RNP > Serviços > Segurança em redes > Alertas do CAIS

Bot explorando a vulnerabilidade no serviço "Servidor"

Alerta do CAIS 20060814

[CAIS, 14.08.2006-16:11, revisão 01]

Complementando as informações contidas no alerta MS06-040, divulgadas pelo CAIS no último dia 09 de Agosto de 2006, o CAIS gostaria de informar que já está circulando na Internet um código malicioso capaz de explorar a vulnerabilidade no serviço "Servidor".

De acordo com as informações coletadas pelo CAIS, o código malicioso é uma variante do bot Ircbot, com a capacidade de se espalhar com características de um worm. Isto significa que este bot não precisa de um controlador IRC para se espalhar, pois após infectar uma vítima ele inicia automaticamente um scan contra a rede local para tentar encontrar mais máquinas vulneráveis.

Outra característica desse bot é a sua capacidade de se espalhar através de mensagens instantâneas utilizando o protocolo AIM. Isto pode permitir que o bot atravesse firewalls que não bloqueiam este tipo de comunicação. Uma vez dentro da rede o worm pode se propagar através da porta TCP/445.

Ao infectar a máquina, o bot instala o arquivo "wgareg.exe" ou "wgavm.exe" no sistema, além de modificar diversas chaves de registro e instalar outros arquivos. Após a infecção, o bot tenta se conectar a dois servidores IRC clandestinos, de onde podem ser controlados remotamente pelo controlador da botnet e assim promover mais modificações no sistema. Os domínios dos controladores dessa botnet são os seguintes:

• bniu.househot.com:18067
• ypgw.wallloan.com:18067

Sistemas afetados

Até o momento foi confirmada a eficácia desse exploit contra os seguintes sistemas:

• Microsoft Windows XP
• Microsoft Windows XP com SP1
• Microsoft Windows 2003
• Microsoft Windows 2000
• Microsoft Windows NT

Sistemas não afetados

Os sistemas abaixo não são vulneráveis à versão atual do exploit. No entanto, existem indicações de que um exploit afetando esses sistemas pode aparecer a qualquer momento:

• Microsoft Windows XP com SP2
• Microsoft Windows 2003 com SP1

Medidas preventivas/reativas

O CAIS sugere que os administradores de sistemas apliquem o mais rápido possível as atualizações sugeridas pelos alertas enviados no dia 9 de Agosto (consulte a seção "Mais informações" deste alerta), o que torna os sistemas imunes a infecções através deste exploit.

Além disso, os procedimentos abaixo podem ser úteis para impedir novas infecções ou detectar máquinas já infectadas:

• Monitorar seus servidores DNS para identificar máquinas realizando consultas pelos domínios listados acima.
• Os domínios bniu.househot.com e ypgw.wallloan.com resolvem para endereços IP diferentes a cada resolução, por isso é de pouca eficácia um filtro por endereço IP. Sugerimos o filtro do tráfego de saída dirigido ;à porta TCP/18067.
• Utilizar as regras Bleeding Snort presentes no URL abaixo. Se você utiliza estas regras com atualização automática, elas provavelmente já estão ativas:
  
  Bleeding: sigs/EXPLOIT/EXPLOIT_MS06-040
  
  
• Se possível, bloquear em sua rede o tráfego entrante TCP na porta 445 e 139.
• Ativar o firewall pessoal nas máquinas que possuirem tal recurso.
• Se uma máquina for infectada, é praticamente impossível garantir que todas as modificações feitas pelo bot possam ser removidas. O ideal neste caso é realizar backup de seus dados, formatar o disco e reinstalar o sistema.

Mais informações

• CAIS-Alerta: Vulnerabilidade no serviço "Servidor" (MS06-040)
• CERT Coordination Center - Steps for Recovering from a UNIX or NT System Compromise
• LURHQ - Mocbot/MS06-040 IRC Bot Analysis
• SANS ISC Handler's Diary August 12th 2006 - *MS06-040 exploit in the wild
• SANS ISC Handler's Diary August 13th 2006 - Information to Help Track Down Infections From WGAREG.EXE
• SANS ISC Handler's Diary August 13th 2006 - MS06-040 wgareg / wgavm update
• SANS ISC Handler's Diary August 14th 2006 - MS06-040: BOLO -- Be On the LookOut

O CAIS gostaria de reforçar a importância da aplicação das correções nos sistemas Windows frente a estas novas informações. Os alertas da Microsoft podem ser encontrados no website do CAIS, no seguinte endereço:

• Alertas de 2006

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais