windows XP, através de Pop-ups que aparecem quando o usuário acessa determinados sites.

A seqüência de infecção é listada abaixo:

1. O usuário é direcionado a um website que contém o código malicioso
2. Um script em Visual Basic é automaticamente executado gravando o arquivo AOLFIX.EXE no diretório %TEMP%.
3. O arquivo AOLFIX.EXE é executado imediatamente, executando diversas operações.
4. O script cria o arquivo O.BAT, que é executado ao final para remover os arquivos AOLFIX.EXE e O.BAT.

As mudanças efetuadas no sistema contaminado são:

1. O arquivo HOSTS é criado no diretório %WinDir%\Help, redirecionando sites de busca mais populares para o endereço IP 207.44.220.30.
2. A chave de registro
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   Tcpip\Parameters "DataBasePath" = %SystemRoot%\help e' criada para modificar o path do arquivo HOSTS.
3. A configuração de DNS é alterada, passando a ser 69.57.146.14 e 69.57.147.175.
4. A chave de registro
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   Tcpip\Parameters\ Interfaces\windows "r0x" = your s0x e' criada
5. Um arquivo de controle chamado winlog e' criado dentro do diretorio Windows
6. O diretório c:\bdtmp\tmp é criado.
7. Diversas chaves de registro do Internet Explorer sao criadas ou modificadas, como segue:
   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
   Main "Search Bar" = http://www.google.com/ie
   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
   Main "Use Search Asst" = no HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
   SearchUrl "(Default)" = http://www.google.com/keyword/%s
   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
   Main "Search Page" = http://www.google.com
   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
   SearchUrl "provider" = gogl
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
   Search "SearchAssistant" = http://www.google.com/ie

As instruções para desinfecção do sistema contaminado:

1. Desabilitar a opcao Active Scripting no Internet Explorer
2. Remover os arquivos %WinDir%Help\hosts e %WinDir%\winlog
3. Modificar a seguinte chave de registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   Tcpip\Parameters "DataBasePath" = %SystemRoot%\System32\drivers\etc
4. Remover a seguinte chave de registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   Tcpip\Parameters\ Interfaces\windows "r0x"
5. Reconfigurar as opções de DNS novamente.

Maiores informações podem ser obtidas em:

http://vil.nai.com/vil/content/v_100719.htm
http://www.microsoft.com/technet/treeview/default.asp?
http://www.rnp.br/cais/alertas/2003/cert-in-200304.html

O CAIS recomenda aos administradores manterem seus sistemas e aplicativos sempre atualizados de acordo com as últimas versões, correções ou soluções de contorno disponibilizadas pelos fabricantes ou grupos de segurança de renome na área.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais