|
O novo worm Bofra, descoberto ontem e já com duas variantes detectadas, explora a mais recente vulnerabilidade do navegador Internet Explorer, reportada há menos de uma semana. O problema, considerado crítico e ainda sem correção, está no tratamento de atributos dos elementos "FRAME" e "IFRAME", utilizados em documentos no formato HTML e, se explorado com sucesso, permite a execução de códigos maléficos na máquina atingida.
As variantes A e B do Bofra utilizam-se de mensagens não solicitadas, contendo referências a imagens pornográficas ou informações sobre o serviço de pagamentos PayPal. O campo de assunto apresenta frases como "Hey", "funny photos :)" e "Confirmation", entre outras, e os textos indicam um link a ser acessado pelo usuário.
Após executado, o worm tenta fazer uma cópia de si mesmo para a pasta System32 ou Temp do Windows e cria uma entrada no registro do sistema para que entre em atividade sempre que o sistema for iniciado. A praga também vasculha o disco rígido da máquina em busca de endereços eletrônicos para os quais se enviar.
De acordo com a Sophos, assim que o usuário abre os e-mails e clica nos links oferecidos, é direcionado para um servidor Web que roda no computador do remetente. Este servidor contém um código malicioso que explora a vulnerabilidade do Internet Explorer e contamina com o Bofra o sistema da máquina visitante.
O worm então cria um novo servidor Web em cada computador infectado, procura por endereços de e-mail no HD da vítima e envia mensagens pela Internet para que possa dar continuidade ao ciclo e contaminar outros sistemas.
Algumas empresas antivírus classificaram o Bofra como variantes do MyDoom. Entretanto, a Sophos explica que "análises detalhadas revelam que existem mais diferenças do que semelhanças" entre os dois worms. "O Bofra espalha-se entre usuários de forma completamente diversa do MyDoom, que chega por meio de arquivos anexos", disse Graham Cluley, consultor-sênior de tecnologia da Sophos.
|
boletim
fóruns
fale conosco
Notícias
