30/1/2004 - 13:19 Helena Nacinovic

Depois da SCO, agora é a vez da Microsoft oferecer uma recompensa pelo criador do worm MyDoom. A empresa está oferecendo US$ 250 mil para quem fornecer informações que levem à captura do criador do worm W32/MyDoom-B. O anúncio foi feito hoje e dá continuidade ao programa de recompensas da Microsoft, que já ofereceu prêmios semelhantes pela captura dos criadores do Blaster e Sobig.F.

O worm MyDoom.B foi criado, entre outras coisas, para realizar um ataque de negação de serviço contra o site da Microsoft nos EUA, "www.microsoft.com". A recompensa oferecida pela Microsoft pelo MyDoom.B também dá seqüência à recompensa de mesmo valor oferecida pelo SCO Group para a captura dos responsáveis pelo MyDoom.A, que está programado para fazer um ataque de negação de serviço contra o site "www.sco.com" e já é considerado o worm de disseminação mais rápida da história.

Segundo a Sophos Antivírus, parte do código do MyDoom.B pode conter uma pista para o rastreamento do criador da praga. A linha do código "sync-1.01; andy; I'm just doing my job, nothing personal, sorry" pode conter o nome do autor, mas a suspeita de que o criador do worm teria deixado essas informações como pistas falsas não foi descartada.

A empresa de segurança britânica mi2g afirma que os dois worms da família MyDoom continuam se espalhando com grande velocidade e não mostram sinais de diminuir o ritmo de disseminação. Ambos instalam backdoors, portas abertas nos computadores afetados, possibilitando a criação de milhares de máquinas "zumbis" que estariam sendo exploradas por atacantes de vários países, especialmente no Brasil, EUA e Alemanha, segundo a empresa. Os estragos causados pelo MyDoom já chegaram a um ponto tal que até o FBI está engajado numa investigação global para identificar os autores do vírus.

Leia também:

MyDoom.B: conheça mais sobre essa praga

Infecções pelo Mydoom cresceram mais de 3000% no Brasil

Nova versão do MyDoom ataca site da Microsoft

SCO oferece US$ 250 mil por criadores do MyDoom

MyDoom chega a 1,2 milhões de cópias

Vírus mais rápido de 2004 ataca site da SCO

29/1/2004 - 18:49 Redação InfoGuerra

O MyDoom.B, variante do worm MyDoom, que já é considerada a praga de disseminação mais rápida da história, está preocupando as empresas de segurança, devido ao seu potencial de impedir que os programas antivírus instalados nas máquinas afetadas sejam atualizados para reconhecer as duas variantes do worm.

Isto é feito substituindo-se o arquivo HOSTS presente no sistema por outro contendo uma lista de sites pertencentes a empresas antivírus, como "www.f-secure.com", "networkassociates.com" e "update.symantec.com" e a outos sites comerciais. A lista atribui a estes sites o endereço IP 0.0.0.0, tornando-os, assim, inacessíveis. A lista completa dos sites pode ser encontrada na página da Trend Micro com a descrição sobre o vírus.

A nova versão tem características muito semelhantes às do seu antecessor, mas tem um novo alvo para o ataque de negação de serviço: o site norte-americano da Microsoft. Apesar de algumas empresas antivírus afirmarem que o MyDoom.B está programado para atacar também o site da SCO, alvo da primeira versão do worm, o US-CERT, organização norte-americana de resposta a ameaças de segurança na Internet, afirma que a informação ainda não foi confirmada.

De acordo com o alerta da F-Secure, o MyDoom.B está programado para realizar um ataque de negação de serviço contra o site "www.microsoft.com" a partir do dia 3 de fevereiro às 11hs, horário de Brasília. Caso as informações da F-Secure sobre o suposto ataque de negação de serviço do MyDoom.B ao site "www.sco.com" estejam corretas, o worm vai se unir aos ataques planejados no código do MyDoom.A a partir do dia 1º de fevereiro, às 14hs.

Um conhecido site brasileiro de notícias de informática publicou hoje uma nota afirmando que o MyDoom.B tem capacidade de execução automática, isto é, não é necessário clicar no anexo para que ele se instale na máquina, bastaria abrir a mensagem. Mas esta informação também não é confirmada e aparentemente se trata de um mero boato.

O MyDoom.B se propaga por e-mail, como um arquivo anexo, ou pelo programa de troca de arquivos peer-to-peer (P2P) Kazaa. Por e-mail, o worm usa assuntos aleatórios, como: "Mail Transaction Failed", "Unable to deliver the message", "Status", "Delivery Error", "Mail Delivery System", "hello", "hi", "Error", "Server Report". O texto das mensagens também é aleatório e varia de acordo com o assunto, assim como os nomes dos anexos infectados. Os arquivos, no entanto, têm as seguintes extensões: .ZIP, .PIF, .EXE ou .SCR. No caso dos arquivos compactados num arquivo .ZIP, eles podem ter também as extensões .CMD e .BAT.

Na rede P2P do Kazaa, o worm busca pastas compartilhadas usando a chave de Registro HKEY_CURRENT_USER\Software\Kazaa\TransferDlDir0 para enviar uma cópia de si mesmo para máquinas vulneráveis. O MyDoom.B também pode ser disseminado em uma rede corporativa, gerando automaticamente um endereço IP falso e verificando a existência de máquinas conectadas para onde ele envia cópias de si mesmo.

