Notícias » Site que espalhou vírus Download.Ject foi fechado » Phishing scams podem usar falhas de sites

Últimas sobre Vírus e Cia » Acusado de matar por comentário em site é solto » McAfee alerta para mensagem falsa da VoxCards » Netsky.P é o vírus mais agressivo do mundo » Novo vírus usa fofocas de Hollywood como isca Busca Saiba mais na Internet sobre: Download E-business Games Hacker Hardware Informática Internet Linux Macintosh MP3 Software Tecnologia Vírus Windows Faça sua pesquisa na Internet:

Quando um usuário visita o site infectado utilizando o Internet Explorer, o javascript é enviado à sua máquina e executado. As instruções do javascript descarregam e executam, a partir de outro site da Internet, localizado na Rússia, um cavalo-de-tróia potencialmente perigoso.

Foram reportados diferentes executáveis. Todos estes cavalos-de-tróia incluem capturadores de teclado (keyloggers), servidores proxy e outras portas traseiras que dão ao atacante acesso total ao sistema infectado.

O código em javascript utiliza uma vulnerabilidade conhecida do Microsoft Internet Explorer para descargarregá-los e executá-los, sem que nenhuna advertência seja mostrada ao usuário. Este também não precisa clicar em nenhum link para infectar-se (exceto o primeiro, que o levou a visitar um site que poderia perfeitamente ser considerado seguro e que talvez visite todos os dias, mas que também foi infectado).

Para administradores de Web sites:

Se seu servidor está comprometido, você pode observar o seguinte:

• Todos os arquivos enviados pelo servidor Web incluem o javascript. Como o script é enviado como uma legenda global de pé de página (global footer), todos os arquivos irão agregá-lo, incluindo imagens e outros documentos, como arquivos robots.txt, etc.
• Os arquivos no servidor não são alterados. O javascript se inclui como uma legenda global de pé de página e é agregado pelo servidor quando o navegador os solicita.
• O "global footer" é posto em um novo arquivo.

A Microsoft publicou uma advertência sobre o tema, na qual explica que também são vulneráveis os usuários de Windows 2000 Server que utilizam IIS e que não tenham aplicado o patch 835732 para Windows, segundo se indica em um dos últimos boletins emitidos pela compahia (MS04-011). A Microsoft recomenda a estes usuários baixar e instalar o referido patch.

Para usuários domésticos:

Se você visitar um site infectado e seu navegador for afetado, tenha em conta o seguinte:

• Você poderá ver um erro relacionado com um javascript. Mas isso dependerá de como se tenha configurado o Internet Explorer. Leve em consideração que a infecção pode ocorrer mesmo sem esta mensagem.
• Desconecte seu sistema da rede assim que puder.
• Execute um antivírus atualizado (procure a última atualização disponível, tendo em conta que os fabricantes atualizaram seus produtos entre 25 e 26 de junho, pois uma base de dados com uma data anterior não detectará nada).
• Se você utiliza um firewall ou é capaz de controlar de algum modo o tráfego de seu PC em direção à Internet, talvez possa ver as tentativas de conexão com o endereço IP 217.107.218.147 através da porta 80. Recorde que, no caso do Windows XP, o firewall integrado só bloqueia o tráfego entrante, não o sainte, por isso recomendamos o ZoneAlarm ou outro similar.
• Não foram reportados até o momento outros endereços aos quais o cavalo-de-tróia tente se conectar, mas como tal site foi desativado os atacantes poderiam empregar os mesmos métodos utilizados até agora para implantar um novo script que aponte para novos endereços.
• A maioria dos fabricantes de antivírus detectam este script como "Scob", com diferentes variações em seu nome (Toofer, Download.Ject, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a).
• Uma das vulnerabilidades utilizadas (mas não todas), pode ser bloqueada baixando e instalando o seguinte patch (mesmo mencionando o Outlook Express, o patch corrige a falha para todos os demais componentes do Windows): MS04-013 - Patch cumulativo para Outlook Express (837009) (em espanhol)

Qual é o cenário do ataque?
Este ataque afeta Web sites rodando o servidor Microsoft Internet Information Server (IIS) versão 5. Por meio dele, são comprometidos os sistemas de usuários finais que utilizam Internet Explorer e visitan estes sites.

Esta é a primeira vez que tantos servidores na Internet foram comprometidos para atacar navegadores?
Não. O worm Nimda tentou o mesmo truque utilizando uma velha vulnerabilidade do Microsoft Internet Explorer. Outras tentativas também foram observadas no passado. Este ataque é especial porque afeta muitos servidores e não é facilmente perceptível.

Os sites afetados são "mutilados" ou alterados de alguma forma?
Não. Na maioria dos casos, os usuários e os navegadores "verão" os sites afetados como sempre. No entanto, o javascript infectado pode chegar a interferir com outro javascript na página respectiva.

O javascript que o servidor agrega às imagens também pode ser executado?
Não. O javascript agregado às imagens é inócuo. Só o código agregado aos arquivos HTML pode ser executado, forçando o navegador a conectar-se clandestinamente ao site de onde baixa o segundo cavalo-de-tróia.

Como se pode proteger um servidor de Internet desta infecção?
Aplique todos os patches necessários. Se você encontrar um servidor sem os últimos patches, deverá presumir que ele foi comprometido, mesmo sem ter visto sinais óbvios de um ataque. Dadas as circunstâncias atuais desta ameaça, é muito provável que um servidor sem os últimos patches possa ser atacado com êxito nas próximas horas.

Como se pode proteger os usuários para que não visitem estes sites? Foi publicada alguma lista? Deve-se evitar a navegação pela Internet?
Não foi publicada nenhuma lista de sites infectados. Os sites afetados foram alertados e a maioria agiu rapidamente para eliminar a infecção. No momento, não se conhece nenhum site que ainda tenha o script. No entanto, como este tipo de ataque tem muitas possibilidades de ser repetido utilizando um código javascript diferente, recomenda-se manter atualizado o software antivírus e desativar a opção de JavaScript de seu navegador.

Os usuários finais devem tomar a precaução de desabilitar a opção de executar scripts. Deve-se ter em conta que qualquer site, mesmo aqueles em que o usuário confie, pode ser afetado por este ataque e conter código potencialmente malicioso.

No site VSAntivirus recomenda-se enfaticamente a configuração sugerida no seguinte link, que previne a ativação de qualquer classe de script:

Configuração personalizada para tornar o IE mais seguro (em espanhol)

Fonte: The SANS Institute (System Administration, Networking, and Security Institute)

(José Luis Lopez é editor do site VSantivirus Texto publicado sob autorização. URL original: www.vsantivirus.com/faq-scob.htm. Tradução de Giordani Rodrigues.)