RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

Novo worm Nyxem.E ataca dia 03 de Fevereiro

Alerta do CAIS 20060125

[CAIS, 25.01.2006-15:49, revisão 01]


O CAIS vem acompanhando a recente propagação de um novo worm chamado Nyxem.E (também conhecido como Kama Sutra ou Blackmal, entre outros nomes), que tem se espalhado pela internet através de e-mails infectados e compartilhamento de pastas entre sistemas remotos.

Duas características deste worm tem preocupado à comunidade de segurança, o que pede maior atenção em relação aos sistemas computacionais:

1. A velocidade de propagação do worm tem se mostrado bastante acelerada, mesmo que ainda menor do que a propagação de outros worms conhecidos. Desde a data de sua identificação - 20 de Janeiro de 2006 - o Nyxem.E já infectou mais de 700.000 máquinas.

2. Foi descoberto que o worm está programado para, a cada dia 3 de todo mês, apagar todo o conteúdo de arquivos com as extensões .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp, substituindo o conteúdo original destes arquivos pelo texto "DATA Error [47 0F 94 93 F4 K5]".

Mediante a gravidade das consequências que as ações deste worm podem causar, pedimos a todos que verifiquem seus sistemas com anti-vírus atualizados (capazes atualmente de identificar e remover o Nyxem.E), e mantenham-se alertas no dia 03 de Fevereiro, primeira data na qual o worm poderá danificar arquivos dos sistemas.


Sistemas afetados:

  • Maquinas rodando sistemas Windows

Soluções disponíveis:


Medidas paliativas

  • Verificação de sistemas com anti-vírus atualizados

  • Utilização das seguintes assinaturas no Snort, disponíveis no site bleeding-snort:

    1. Identificação de um sistema possivelmente infectado através de acessos ao contador desenvolvido pelo autor do worm:

    alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"BLEEDING-EDGE VIRUS webstats.web.rcn.net count.cgi request without referrer (possible BlackWorm/Nyxem infection)"; content:"GET /cgi-bin/Count.cgi?"; depth:23; content:"df="; within:20; content:"Host|3a 20|webstats.web.rcn.net"; content:!"Referer|3a|"; classtype:misc-activity; sid:2002788; rev:2;)

    2. Identificação de um sistema possivelmente infectado através de acessos com características específicas ao site www.microsoft.com (ausência de do cabeçalho User-agent:)

    alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"BLEEDING-EDGE VIRUS Agentless HTTP request to www.microsoft.com (possible BlackWorm/Nyxem infection)"; dsize:92; content:"GET / HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a| Cache-Control|3a20|no-cache|0d0a0d0a|";classtype:misc-activity; sid:2002789; rev:1;)

    3. Identificação de tentativa de propagação do worm através de SMTP:

    alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"BLEEDING-EDGE VIRUS W32.Nyxem-D SMTP outbound"; flow:established,to_server; content:"YmVnaW4gNjY0I"; content:"ICAgICAgICAgICAgICAgICAgICAgICA"; distance:31; within:31; classtype:trojan-activity; reference:url, www.sophos.com/virusinfo/analyses/w32nyxemd.html; sid: 2002778; rev:1;)

Mais informações:


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais