Fonte:
O CAIS vem acompanhando a propagação do worm Sober.I (descoberto em 19/11/2004) e detectou, através de diversas fontes, que sua atividade vem se intensificando consideravelmente nos últimos dias.
Trata-se de um worm do tipo "mass mailer", que envia mensagens em massa usando um mecanismo próprio de SMTP (Simple Mail Transfer Protocol). Para tal, coleta endereços de e-mail no sistema infectado, evitando alguns padrões de texto. Este padrão de proliferação explica o surto deste worm nos últimos dias.
Um aspecto importante do Sober.I para administradores de rede é o tamanho das mensagens geradas: de 79 a 80K, sendo que somente o binário do vírus (comprimido com UPX) tem cerca de 55K. Mensagens geradas pelo worm (incluindo bounces) podem causar um impacto considerável no enfileiramento e armazenamento das mensagens.
Trata-se de um worm do tipo "mass mailer", que envia mensagens em massa usando um mecanismo próprio de SMTP (Simple Mail Transfer Protocol). Para tal, coleta endereços de e-mail no sistema infectado, evitando alguns padrões de texto. Este padrão de proliferação explica o surto deste worm nos últimos dias.
Um aspecto importante do Sober.I para administradores de rede é o tamanho das mensagens geradas: de 79 a 80K, sendo que somente o binário do vírus (comprimido com UPX) tem cerca de 55K. Mensagens geradas pelo worm (incluindo bounces) podem causar um impacto considerável no enfileiramento e armazenamento das mensagens.
Sistemas afetados:
Microsoft Windows 2003
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows NT
Microsoft Windows ME
Microsoft Windows 98
Microsoft Windows 95
Correções disponíveis:
Os principais antivirus já possuem assinaturas para detectar o Sober.I.
Entretanto, é possível detectar este worm através de alguns padrões:
- O payload tem tamanho 56808 bytes, MD5 f32f4e04573e6bca231a259264075ee e é comprimido com UPX.
o início do arquivo binário do virus anexo à mensagem codificado em base64 é:
UEsDBAoAAAAAAOwEbTFbiToH6N0AAOjdAABPAAAAbWVzc2FnZV90ZXh0LnR4dCAgICAgICAgICAg
ou
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
- Atividade de rede na porta TCP/37 (serviço time) e resolução DNS para os seguintes hosts:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
ns1.interplanet.com.mx
- Utilizar Snort com regras Bleeding Snort, em especifico:
Bleeding Snort - bleeding-virus.rules
alert tcp $HOME_NET any -> $EXTERNAL_NET 37 (msg:"BLEEDING-EDGE Virus Possible Sober.j Outbound";
reference:url,vil.mcafeesecurity.com/vil/content/v_130130.htm;
classtype:trojan-activity; sid:2001542; rev:2;)
Mais informações:
Secunia - W32.Sober.I@mm
Handler's Diary November 25th 2004 - Sober.I is on the go
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
Entretanto, é possível detectar este worm através de alguns padrões:
- O payload tem tamanho 56808 bytes, MD5 f32f4e04573e6bca231a259264075ee e é comprimido com UPX.
o início do arquivo binário do virus anexo à mensagem codificado em base64 é:
UEsDBAoAAAAAAOwEbTFbiToH6N0AAOjdAABPAAAAbWVzc2FnZV90ZXh0LnR4dCAgICAgICAgICAg
ou
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
- Atividade de rede na porta TCP/37 (serviço time) e resolução DNS para os seguintes hosts:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
ns1.interplanet.com.mx
- Utilizar Snort com regras Bleeding Snort, em especifico:
Bleeding Snort - bleeding-virus.rules
alert tcp $HOME_NET any -> $EXTERNAL_NET 37 (msg:"BLEEDING-EDGE Virus Possible Sober.j Outbound";
reference:url,vil.mcafeesecurity.com/vil/content/v_130130.htm;
classtype:trojan-activity; sid:2001542; rev:2;)
Mais informações:
Secunia - W32.Sober.I@mm
Handler's Diary November 25th 2004 - Sober.I is on the go
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Nenhum comentário:
Postar um comentário