| Novo worm Nyxem.E ataca dia 03 de FevereiroAlerta do CAIS 20060125 [CAIS, 25.01.2006-15:49, revisão 01]
O CAIS vem acompanhando a recente propagação de um novo worm chamado Nyxem.E (também conhecido como Kama Sutra ou Blackmal, entre outros nomes), que tem se espalhado pela internet através de e-mails infectados e compartilhamento de pastas entre sistemas remotos.
Duas características deste worm tem preocupado à comunidade de segurança, o que pede maior atenção em relação aos sistemas computacionais:
1. A velocidade de propagação do worm tem se mostrado bastante acelerada, mesmo que ainda menor do que a propagação de outros worms conhecidos. Desde a data de sua identificação - 20 de Janeiro de 2006 - o Nyxem.E já infectou mais de 700.000 máquinas.
2. Foi descoberto que o worm está programado para, a cada dia 3 de todo mês, apagar todo o conteúdo de arquivos com as extensões .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp, substituindo o conteúdo original destes arquivos pelo texto "DATA Error [47 0F 94 93 F4 K5]".
Mediante a gravidade das consequências que as ações deste worm podem causar, pedimos a todos que verifiquem seus sistemas com anti-vírus atualizados (capazes atualmente de identificar e remover o Nyxem.E), e mantenham-se alertas no dia 03 de Fevereiro, primeira data na qual o worm poderá danificar arquivos dos sistemas.
Sistemas afetados:
- Maquinas rodando sistemas Windows
Soluções disponíveis:
Medidas paliativas
- Verificação de sistemas com anti-vírus atualizados
- Utilização das seguintes assinaturas no Snort, disponíveis no site bleeding-snort:
1. Identificação de um sistema possivelmente infectado através de acessos ao contador desenvolvido pelo autor do worm:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"BLEEDING-EDGE VIRUS webstats.web.rcn.net count.cgi request without referrer (possible BlackWorm/Nyxem infection)"; content:"GET /cgi-bin/Count.cgi?"; depth:23; content:"df="; within:20; content:"Host|3a 20|webstats.web.rcn.net"; content:!"Referer|3a|"; classtype:misc-activity; sid:2002788; rev:2;)
2. Identificação de um sistema possivelmente infectado através de acessos com características específicas ao site www.microsoft.com (ausência de do cabeçalho User-agent:)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"BLEEDING-EDGE VIRUS Agentless HTTP request to www.microsoft.com (possible BlackWorm/Nyxem infection)"; dsize:92; content:"GET / HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a| Cache-Control|3a20|no-cache|0d0a0d0a|";classtype:misc-activity; sid:2002789; rev:1;)
3. Identificação de tentativa de propagação do worm através de SMTP:
alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"BLEEDING-EDGE VIRUS W32.Nyxem-D SMTP outbound"; flow:established,to_server; content:"YmVnaW4gNjY0I"; content:"ICAgICAgICAgICAgICAgICAgICAgICA"; distance:31; within:31; classtype:trojan-activity; reference:url, www.sophos.com/virusinfo/analyses/w32nyxemd.html; sid: 2002778; rev:1;)
Mais informações:
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
|
Listas de alertas publicados: 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 +55 (19) 3787-3301
cais@cais.rnp.br
Chave PGP pública do Cais |