NOTÍCIAS 2003
Verme Sobig tem grau de risco aumentado
Devido ao crescimento de submissões, o Symantec Security
Response aumentou de 2 para 3 (numa escala que varia de 1 a 5) o grau de risco de ameaça do W32.Sobig.E@mm, um verme de distribuição em massa que se auto envia para
todos os endereços de correio eletrônico que encontra nos arquivos do computador afetado. A
Symantec já tem página específica sobre
esse verme na Internet, com a vacina.
Os arquivos usados pelo verme têm as seguintes extensões: *.wab, *.dbx, *.htm, *.html, *.eml
e *.txt. A mensagem de correio eletrônico informa falsamente ter sido enviada pela Yahoo (support@yahoo.com), mas também pode ter
outro remetente, já que o verme consegue controlar esse campo de dados. No campo Assunto, pode constar um desses exemplos:
Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif
Já os arquivos anexados à mensagem podem ser, por exemplo:
your details.zip (contém details.pif)
application.zip (contém application.pif)
document.zip (contém document.pif)
screensaver.zip (contém sky.world.scr)
movie.zip (contém Movie.pif)
Esses arquivos têm 82.195 bytes (comprimido) e 86.528 bytes (o executável, extraído do
correspondente arquivo *.zip. O verme é também conhecido como: Win32.Sobig.E [CA], W32/Sobig-E [Sophos], W32/Sobig.e@MM [McAfee] e
afeta os sistemas Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me. Não afeta os sistemas Macintosh, OS/2,
Unix e Linux.
Variante C - A variante Sobig C, que também teve o grau de risco aumentado em
junho/2003, usa o mecanismo Simple Mail Transfer Protocol (SMTP) para se disfarçar com os mais variados endereços eletrônicos,
incluindo uma suposta mensagem de Bill Gates com o remetente bill@microsoft.com. Até o início desse mês, a Symantec já havia
registrado mais de 700 submissões em todo o mundo e cerca de 300 submissões no continente americano.
Essa variante chega ao computador pessoal por meio de um arquivo executável (*.scr ou
*.pif), com tamanho de aproximadamente 59 KB, que é ativado quando aberto, enumera os compartilhamentos de rede e tenta se copiar
para as seguintes localidades:
\Documents and Settings\All Users\Start Menu\Programs\Startup\
ou
\Windows\All Users\Start Menu\Programs\Startup\
De acordo com os técnicos da Symantec, possui alto poder de distribuição e envia cópia de si
mesmo a todos os contatos do catálogo de endereços do Windows. O corpo da mensagem apresenta a frase "Please see the attached
file" e a linha de assunto pode apresentar as seguintes variações:
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved, Approved
Re: Your application
Re: Application.
"Quando executado, o verme envia os arquivos mscvb32.exe e msddr.dat para o diretório de
instalação do Windows. O vírus também é capaz de adicionar chaves de registro ao sistema, para que o obter códigos carregados na
inicialização da máquina" afirmou Ricardo Costa, gerente da engenharia de sistemas da Symantec do Brasil. Segundo ele, o
W32.Sobig.C@mm reconhece as características da rede da qual faz parte a máquina infectada. Ele desconsidera os recursos da rede e
cria uma cópia de si mesmo nestas pastas de outros computadores aos quais tenha acesso:
\Windows\Todos os Usuários\Menu Iniciar\Programas\Iniciar
e
\Documentos e Configurações\Todos os Usuários\Menu
Iniciar\Programas\Iniciar
A Symantec já disponibilizou em
página Web especial uma
ferramenta para remoção do Sobig C.
Outra página apresenta informações detalhadas sobre esse verme. E a vacina específica também está disponível para os usuários de
produtos Symantec na página do centro anti-vírus.
McAfee também - O alerta especial sobre o Sobig C foi dado simultaneamente pela
produtora de antivírus McAfee Security/Network Associates: "De origem desconhecida, a nova variante do vírus Sobig - W32/Sobig.c@MM
- foi descoberta em 31/05/03 e já é detectada pela McAfee Security como W32/Sobig.dam, através do Dat-4267".
Explica a empresa que a A variante .C é similar à variante .B. O Sobig.c se propaga via
correio eletrônico a todos os endereços adquiridos na máquina da vítima, construindo mensagens com o uso de seu próprio mecanismo
SMTP. Os anexos podem ter parte de suas extensões, omitidas. Por exemplo, a vítima pode receber uma mensagem contendo um anexo .PI,
quando na realidade é .PIF. Os anexos podem ser assemelhados a:
45443.pif
application.pif
approved.pif
document.pif
documents.pif
movie.pif
screensaver.scr
submited.pif
No corpo da mensagem aparece o texto "Please see the attached file".
O Sobig.c enumera os compartilhamentos de rede e tenta se copiar para as seguintes
localidades, se o caminho estiver acessível:
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Windows\All Users\Start Menu\Programs\Startup\
Dessa forma, uma vez executado, ele lança os seguintes arquivos no diretório de instalação do
Windows: "mscvb32.exe" (aproximadamente 50kB - uma cópia do próprio vírus) e "msddr.dat" (arquivo de configuração).
Finalmente, chaves de registro são adicionadas ao sistema, para que o Sobig.c tenha seus
códigos carregados na inicialização da máquina. Essas chaves podem ser notadas conforme abaixo:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System MScvb" = %WinDir%\mscvb32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System
MScvb" = %WinDir%\mscvb32.exe
Essa nova ameaça está sendo considerada de Médio Risco, no mundo. A empresa tem uma
página em inglês com mais informações sobre a variante C o Sobig. E no
caso de qualquer suspeita ou dúvidas quanto a vírus, os internautas podem encaminhar mensagens para um
endereço especial de correio eletrônico no Brasil.
A McAfee Security recomenda que os produtos antivírus sejam atualizados
semanalmente, além de estar configurados para proteção em arquivos compactados (compressed
files). |