RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS-ALR-29072001

Nova ameaça do Worm RED CODE

[CAIS, 29.07.2001, revisão 01]


O CAIS está repassando alerta do CERT/CC (em conjunto com grupos de segurança de outras renomadas organizações), sobre uma nova ameaça do worm Red Code prevista para o dia 31/07/2001.

Nesta data o worm tentará se propagar novamente utilizando-se de novas variantes de código, as quais eventualmente podem ser mais maliciosas que a versão original.

O CAIS solicita que todos os responsáveis por redes onde existam máquinas Windows NT ou Windows 2000, com o aplicativo IIS 4.0 ou 5.0, que imediatamente apliquem, se já não o fizeram, a correção disponível em:

Sistemas Windows NT:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Sistemas Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

A descrição da vulnerabilidade e instruções sobre a aplicação da correção podem ser encontradas em:
http://www.microsoft.com/technet/security/Bulletin/MS01-033.mspx

Maiores informações podem ser obtidas nos seguintes alertas do CAIS:

http://www.rnp.br/cais/alertas/2001/cais-ALR-25072001.html
http://www.rnp.br/cais/alertas/2001/cais-ALR-19072001.html

O CAIS gostaria também de informar que estão sendo verificadas atividades de varredura utilizando-se a ferramenta disponibilizada pela www.eeye.com. Para identificar este tipo de acesso e diferenciá-lo de um causado pelo worm, pode utilizar-se a seguinte regra do IDS Snort:

alert tcp any any -> any 80 (msg: "Eeye Scanner for CodeRed";
dsize: >239; flags: A+; content:"|2F782e69 64613f41 41414141|";
depth:64;)

Como ocorreu nas versoes anteriores do worm, espera-se que ele se propague através da porta 80 de máquinas vulneráveis, o que pode significar em um aumento de acessos a esta porta, neste dia. Caso sejam registrados acessos, comprovadamente relacionados ao worm, o CAIS agradece se eles fossem enviados para o endereco cais@cais.rnp.br, para análise.

Se possível o CAIS gostaria de uma amostra dos pacotes para identificar a variante que está ativa. A coleta de dados pode ser realizada usando a ferramenta Netcat (http://www.l0pht.com/~weld/netcat/). O comando
que deve ser usado é o seguinte:

nc -l -p 80



Centro de Atendimento a Incidentes de Segurança

Referências:

CAIS-ALR-29072001

CA-29072001.txt download do arquivo

formato: text/xml


Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303