Além dos ataques de negação de serviço, o novo worm também deixa uma porta de comunicação aberta nas máquinas infectadas, instalando o arquivo ctfmon.dll na pasta Windows\System. Inicialmente, o worm tenta utilizar a porta 1080. Caso ela esteja ocupada com operações legítimas, o MyDoom.B tenta usar as portas 3128, 80, 8080 ou 10080. Segundo o US-CERT, crackers já estão desenvolvendo ferramentas para se aproveitar dessa porta oculta (backdoor) nas máquinas infectadas e instalar códigos de sua escolha.

O MyDoom.B está agendado para finalizar suas rotinas maliciosas no dia primeiro de março deste ano.

Leia também:

Vírus mais rápido de 2004 ataca site da SCO

MyDoom chega a 1,2 milhões de cópias

SCO oferece US$ 250 mil por criadores do MyDoom

Infecções pelo Mydoom cresceram mais de 3000% no Brasil

28/1/2004 - 18:04 Redação/Divulgação

O número de infecções pelo worm MyDoom.A continua aumentando muito no Brasil e deve atingir um novo pico hoje, durante o horário comercial, segundo a empresa antivírus Trend Micro. A empresa informa que nas últimas 24 horas, o número de infecções pelo worm cresceu 3.133% no País.

De acordo com as estatísticas do serviço online World Tracking Center (WTC) da Trend Micro, na manhã de ontem (27/01), o Brasil estava em 9º lugar no Top 10 de países mais infectados. No final da tarde, chegou à 7ª colocação. Hoje pela manhã o País estava em 10º lugar, mas pode subir posições durante o dia, pois a atividade do Mydoom ainda é alta.

O Mydoom utiliza truques de engenharia social para enganar o internauta e conseguir se instalar no sistema. O worm chega por e-mail e os campos de assunto, corpo da mensagem e nome do arquivo anexo, que carrega o código malicioso, variam bastante. Em geral esse vírus chega como se fosse uma mensagem de erro de um servidor para o qual a pessoa teria enviado um e-mail, o que pode provocar a curiosidade do usuário e fazê-lo clicar no anexo, instalando o vírus.

A praga também usa a rede de compartilhamento de arquivos KaZaA para se distribuir. Outro perigo apresentado por ele é a instalação de um cavalo de tróia na máquina contaminada, o que permite o roubo de informações e a manipulação remota do sistema. Além disso, o Mydoom também tenta lançar um ataque DoS (negação de serviço) contra o site da SCO, empresa que trabalha com sistemas Unix e que entrou em choque com distribuições Linux no ano passado.

O Mydoom atinge sistemas rodando Windows 98, ME, NT, 2000 e XP e se dissemina com bastante eficiência. O worm está causando lentidão na Internet, congestionando as redes corporativas e, em alguns casos, chegando a "derrubá-las".
Os internautas que não estiverem com seu antivírus atualizado podem utilizar o serviço HouseCall da Trend Micro, ferramenta online e gratuita para verificar e remover vírus.

28/1/2004 - 17:05 Giordani Rodrigues

Acaba de ser descoberta uma nova versão do worm MyDoom, que desde segunda-feira vem causando estragos em todo o mundo devido à velocidade com que se propaga pela Internet. Batizado de MyDoom.B, a nova praga é bastante semelhante à primeira versão, mas ampliou seu espectro de ação ao incluir o site da Microsoft entre os alvos de ataques de negação de serviço, além do site da SCO, já visado no código do MyDoom.A.

De acordo com a empresa britânica mi2g, uma das primeiras a divulgar o alerta, é possível que o MyDoom.B esteja sendo disseminado por computadores infectados e transformados em “zumbis” pelo MyDoom.A, bem como através da rede de compartilhamento de arquivos KaZaA, como na versão anterior. “Isto pode transformar todo o episódio MyDoom numa série de eventos adversos muito mais infeliz”, afirma o comunicado da companhia.

Especialistas da empresa antivírus BitDefender concordam que o surgimento de uma nova variante do worm neste momento pode aumentar os problemas já causados até agora, pois a nova versão pode usar a base já instalada de máquinas infectadas para lançar novos ataques. Análises mais detalhadas ainda estão sendo feitas para determinar todas as características do worm, mas a BitDefender já lançou uma ferramenta de desinfecção automática do MyDoom.B, a qual pode ser encontrada aqui.

Leia também:

SCO oferece US$ 250 mil por criadores do MyDoom

MyDoom chega a 1,2 milhões de cópias

Vírus mais rápido de 2004 ataca site da SCO

28/1/2004 - 16:23 Helena Nacinovic

O Comitê Gestor da Internet vai permitir que os eleitores votem online para escolher os 11 novos membros do órgão, que está abrindo vagas pela primeira vez para representantes escolhidos pela sociedade civil. O Comitê, criado em maio de 1995, vai exigir que os eleitores usem certificados digitais da ICP-Brasil para votar, mas não exclui a possibilidade de haver votação tradicional, dando vez às pessoas que não usam esses certificados. Os detalhes da votação, no entanto, ainda estão sendo discutidos e serão divulgados num edital, que será publicado na segunda quinzena de fevereiro.

Atualmente, já estão estabelecidas algumas empresas que funcionam como Autoridades Certificadoras autorizadas pela ICP-Brasil a emitir certificados digitais juridicamente válidos no país. O e-CPF da Serasa, por exemplo, custa de R$ 100,00 a R$ 350,00, depenendo do tempo de validade e da forma de geração e armazenamento das chaves criptográficas. Já o e-CNPJ, da Serasa, varia de R$ 200,00 a R$ 400,00. Os mesmos documentos podem também ser adquiridos com a CertiSign, que tem preços equivalentes aos da Serasa.

