Demorou um mês, mas o worm "Conficker" e os bots "IRCBot.BH" que exploram a vulnerabilidade descrita no MS08-067 já são uma realidade... (inclusive no Brasil)...
25/10/2008:
O Trojan Gimmiv.A já está explorando a vulnerabildade recentemente corrigida pela Microsoft no "Server Service" do Windows.
Interessante notar que o trojan Gimmiv. A permite execução remota de código (via RCP-DCOM - a la Blaster de cinco anos atrás ... de volta ao passado?) .
Algumas coisas que p que o Gimmiv.A pode fazer:
- Identificar e desabilitar Anti-Vírus (Trend Micro, Symantec, BitDefender, Rising, Kaspersky, Kingsoft, Microsoft One Care, Jiangmin)
- Roubar usuario e senha do MSN Messenger
- Roubar usuario e senha do Outlook Express
- Roubar password salvos do Internet Explorer
- Roubar Cookies com tokens de autenticação
- Baixar qualquer arquivo que o atacante indique.
A falha de desenvolvimento que proporciona a vulnerabilidade está na mesma área de código do MS06-040 - segundo decompilação da função "sub_5B86A51B" da lib netapi32.dll do XP SP3 feita por Alexander Sotirov.
A SourceFire disponibilizou assinaturas para detectar ataques relacionados: baixe aqui.
Caso você ainda não tenha feito patch em seus Windows (Workstations E Servers): dê uma olhada neste post no Blog do time SWI da Microsoft. Em resumo, para XP,2000 e 2003, o risco é de execução remota de código.. para Vista e 2008 é (só) Denial of Service.. Lembra daquelas janelinhas de crash do DCOM com o Blaster...
Enquanto você não conseguir "patchear"todas suas máquinas, ao menos tente habilitar o Firewall e desabilitar - quando possível, o compartilhamento de arquivos/impressoras.. Dê uma olhada no link da SWI nas outras opções de remediação.
O pessoal da Threat Expert analisou o Gimmiv.A e ele baixa arquivos dos seguintes sites (vale a pena bloquear acesso à eles via FW/Controle de Conteúdo):
- http://summertime.1gokurimu.com
- http://perlbody.t35.com
- http://doradora.atzend.com
No comments:
Post a Comment