Notícias » Ásia luta contra variações do vírus Blaster » Número de PCs infectados cresce 450% » Blaster pode tirar site da Microsoft do ar » Como se livrar do vírus Blaster » Vírus usa prefixo 'admin' para se propagar

Veja também: Sites Relacionados » Conheça o E-mail Protegido do Terra » Veja o tutorial do E-mail Protegido Terra » Saiba tudo sobre vírus e segurança » Confira a Cartilha de Segurança

Últimas sobre Vírus e Cia [an error occurred while processing this directive] Busca Saiba mais na Internet sobre: Download E-business Games Hacker Hardware Informática Internet Linux Macintosh MP3 Software Tecnologia Vírus Windows Faça sua pesquisa na Internet:

A falha afeta um protocolo usado pelo Windows, chamado Remote Procedure Call (RPC), que permite que um programa rodando em um computador execute códigos em outro sistema. Mais especificamente, o bug se encontra numa interface DCOM (Distributed Component Object Model) que utiliza algumas portas habilitadas pelo RPC. Ao explorar a brecha de segurança, um atacante é capaz de executar qualquer ação no sistema vulnerável, incluindo a possibilidade de instalar programas, ler ou apagar dados e criar contas com privilégios administrativos.

O Blaster infecta sistemas Windows 2000 e XP nos quais as correções de segurança fornecidas pela Microsoft não foram aplicadas. A contaminação se dá por meio de um arquivo de nome msblast.exe, de apenas 6.176 bytes. A partir de uma máquina comprometida, o worm examina blocos de IPs e, ao encontrar um sistema vulnerável, envia o arquivo msblast.exe, contaminando o sistema e usando-o como base para novos ataques. O envio do arquivo ocorre diretamente pela Internet, através da porta TCP 135, e não por e-mail.

O arquivo oculto cmd.exe é criado na máquina infectada, possibilitando que comandos remotos sejam executados no sistema, através da porta TCP 4444. O vírus também cria o valor "windows auto update"="msblast.exe" na chave de registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun. Dessa forma, ele será carregado toda vez que o Windows for reiniciado.

Outra característica do Blaster que chama a atenção é que ele está programado para lançar um ataque de negação de serviço contra o site de atualizações do Windows (www.windowsupdate.com). Tal ataque deverá ocorrer a partir do próximo sábado, dia 16 de agosto, e poderá se prolongar até 31 de dezembro. Após este período, os ataques recomeçam depois do dia 15 dos meses de janeiro a julho e voltam a ser contínuos após 15 de agosto.

O worm contém o seguinte texto, que permanece oculto em seu código:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
(Apenas quero dizer AMO VOCÊ SAN!! billy gates, por que você torna isto possível? Pare de fazer dinheiro e corrija seu software!!)

Desde a descoberta do worm, vários alertas foram lançados por empresas e organismos de segurança, entre eles, o CERT/CC, o SANS Institute, a ISS, as empresas antivírus e, no Brasil, o CAIS. A Symantec, que elevou o risco do Blaster para 4, numa escala que vai até 5, informa que já registrou mais de 1,8 mil submissões ao centro de respostas em todo o mundo relatando casos de infecção.

A Trend Micro também lançou um alerta amarelo (risco médio) devido à aparição do worm. De acordo com a empresa, os países mais atingidos pela praga forma Estados Unidos, Coréia e França. No Brasil a companhia também já detectou infecções, mas informa que estes números ainda não são elevados.

Crônica de um vírus anunciado

A aparição de um vírus como o Blaster já estava prevista desde o mês passado, quando foi divulgada a vulnerabilidade no RPC do Windows. Poucos dias depois, começaram a ser publicados na Internet exploits (programas) capazes de se aproveitar da brecha de segurança. Especialistas especulavam que a transformação de um desses exploits em um vírus seria tarefa banal. Foi o que ocorreu, pois as análises indicam que o Blaster possui componentes muito semelhantes a um exploit de nome dcom.c.

Na semana passada, já houve uma tentativa ? o Autorooter ? de se criar um vírus para a falha do Windows, mas como ele não possuía a capacidade de se espalhar por conta própria, foi classificado como um cavalo de Tróia. O problema maior em situações como esta é que muitas máquinas ainda estão vulneráveis. Apesar de a correção para a falha existir desde meados de julho, muitos administradores de sistemas e usuários domésticos simplesmente não atualizam os softwares instalados em seus computadores, mesmo com todos os alertas.