 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Alerta do CAIS ALR-22082003Ação programada do virus Sobig.F [CAIS, 22.08.2003, revisão 01] Complementando as informações divulgadas pelo CAIS no alerta ALR-19082003, Propagação do vírus W32.Sobig.F@mm alertamos que estão sendo repassadas novas informações relacionadas com a ação programada do vírus Sobig.F. O vírus Sobig.F possui instruções no seu código para iniciar uma sequência de atividades em datas pré-estabelecidas. De acordo com as informações recebidas, isto deve ocorrer toda sexta-feira e sábado até a data de 10 de setembro de 2003. Sendo assim, hoje, sexta-feira 22 de agosto, às 16:00, horário de Brasília, as máquinas que estão infectadas com o Sobig.F tentarão se conectar a uma lista de 20 máquinas localizadas nos Estados Unidos, Canadá e Coréia do Sul. Ainda não existem informações sobre o que exatamente o vírus tentará fazer ao obter os dados disponíveis nestes IPs. Vale lembrar que o vírus Sobig.E possuía um processo semelhante de atualização, onde um aplicativo era instalado para remover o vírus e tentar esconder os sinais de sua presença, coletar senhas do usuário e instalar um servidor proxy para ser utilizado para o envio de Spam. Dentre as possíveis ações, está sendo considerada a utilização das máquinas infectadas como agentes em um ataque distribuído de negação de serviço (DDoS). Maiores informações sobre o Sobig.F podem ser obtidas no seguintes endereços: Propagação do vírus W32.Sobig.F@mm Nova onda de ataques do Sobig.F começa hoje Sobig.F Mass-Email Worm – Trojan Horse Functionality http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F http://www.f-secure.com/v-descs/sobig_f.shtml A empresa F-Secure desenvolveu um aplicativo para a remoção do vírus, disponível no seguinte endereço: ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.exe A empresa Symantec possui uma página em português com informações sobre o vírus e a ferramenta de remoção, disponível no seguinte endereço: http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.sobig.f@mm.removal.tool.html A seguir, a lista de IPs que servem de repositório para o Sobig.F: 67.73.21.6 Neste contexto, o CAIS recomenda que as máquinas infectadas pelo Sobig.F sejam removidas com urgência da rede. Adicionalmente, é recomendado a todos os usuários que mantenham seus antivírus sempre atualizados, com frequência diária ou de forma automática; não abram anexos de qualquer espécie sem antes analisá-los com um antivírus, se certificando sempre da autenticidade do endereço de origem do email. |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