Os candidatos poderão se inscrever a partir de abril e o resultado será divulgado até 31 de maio deste ano. O Comitê é composto por 21 membros e terá 11 vagas abertas para os candidatos. Dos dez membros não elegíveis, nove são indicados pelo governo federal e um pela diretoria do Fórum Nacional de Secretários Estaduais para Assuntos de Ciência e Tecnologia. Dos 11 novos membros, quatro serão representantes do setor empresarial, quatro do terceiro setor e três da comunidade científica e tecnológica. O processo de votação será supervisionado pelo Registro.br, instituição que controla o registro de domínios no Brasil, em conjunto com o ITI (Instituto Nacional de Tecnologia da Informação).

28/1/2004 - 15:39 Helena Nacinovic

A produtora de software SCO Group está oferecendo uma recompensa de US$ 250 mil (cerca de R$ 717 mil) para quem conseguir identificar os criadores do worm MyDoom, que já é o worm de disseminação mais rápida da história e visa derrubar o site da empresa. O anúncio foi feito ontem com o apoio do Serviço Secreto dos EUA e do FBI.

A praga está programada para deixar as máquinas infectadas prontas para executar um ataque de negação de serviço no site da SCO a partir do próximo dia 1º de fevereiro até o dia 12 do mesmo mês. Há suspeitas de que esse worm tenha sido criado por algum simpatizante da comunidade open source (programas com código-fonte aberto), já que a SCO está envolvida numa briga judicial com a IBM pelos direitos autorais de componentes do sistema operacional Linux. A SCO já foi vítima de vários ataques de negação de serviço em seu site no ano passado, mas esta parece ser a primeira vez em que os ataques são unidos à disseminação de vírus.

Bruce Perens, partidário da comunidade de software com código aberto, alertou os colegas que estão comemorando os ataques à SCO. Segundo Perens, que publicou um manifesto em sua página, os partidários de sistemas livres não devem ficar felizes com o efeito do worm nem demonstrar isso em fóruns pela Internet. Ele acredita que esse tipo de comportamento incentiva o argumento de que o worm foi criado com motivações políticas na briga da SCO contra a IBM e o GNU/Linux.

A idéia de oferecer recompensas, no entanto, não é original. A Microsoft ofereceu US$ 500 mil por informações sobre os criadores dos worms Blaster e Sobig no ano passado. Segundo a CNet.com, existem rumores de que a Microsoft também deve oferecer uma recompensa pelo criador do MyDoom, já que o worm está causando um significativo aumento no volume de tráfego de dado nas redes e afeta exclusivamente sistemas Windows. De acordo com o FBI, já houve respostas às recompensas, mas o órgão não especificou a quantidade ou relevância das informações obtidas.

O MyDoom está ativo desde a segunda-feira, dia 26. Segundo dados divulgados hoje pela MessageLabs, já foram detectadas mais de 2,2 milhões de mensagens contaminadas pelo worm em 206 países. No ritmo atual, a empresa tem encontrado um e-mail contaminado a cada 17 mensagens que analisa. A maior parte (40%) dos e-mails infectados está vindo agora dos EUA, em seguida do Reino Unido (22%) e da Austrália (5%).

Leia também:

MyDoom chega a 1,2 milhões de cópias

Vírus mais rápido de 2004 ataca site da SCO

Microsoft oferece US$ 500 mil por criadores de vírus

28/1/2004 - 15:24

A Livraria Tempo Real, especializada em livros de informática, anunciou ontem sua primeira promoção de 2004, com a qual está oferecendo descontos de até 50% para livros da editora Wrox, bem como de outras, como Microsoft Press, O´Reilly, A-Press e Sybex. Todos os livros são importados e estão com um dos três preços fixos: R$ 45,00, R$ 70,00 ou R$ 99,00. Os títulos abordam temas como Oracle, Java, ASP, .NET, Linux, entre outros.

A Tempo Real alertou que os títulos só terão os preços da promoção enquanto durarem os estoques, já que não haverá reposição nem importação de exemplares extras com o preço promocional. A promoção é válida para compras pela Internet e na loja da Tempo Real em São Paulo. A lista completa dos livros em promoção pode ser encontrada aqui.

27/1/2004 - 16:35 Helena Nacinovic

Suspeitas pela criação do worm recaem na comunidade open source

O worm W32/MyDoom-A já é a praga de disseminação mais rápida da história, segundo a MessageLabs. Desde ontem, dia 26 de janeiro, já foram interceptadas 1,2 milhões de cópias do worm em 168 países, numa média de 50 mil a 60 mil exemplares por hora. A taxa de infecção do worm chegou a 1 mensagem contaminada a cada 12 examinadas pela MessageLabs. O MyDoom já ultrapassou o SoBig.F, que chegou a 1 milhão de cópias nas primeiras 24 horas de sua descoberta, de acordo com as estatísticas da empresa.

Há especulações de que o worm MyDoom pode ter sido criado por um simpatizante do movimento de software open source (código aberto) para atacar a SCO, empresa de software, como forma de protesto contra a briga judicial da SCO por direitos autorais que afetam diretamente o sistema operacional Linux.

A suspeita foi levantada pela empresa antivírus Sophos, já que o worm está programado para executar um ataque de negação de serviço contra o site da SCO a partir do próximo dia primeiro de fevereiro até o dia 12 do mesmo mês. Apesar da data marcada para o ataque, o site da SCO esteve fora do ar desde ontem durante algumas horas, conforme relatos da NetCraft.

