Total Security - totalsecurity.com.br
Mais informações sobre o Bagle.B
As principais empresas antivírus do mercado estão alertando para o surgimento, ontem, dia 17, de um novo vírus, batizado de Bagle.B ou Tanx.A. Trata-se de um código maléfico que está se espalhando rapidamente por e-mail e chega na forma de um arquivo anexo. Uma vez instalado no sistema, o arquivo abre uma porta que se oculta na máquina (backdoor), através da qual um cracker poderia executar remotamente comandos de sua escolha.A empresa britânica MessageLabs afirma que interceptou 10 mil cópias do vírus em apenas uma hora e que a primeira mensagem infectada veio da Polônia. No Brasil também já foram detectadas cópias do Bagle.B. A mensagem que o carrega sempre traz na linha de assunto o texto ID (caracteres aleatórios)... thanks e um arquivo anexo com extensão .EXE e nome aleatório. No corpo da mensagem, outra referência a ID, mais caracteres aleatórios e novamente um agradecimento (“Thank”).
Para se espalhar, o Bagle.B, que tecnicamente é um worm, recolhe endereços de e-mail de arquivos com extensões WAB, TXT, HTM e HTML e insere tais endereços nos campos do remetente e do destinatário das mensagens contaminadas. Por isso, não se pode dizer que uma máquina foi realmente infectada apenas porque o endereço de e-mail de seu proprietário estava no campo from: de uma dessas mensagens.
Outro truque para enganar os usuários, caso estes salvem o anexo antes de executá-lo, é associá-lo ao ícone de um arquivo de áudio.
Caso o arquivo seja executado, o worm tenta carregar o gravador de som do Windows, rodando o aplicativo sndrec32.exe. Uma vez instalado, o Bagle.B cria uma cópia de si mesmo em um arquivo com o nome au.exe no diretório “System” do Windows e acrescenta uma nova entrada no registro do sistema para garantir sua execução toda vez que o computador for reiniciado. O Bagle.B está programado para deixar de se disseminar no dia 25 de fevereiro de 2004.
A backdoor aberta pelo worm fica aguardando conexões remotas na porta TCP 8866, que poderia ser usada para instalar outros programas maléficos ou atualizar o código da praga com novas funcionalidades. Esta porta também é usada para se conectar a três sites na Alemanha (www.47df.de, www.strato.de e intern.games-ring.de) e enviar informações sobre o sistema infectado.
Do ponto de vista técnico, o Bagle.B é um programa simples, mas sua rápida disseminação ― como também aconteceu com a primeira versão do worm ― está sendo atribuída a dois fatores: a aparência inocente da mensagem que o carrega, com um anexo cujo ícone imita um arquivo de áudio, e o fato de ter sido inicialmente enviado a uma grande quantidade de pessoas, na forma de spam.
No momento, é difícil estimar quanto estrago este worm irá causar, opina Mikael Albrecht, diretor de produtos da empresa antivírus F-Secure. A backdoor que ele contém pode ser muito perigosa, pois permite que o autor do vírus injete código malicioso no sistema, em um momento posterior. Este tipo de técnica pode ser usado, por exemplo, para plantar nos computadores infectados agentes que servirão para o envio de spam. O alerta do executivo vem reforçar a idéia de que spammers e criadores de vírus definitivamente juntaram forças, hipótese que vem sendo levantada desde o surgimento de alguns dos mais bem-sucedidos códigos maléficos da História, como o Sobig-F e o MyDoom.A.
Para se espalhar, o Bagle.B, que tecnicamente é um worm, recolhe endereços de e-mail de arquivos com extensões WAB, TXT, HTM e HTML e insere tais endereços nos campos do remetente e do destinatário das mensagens contaminadas. Por isso, não se pode dizer que uma máquina foi realmente infectada apenas porque o endereço de e-mail de seu proprietário estava no campo from: de uma dessas mensagens.
Outro truque para enganar os usuários, caso estes salvem o anexo antes de executá-lo, é associá-lo ao ícone de um arquivo de áudio.
Caso o arquivo seja executado, o worm tenta carregar o gravador de som do Windows, rodando o aplicativo sndrec32.exe. Uma vez instalado, o Bagle.B cria uma cópia de si mesmo em um arquivo com o nome au.exe no diretório “System” do Windows e acrescenta uma nova entrada no registro do sistema para garantir sua execução toda vez que o computador for reiniciado. O Bagle.B está programado para deixar de se disseminar no dia 25 de fevereiro de 2004.
A backdoor aberta pelo worm fica aguardando conexões remotas na porta TCP 8866, que poderia ser usada para instalar outros programas maléficos ou atualizar o código da praga com novas funcionalidades. Esta porta também é usada para se conectar a três sites na Alemanha (www.47df.de, www.strato.de e intern.games-ring.de) e enviar informações sobre o sistema infectado.
Do ponto de vista técnico, o Bagle.B é um programa simples, mas sua rápida disseminação ― como também aconteceu com a primeira versão do worm ― está sendo atribuída a dois fatores: a aparência inocente da mensagem que o carrega, com um anexo cujo ícone imita um arquivo de áudio, e o fato de ter sido inicialmente enviado a uma grande quantidade de pessoas, na forma de spam.
No momento, é difícil estimar quanto estrago este worm irá causar, opina Mikael Albrecht, diretor de produtos da empresa antivírus F-Secure. A backdoor que ele contém pode ser muito perigosa, pois permite que o autor do vírus injete código malicioso no sistema, em um momento posterior. Este tipo de técnica pode ser usado, por exemplo, para plantar nos computadores infectados agentes que servirão para o envio de spam. O alerta do executivo vem reforçar a idéia de que spammers e criadores de vírus definitivamente juntaram forças, hipótese que vem sendo levantada desde o surgimento de alguns dos mais bem-sucedidos códigos maléficos da História, como o Sobig-F e o MyDoom.A.
Fonte:
Infoguerra
URL Fonte: http://totalsecurity.com.br/noticia/512/visualizar/
Comentários