Encontrada falha no Microsoft Word

2006-05-29T00:11:32+02:00

Retirado do site Linha Defensiva:

Uma nova falha no Word permite que um arquivo “.doc” seja usado para instalar cavalos-de-tróia no computador do usuário. A falha foi encontrada em um documento enviado especificamente para roubar dados de uma organização. O backdoor instalado pelo documento também utiliza técnicas de rootkit para se esconder.

Diversas companhias antivírus já lançaram definições para detectar o backdoor que é instalado. Batizado de Ginwui, as primeiras notícias sobre sua existência vieram em um caso de ataque específico descrito no diário do Internet Storm Center, que dá diversas dicas para que empresas (os principais alvos de ataques desse tipo) defendam-se da vulnerabilidade.

Durante anos, arquivos do Word foram considerados perigosos devido à existência de vírus de macro. As novas versões do Office não são mais tão vulneráveis aos vírus de macro, mas falhas de segurança, como essa, mostram que qualquer tipo de arquivo pode conter código malicioso mesmo em um sistema completamente atualizado. Os worms de MSN brasileiros mais recentes, por exemplo, estão usando falhas no Internet Explorer para se aproveitarem da confiança do usuário em arquivos HTML.

A Microsoft deverá lançar um patch para a falha no dia 13 de junho, que será a segunda terça-feira do mês e portanto o próximo dia de atualizações no calendário de patches da Microsoft. Um boletim dará mais detalhes técnicos e informações sobre quais as versões do Word são afetadas.

Comments

Novo Blog para coisas pessoais

2006-05-29T00:03:49+02:00

Oi pessoal, criei um novo blog para coisas mais pessoal.
Será realmente o meu diário virtual.
Este aqui vocês encontrarão coisas mais profissionais.

Link: http://yeltsinlima.tblog.com/

Abraços,
Yeltsin Lima

Comments

Praga que rouba dados se espalha pelo Orkut

2006-05-28T23:34:22+02:00

Esta mensagem foi retirada do site Linha Defensiva:

Está circulando pelo Orkut uma praga que é capaz de enviar scraps (recados) automaticamente para todos os contatos da vítima na rede social, além de roubar senhas e contas bancárias de um micro infectado através da captura de teclas e cliques.

Apesar de que aqueles que receberem o recado precisam clicar em um link para se infectar, a relação de confiança existente entre os amigos aumenta muito a possibilidade de o usuário clicar sem desconfiar de que o link leva para um worm. A mensagem enviada é a seguinte:

Dá uma olhada nas fotos da nossa festa, ficaram ótimas. [link malicioso]

Ao clicar no link, um arquivo bem pequeno é baixado para o computador do usuário. Ele se encarrega de baixar e instalar o restante das partes da praga, que enviará a mensagem para todos os contatos do Orkut.

Além de simplesmente se espalhar usando a rede do Orkut, o vírus também rouba senhas de banco, em outras palavras, é um clássico Banker. Bankers são muito comuns no Brasil e chegaram em segundo lugar no top10 das pragas mais ativas em abril, de acordo com o que a Linha Defensiva observou no fórum.

É raro que um Banker inclua rotinas para se espalhar para outros sistemas, mas isso está ficando cada vez mais comum com as pragas que enviam mensagens pelo MSN e agora com este worm que envia automaticamente os recados para o Orkut.
Ferramenta de Remoção

Devido ao grande número de casos que foram avisados à Linha Defensiva, estamos disponibilizando uma ferramenta de remoção capaz de remover a praga do sistema. A ferramenta pode ser baixada através do seguinte link:

http://linhadefensiva.uol.com.br/dl/orkut-fotos-festa

Basta executar a ferramenta, confirmar sua execução pressionando qualquer tecla e esperar a mensagem dizendo que tudo ocorreu bem. Depois de terminar de executar a ferramenta, a pasta C:\LinhaDefensiva\ pode ser removida para terminar a limpeza do micro.

Para evitar infecções como essa, é recomendável que você jamais clique em um link enviado por qualquer meio, incluindo Orkut, MSN e e-mail, sem antes confirmar com o remetente que o mesmo enviou o link.

Assim como perfis no Orkut podem ser comprometidos, mensagens no MSN podem ser enviadas por vírus e, no caso de e-mail, o campo “De” das mensagens pode ser facilmente falsificado. É importante que você fique sempre alerta e desconfie para evitar infectar o seu computador.
Perguntas Freqüentes

Devido ao grande número de comentários, estamos publicando uma lista de perguntas freqüentes.

Como faço para saber se estou infectado?

No Windows XP ou 2000, aperte CTRL+SHIFT+ESC, vá na aba “Processos” e verifique se estão na lista um desses:

* msbcs.exe
* cmrss.exe (não confunda com verdadeiro “csrss.exe”)
* system32.exe (não confunda com o “System”)
* lsass32.exe (não confunda com o verdadeiro “lsass.exe”)

A ferramenta remove esses quatro arquivos. Se eles persistirem depois de você usar a ferramenta, veja o nosso fórum.

Usuários de Windows 98, 95 ou ME precisam do Process Explorer para verificar a presença desses processos.

Nota: Somente os dois primeiros arquivos são dessa infecção. Os outros dois são de outras variantes comuns de cavalos-de-tróia que roubam senhas de banco.
Depois de usar a ferramenta, posso usar meu banco com tranqüilidade?

É precisso lembrar que existem dezenas de outras pragas como essa que roubam as senhas de banco. A maioria delas não possui nenhum efeito visível, portanto não é possível percebê-las. Após se livrar dessa praga, é importante passar o seu antivírus no PC e trocar as suas senhas.

Se você não clicou em nenhum link duvidoso, seu PC está limpo, mas a ferramenta não poderá determinar isso.
Eu abri o link, vi que era um executável e cancelei. Estou infectado?

Não, mas é recomendável que você use o método descrito na primeira pergunta para confirmar..
O vírus funciona em um Mac? E Linux?

O vírus é um arquivo de Windows PE (Portable Executable) e não deve funcionar em um Mac ou Linux, sem o uso de um emulador ou máquina virtual.
Não cliquei em nenhum link, mas ainda enviam recados como se fosse eu.

Se sua senha do Orkut for fácil de ser descoberta é possível que ainda sejam enviados recados maliciosos para seus amigos. Além disso, diversas variantes dos Bankers também roubam senhas de Orkut para que os criminosos enviam os recados de forma manual, através de ferramentas de envio de scraps em massa. Em outras palavras, você pode estar infectado com outra praga, que não essa.

Comments

Yeyé Brasil

Encontrada falha no Microsoft Word

Novo Blog para coisas pessoais

Praga que rouba dados se espalha pelo Orkut