Leia também:

Vírus mais rápido de 2004 ataca site da SCO

27/1/2004 - 15:10

Nesta segunda-feira, os leitores do site de notícias sobre tecnologia da informação ITWeb tiveram uma surpresa ao se deparar com uma nota sobre uma nova promoção do serviço de acesso banda larga Speedy, da Telefônica. O texto afirmava que a operadora estava dando descontos de 99% nas mensalidades do serviço (que passariam de R$ 97,70 para R$ 1,99), que o modem estava sendo vendido por R$ 1,99 em 12 parcelas e que a promoção era uma homenagem aos 500 anos de descobrimento do Brasil, data ocorrida há quase quatro anos.

InfoGuerra foi alertado sobre a estranha notícia por um leitor e, depois de entrar em contato com a assessoria de imprensa da Telefônica e a repórter do ITWeb que publicou a nota, descobriu que o texto tinha ido ao ar originalmente de forma correta. Na verdade, os valores do texto foram alterados, aparentemente por vandalismo de algum cracker. Segundo o ITWeb, o departamento de tecnologia do site ainda está analisando o problema para descobrir exatamente o que aconteceu.

A promoção real do Speedy da Telefônica oferece um desconto de 39% nas três primeiras mensalidades, que passam de R$ 97,70 para R$ 59,90. O modem está sendo vendido por R$ 99,00 em doze parcelas sem juros, em vez dos R$ 250,00 normais. A promoção, batizada de Speedy 450 devido à velocidade de conexão do serviço, comemora, na verdade, o aniversário de 450 anos de São Paulo.

A versão falsa da notícia foi retirada do ar e substituída pela versão correta. Veja aqui uma cópia da página alterada.

27/1/2004 - 15:09

A Symantec anunciou nesta semana o lançamento de uma nova versão do Symantec Gateway Security, aparelho que une funções de firewall, prevenção contra invasões, detecção de intrusos, anti-spam, filtragem de conteúdo, Virtual Private Network (VPN) e antivírus. O Symantec Gateway Security é parte da segunda geração de equipamentos que podem ser integrados a uma rede corporativa de forma simplificada.

O equipamento tem como objetivo proteger a rede contra os tipos de ataques via Internet mais comuns, incluindo as ameaças combinadas, vírus e cavalos de Tróia com funções de backdoor e spam. É possível conectar e controlar centenas de unidades do Symantec Gateway Security em uma rede corporativa, de acordo com a necessidade da empresa. O lançamento também pode ser usado em conjunto com produtos de segurança de outros fornecedores.

A nova versão do equipamento é recomendada para redes corporativas de grande porte, de 100 até 5 mil usuários. O Symantec Gateway Security custa a partir de R$ 20 mil, dependendo da configuração, do número de usuários e dos softwares licenciados. É possível obter mais informações no Symantec Inside Sales, pelo telefone (11) 5189-6230.

27/1/2004 - 14:48 Giordani Rodrigues

No final da tarde desta segunda-feira, 26, foi descoberto um vírus de rápida propagação que já gerou alertas não só de empresas antivírus, mas também de empresas de segurança, como a ISS. Trata-se do worm W32/MyDoom-A ou W32.Novarg.A ou mesmo Mimail.R. A companhia britânica MessageLabs apresenta dados mostrando que já interceptou até hoje pela manhã nada menos que 270 mil cópias do worm , em 147 países. "Esta é certamente a primeira grande explosão de vírus de 2004", disse Mark Sunner, Chief Technology Officer da empresa.

De fato, a partir da noite de ontem a redação InfoGuerra começou a receber várias mensagens contaminadas pelo novo vírus, o que mostra que a praga já chegou ao Brasil. Um dos efeitos do MyDoom que mais chamam a atenção é que o código maléfico foi programado para lançar ataques de negação de serviço ao site da fabricante de software SCO, que angariou antipatia de muita gente depois dos processos contra o Linux por violação de direitos autorais. A Trend Micro informa que os ataques estão marcados para iniciar no dia primeiro de fevereiro e encerrar no dia 12 do mesmo mês, data em que também se encerra a maioria das rotinas do worm.

De acordo com a Sophos, que lançou um alerta “de emergência”, o worm também tem capacidade de instalar uma backdoor (porta oculta) no computador, que dá a usuários mal-intencionados acesso externo à máquina. Segundo a ISS, o MyDoom ainda instala no sistema um servidor proxy que transforma a máquina da vítima num meio para enviar spam, uma tendência de vários worms recentes.

MyDoom se espalha por e-mail e por pastas compartilhadas da rede de troca de arquivos KaZaA. As mensagens eletrônicas que o carregam, na forma de um anexo com diferentes extensões, têm assuntos e conteúdos também variados. Entre os assuntos que mais observamos nas mensagens contaminadas recebidas estão “Hello” e “Test”, com anexos de extensão .ZIP, principalmente. Já o corpo das mensagens trazia comumente frases como “The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.” (A mensagem não pode ser representada em codificação ASCII de 7 bits e foi enviada como um anexo binário.) e “The message contains Unicode characters and has been sent as a binary attachment.” (A mensagem contém caracteres Unicode e foi enviada como um anexo binário.)

Isto faz do MyDoom um worm diferente de outros vistos anteriormente, segundo Graham Cluley, consultor da Sophos. “Ele não tenta seduzir os usuários a abrir o anexo oferecendo fotos sexy de celebridades ou mensagens privadas, mas pode se passar por uma mensagem que soa como técnica, alegando que o corpo do e-mail foi posto num arquivo anexo”. Veja uma cópia de uma das mensagens recebidas por InfoGuerra:


Quando salvo no disco rígido, o anexo usado pelo MyDoom pode simular o ícone de um arquivo de texto, conforme se vê abaixo:


Ao ser executado, o anexo faz uma cópia de si mesmo na pasta System do Windows, com o nome de taskmon.exe, que também é o nome de um aplicativo legítimo do sistema. O worm descarrega ainda outro arquivo, chamado shimgapi.dll, uma backdoor que permite conexões externas pela porta TCP 3127. Além disso, são adicionados valores ao registro do Windows, para que o código maléfico seja executado toda vez que o sistema é iniciado. Para se enviar por e-mail, o MyDoom recolhe os endereços do destinatário e do remetente de vários arquivos presentes no sistema infectado, portanto, a origem das mensagens não corresponde necessariamente ao verdadeiro remetente.

O MyDoom está sendo considerado de risco médio a alto pelas empresas antivírus. A maior parte delas já atualizou suas definições de vírus para detectar a praga, por isso é importante que você atualize seu programa também, caso ele não tenha esta função automaticamente.

Leia também:

MyDoom chega a 1,2 milhões de cópias

26/1/2004 - 16:29

Nos últimos dias, InfoGuerra vem recebendo uma grande quantidade de e-mails infectados pelo worm Sober.C, e isso tem causado estranheza, já que a praga foi descoberta em dezembro do ano passado. As mensagens usam disfarces diferentes, que vão de confirmação de compras não existentes, alertas contra cavalos-de-Tróia supostamente encontrados na máquina da vítima e acusações de terrorismo. Todos os e-mails estimulam as vítimas a abrir o arquivo anexo, que também tem nome variável, e com isso infectar a máquina com o worm.

No falso aviso de confirmação de compra, está mencionado um débito no cartão de crédito da vítima de uma suposta compra no valor de US$ 239. Na realidade, o débito não acontece e o internauta é levado, por medo de pagar por algo que não comprou, a executar o arquivo anexo malicioso "yourregistration.txt.exe". A mensagem oferece também acesso a sites pornográficos, indicando que as senhas estariam armazenadas no arquivo anexo.

InfoGuerra analisou o arquivo anexo da mensagem da compra falsa com os serviços de análise McAfee WebImmune e com o Norton Antivirus. Ambos os serviços identificaram o código do arquivo "yourregistration.txt.exe" como o worm Sober.C. A praga não tem efeitos destrutivos diretos, mas seu objetivo é se espalhar rapidamente, enviando cópias de si mesmo automaticamente para os endereços de e-mail armazenados na máquina infectada e gerando aumento do volume de tráfego nas redes contaminadas.

A origem dos e-mails maliciosos também foi analisada. Aparentemente, as mensagens reproduzem no e-mail de remetente o nome do servidor do destinatário, como em "ThatAccount3097x@[nome do servidor da vítima].com.br". Analisando o cabeçalho completo das mensagens, foi possível rastrear IPs provenientes de um servidor na Itália.

O FBI (Federal Bureau of Investigation) alertou recentemente sobre um e-mail falso em nome do órgão, que usa como disfarce um aviso de investigação sobre o download de arquivos piratas e que "pode conter um vírus". Devido à grande semelhança com as mensagens de distribuição do Sober.C, que também usa um e-mail com o mesmo assunto ("Your IP was logged "), é possível que o arquivo anexo encontrado no e-mail falso do FBI seja o worm em questão.

A mensagem falsa diz que o IP da vítima foi identificado como responsável pelo download ilegal de filmes, músicas e software, acrescentando que a máquina em questão será confiscada. Veja a íntegra da mensagem:

Assunto: Your IP was logged
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law. We hereby inform you that your computer was scanned under the IP 194.68.121.126 . The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days, you'll get the charge in writing. In the Reference code: #53977, are all files, that we found on your computer.

The sender address of this mail was masked, to fend off mail bombs. - You get more detailed information by the Federal Bureau of Investigation -FBI- Department for "Illegal Internet Downloads", Room 7350 - 935 Pennsylvania Avenue Washington, DC 20535, USA
(202) 324-3000

Leia também:

Spam tenta atacar central telefônica da polícia britânica

26/1/2004 - 14:59

A Varig publicou em seu site e enviou para seus clientes cadastrados um alerta sobre um e-mail falso que está usando o nome do programa de "milhagem" Smiles para espalhar um arquivo malicioso, potencialmente um vírus. A mensagem fraudulenta está circulando com o assunto "Promoção Imperdível" e pede que os internautas atualizem seus dados usando o arquivo anexo, chamado de "Registro Smiles".

O texto da mensagem contém os característicos erros de ortografia e concordância gramatical cometidos por golpistas do gênero. A isca para atrair as vítimas é um suposto desconto de 50% em viagens nacionais e internacionais pela Varig. Na verdade, a promoção não existe e a Varig, em seu alerta, pediu que seus clientes tenham cuidado e desconfiem de qualquer correspondência que não seja clara e objetiva.

Veja aqui a íntegra da mensagem falsa:

"Promoção imperdivel
Caro(a) cliente, a Varig Smiles pensando mais uma vez em você, inova uma promoção inesquecível para todo o mundo! Receba seu cartão smiles, com 50% de desconto para viagens nacionais e internacionais com muito conforto, apenas clicando aqui e instalando nosso "Registro Smiles", Colocando seus dados. você recebera um e-mail de confirmação, e terá um prazo de 5 dias para receber seu cartão apos a confirmação do mesmo pelo telefone ."

26/1/2004 - 14:04

Uma nova versão do worm Dumaru está circulando pela Internet, causando preocupação devido à rapidez de disseminação e potencial de dano aos sistemas, já que o worm tem funções de backdoor e keylogger, isto é, possui capacidade de registrar os toques do teclado e enviar as informações para um usuário mal-intencionado. De acordo com um comunicado enviado neste final de semana pela empresa MessageLabs, mais de 5 mil cópias do worm já foram interceptadas em mensagens de e-mail, a maior parte proveniente do Reino Unido.

O Dumaru.Y é distribuído por e-mail, com um arquivo anexo chamado myphoto.zip. A mensagem, em inglês, é curta e avisa que o arquivo .zip anexo contém fotos, supostamente de uma mulher chamada "Elene". O assunto do e-mail é "Important information for you. Read it immediately !". Veja uma cópia da mensagem contaminada, abaixo:

24/1/2004 - 5:51 Giordani Rodrigues

Durante praticamente todo o dia de quinta-feira, 22, o ano oficial do Brasil passou a ser 2003, e o dia da semana, quarta-feira, de acordo com o servidor NTP (Network Time Protocol) do Observatório Nacional (ON), fornecido para que o público sincronize seus computadores com a hora oficial brasileira. A situação anômala não foi fruto de um bug no sistema, mas de um ataque feito por um usuário mal-intencionado, supostamente um cracker.

O problema da data atrasada foi inicialmente exposto na lista de discussão do GTER (Grupo de Trabalho de Engenharia e Operação de Redes) do Comitê Gestor da Internet no Brasil e nela própria o assunto foi esclarecido. O engenheiro Ivan Mourilhe Silva, da Divisão Serviço da Hora do ON, responsável pelas atividades de sincronismo, deu detalhes sobre o ocorrido, em uma mensagem enviada à lista, e também em contato com InfoGuerra, posteriormente, por e-mail.

Ele informa que desde o dia 18 as atividades no servidor se apresentaram anormais e a máquina teve de ser reinicida. Os ataques aparentemente foram do tipo negação de serviço, com 20 a 40 acessos por segundo e, de alguma forma que ainda precisa ser melhor investigada, o ano de 2004 foi alterado para 2003. De qualquer modo, o intruso parece ter explorado brechas na porta 123, usada pelo servidor NTP ― no caso do ON, um Red Hat Linux 7.1 2.96-79.

O IP do atacante foi registrado e leva a uma máquina da prefeitura de Belo Horizonte (que também pode ter sido comprometida para lançar o ataque). Silva descreve ainda a maratona de telefonemas para estabelecer contato com o responsável na prefeitura, sem sucesso.

O servidor NTP do ON já sofreu outros ataques antes, mas o engenheiro afirma que esta é a primeira vez que chega a essas conseqüências. A perda da data correta pode afetar os aplicativos que estão sincronizando o relógio com o servidor, mas as informações presentes no site atacado ― ntp.on.br ― são de uso público e geral e estão sujeitas a todos os tipos de ataque, explica Ivan Silva. "Para aplicações empresariais recomendamos o uso da ReSync/HLB, que usa protocolo completamente imune a ataques pela Internet, pois ele trafega por ligação telefônica de curta duração (30 s)", informa. "Com este sistema sincronizamos os mainframes do Serpro e do Bacen desde maio de 2002 sem problema nenhum".

A alteração da data do servidor só foi resolvida em torno de 23 horas do dia 22. Para ver uma cópia do site, feita de tarde e exibindo a data alterada, clique aqui.

23/1/2004 - 16:25 Helena Nacinovic

O Brasil foi incluído num pequeno bloco de países cujas atividades criminosas ― dentro e fora da Internet ― têm crescido, segundo a consultoria de segurança britânica mi2g. O bloco foi batizado de BRIC e é composto por Brasil, Rússia, Índia e China. As atividades desenvolvidas por sindicatos internacionais de criminosos presentes nestes países incluem: pirataria de DVDs, CDs e jogos nos países citados e em outros, fraudes de cartões de crédito, lavagem de dinheiro, tráfico de pessoas, fraude e extorsão via spam, golpes "phishing", ataques de negação de serviço, pornografia, tráfico de drogas e de pequenas armas.

Segundo a mi2g, a Recording Industry Association of America (RIAA) e a International Federation of the Phonographic Industry (IFPI) afirmam que esses crimes estão gerando prejuízos de US$ 85 a US$ 95 bilhões na indústria do entretenimento. O Brasil foi incluído no bloco de países devido à descoberta de um laboratório em São Paulo capaz de reproduzir cinco milhões de CDs por ano, o que levou à prisão de nove pessoas envolvidas na fábrica de produtos piratas. Foram encontrados 83 gravadores de CDs, 12 computadores e 12 mil CDs piratas, além de 3,6 mil CDs em branco.

Já na Rússia, foram encontrados mais de 50 mil números de cartões de crédito roubados, além de milhares de cartões de crédito sem nome. O confisco foi fruto de uma investigação conjunta das polícias do Reino Unido e a União Européia, que descobriu organizações criminosas voltadas para a pirataria de CDs e DVDs. A operação conjunta descobriu ainda que os criminosos usam o dinheiro da pirataria para organizar a fraude de cartões de crédito, venda de pornografia e a compra de armamentos. O número de pessoas presas, segundo a mi2g, não foi divulgado.

Na Índia, os problemas foram descobertos pela British Phonographic Industry (BPI), que encontrou uma linha de contrabando de CDs e DVDs piratas para o Reino Unido vindos do subcontinente. As investigações confirmaram vínculos com o Afeganistão e o Paquistão, mas não há detalhes de prisões ou confiscos de material. Na China, Hong Kong e Taiwan, o problema é semelhante ao da Índia. Esses países estão exportando para o Reino Unido DVDs piratas de filmes famosos, às vezes meses antes do seu lançamento nos cinemas. Os piratas também são acusados de participar do tráfico de pessoas da China para a Europa.

23/1/2004 - 13:41 Helena Nacinovic

A empresa dinamarquesa Aircom Erhverv ApS, que vende equipamentos de telecomunicações, recebeu uma multa de 400 mil coroas dinamarquesas (cerca de R$ 193 mil) por enviar spam. O tribunal da Dinamarca considerou a empresa culpada de enviar 15 mil mensagens comerciais não solicitadas via fax. A Dinamarca é um dos seis países europeus que já adotaram leis anti-spam com base nas diretivas aprovadas pela União Européia em 2003.

Segundo o The Register, as leis dinamarquesas permitem que os tribunais apliquem multas a empresas que enviam spam de até 10 mil coroas (cerca de R$ 5 mil) pelas primeiras 100 mensagens não solicitadas enviadas e mais 100 coroas (cerca de R$ 50) por cada mensagem que ultrapassar as 100 anteriores.

23/1/2004 - 11:35

Foram descobertos nesta semana dois problemas de segurança no Tcpdump, um programa para a monitoração de tráfego de dados em uma rede. Segundo a Security Tracker, as falhas acontecem devido à falta de determinadas verificações de código e podem permitir a realização de ataques de negação de serviço e, potencialmente, comprometer um sistema vulnerável.

As falhas acontecem na forma como o Tcpdump decodifica pacotes de dados ISAMKP, RADIUS e L2TP, podendo interromper o processo e permitir que um atacante apague rastros de suas atividades não autorizadas. Além disso, os bugs podem ser explorados por um atacante enviando um valor com o comprimento incorreto dentro de um pacote de dados vulnerável. Isso pode permitir também, caso o ataque tenha sucesso, a execução remota de código nos sistemas afetados.

As duas falhas já foram corrigidas e os patches estão disponíveis no sistema de atualização CVS (Concurrent Versions System).

22/1/2004 - 20:12 Helena Nacinovic

Várias versões de quatro dos mais populares antivírus do mundo, AntiVirus for Linux da Kaspersky Lab, InterScan Viruswall da Trend Micro, McAfee Virus Scan for Linux da Network Associates e AmaViS, para servidores de e-mail, ainda são vulneráveis a uma falha conhecida como "bzip2 bombs" (bombas de bzip2), conhecida desde a década de 90 e usada em ataques de negação de serviço. O problema foi identificado pela AERAsec, empresa de segurança alemã, e afeta o componente de descompressão de grandes arquivos bzip2.

O componente é usado pelos antivírus para detectar pragas em arquivos compactados, os quais precisam ser extraídos e depois verificados. Em geral, esses arquivos extraídos são armazenados temporariamente em um diretório específico para arquivos temporários, comumente chamado de TMP. A falha no bzip2 pode entupir a pasta de arquivos temporários, além de causar um grande aumento de uso da CPU e impedir o uso de outras funções de verificação de vírus. Isso deixa as máquinas afetadas muito lentas durante o processo de descompressão e pode até fazer o sistema travar.

A Trend Micro e a Kaspersky Lab já têm correções para o problema, e a McAfee disse estar trabalhando num patch. A equipe do antivírus AMaViS publicou um alerta sobre o problema, mas a correção ainda não está disponível. Segundo a AERAsec, é possível que outros produtos antivírus estejam vulneráveis à falha.

22/1/2004 - 19:04 Helena Nacinovic

A Microsoft anunciou o lançamento da nova versão 1.2 do Microsoft Baseline Security Analyzer (MBSA), ferramenta que identifica configurações incorretas ou desatualizadas e problemas de segurança no sistema operacional Windows e em vários aplicativos produzidos pela empresa. Com interface gráfica e de linha de comando, o MBSA roda em Windows 2000, XP e Server 2003 e busca erros comuns de configuração em programas e recursos importantes para quem utiliza Windows.

Os itens verificados são: Windows NT 4.0, 2000, XP, Server 2003, Internet Information Server (IIS), SQL Server, Internet Explorer, o conjunto Office, a configuração do Internet Connection Firewall, a configuração das atualizações automáticas e a configuração das zonas de navegação do Internet Explorer.

O MBSA também verifica se alguma correção de segurança está faltando nos seguintes programas: Windows NT 4.0, 2000, XP, Server 2003, IIS, SQL Server, Internet Explorer, Exchange Server, Windows Media Player, Microsoft Data Access Components (MDAC), MSXML, Microsoft Virtual Machine, Commerce Server, Content Management Server, BizTalk Server, Host Integration Server e o conjunto Office.

O MBSA está disponível para download no site da Microsoft em inglês, alemão, francês e japonês. A ferramenta é parte do programa de proteção estratégica de tecnologia da Microsoft.

21/1/2004 - 16:34 Helena Nacinovic

A Microsoft vai disponibilizar o código fonte do Windows para as autoridades da Espanha. O anúncio, feito nesta semana, dá continuidade ao programa de segurança de governos, o Government Security Program (GSP), da empresa de Redmond. O acordo foi feito com o Centro Nacional de Inteligencia (CNI) da Espanha, cujos especialistas terão permissão para ver o código fonte, a base do sistema operacional, além de terem acesso às informações técnicas necessárias para auditar as características de segurança do Windows.

O acordo com a Espanha segue o exemplo de acordo semelhantes com vários países, incluindo a Rússia, Noruega, Reino Unido e China. Segundo o site espanhol Hispasec, a iniciativa de criar o GSP surgiu da reticência de alguns governos em relação aos produtos Microsoft, já que o código é fechado e os programas são alvo da maioria dos criadores de vírus e outras pragas. Alguns governos expressaram dúvidas quanto a implantação de sistemas Microsoft e a intenção de migrar para sistemas com código aberto, como os sistemas GNU/Linux, gerando a resposta da Microsoft em janeiro de 2003, fazendo acordos com a Rússia e a OTAN.

O acesso ao código fonte do sistema operacional, no entanto, não é ilimitado. O sistema operacional da Microsoft continua a ser proprietário e não pode ser distribuído, modificado ou compilado por especialistas desses governos. Os participantes do acordo têm direito auditar e verificar a segurança dos programas, além de obter informações técnicas privilegiadas.

Veja aqui a íntegra (em espanhol) do anúncio da Microsoft.

21/1/2004 - 13:12 Helena Nacinovic

Uma notícia publicada no último dia 16 de janeiro pela agência de notícias Reuters está causando polêmica. Rob Rosenberger, editor do site VMyths.com, criticou a Reuters por "apresentar dados errados" ao publicar uma matéria que dizia: "Trend Micro estima que vírus causam prejuízo de 55 bilhões em 2003". Segundo Rosenberger, especialista em desmascarar boatos sobre vírus, representantes da Trend Micro o contactaram para desmentir os números citados na matéria, afirmando também que a empresa não tem como medir valores dos danos de vírus já que não coleta esse tipo de dados.

A repórter da Reuters de Cingapura, Jennifer Tan, citou dados de prejuízos de 55 bilhões, supostamente fornecidos pelo executivo da Trend Micro Lionel Phang. A matéria da Reuters, no entanto, não especifica em que moeda esse suposto prejuízo foi medido, nem como a Trend Micro teria chegado a este número.

Além de afirmar que os porta-vozes da Trend Micro fizeram questão de desmentir a informação, Rosenberger diz que já houve outros incidentes semelhantes envolvendo Lionel Phang. A matéria da Reuters continua acessível pela Internet e já foi copiada no mundo inteiro, em vários idiomas.

Rosenberger é conhecido por se opor ao alarmismo na imprensa especializada em segurança da informação e já expôs notícias e alertas incorretos ou quase fictícios sobre vírus e outras pragas da Internet. Em seu site Vmyths, ele critica toda a indústria de antivírus, sugerindo até mesmo que as empresas de segurança têm o hábito de fazer campanhas do chamado FUD (Fear, Uncertainty, Doubt - Medo, Incerteza e Dúvida), úteis em certas ocasiões para aumentar as vendas da indústria.

Leia também:

Antivírus - isso é piada?

20/1/2004 - 16:33 Helena Nacinovic

O jovem romeno acusado de criar uma variante do worm Blaster, preso em setembro de 2003, vai enfrentar julgamento nesta semana. Dan Dumitru Ciobanu, de 26 anos, é acusado de infectar 27 computadores da intranet da Universidade Técnica "Gh. Asachi" com a praga. Segundo as autoridades romenas, o jovem pode ser condenado a uma pena de três a quinze anos de prisão por posse ilegal de um programa e interferir em um sistema de computadores.

Ciobanu foi preso com base em informações coletadas pela polícia em conjunto com os pesquisadores da BitDefender, empresa romena de segurança da informação. O gerente de comunicação da BitDefender, Mihai Radu, declarou que os jovens interessados em brincar de criar vírus devem se lembrar de que vírus de computadores não são jogos e causam danos a pessoas e propriedades.

Jeffrey Lee Parson, um jovem norte-americano de 18 anos acusado de ter criado uma outra variante do Blaster, também poderá ser condenado a uma pena de até dez anos de prisão e multa de até US$ 250 mil (cerca de R$ 750 mil).

Leia também:

Preso o autor de nova versão do Blaster

Vírus explora falha recente do Windows

19/1/2004 - 23:18 Redação InfoGuerra

Módulo Security, Microsoft e Embratel vão realizar um evento sobre gestão de riscos e segurança da informação que promete ser o primeiro do gênero no Brasil. O "Executive Meeting" vai acontecer de 12 a 15 de março, a bordo do navio Island Escape, e pretende reunir representantes de bancos, instituições governamentais, indústrias e empresas de telecomunicações.

O objetivo é discutir o impacto gerado pelas novas leis de segurança da informação nessas empresas, além de falar sobre o futuro da segurança da informação no mundo. O evento vai contar com a presença de palestrantes como o cronista corporativo Max Gehringer, além de abordar temas como a nova responsabilidade civil dos gestores de TI e segurança da informação, a estrutura da segurança da informação no Governo Federal e o futuro da certificação digital.

Além de palestras, o Executive Meeting vai oferecer exposições e workshops divididos por segmentos. O navio vai sair do porto de Santos, viajar até Florianópolis e voltar a Santos para o desembarque. As inscrições estão abertas e é possível obter informações detalhadas no site do evento.

19/1/2004 - 16:26 Helena Nacinovic

O novo worm W32/Bagle-mm está causando preocupação entre as principais empresas antivírus por se espalhar com grande rapidez. O Bagle começou a circular em grande volume ontem, dia 18, e a primeira cópia interceptada pela MessageLabs veio da Alemanha. Desde então, a empresa já interceptou mais de 80 mil cópias do worm, vindas principalmente de fontes da Austrália, Reino Unido e Hong Kong. Também já foram detectadas mensagens infectadas no Brasil.

Considerado de alto risco pela F-Secure e de médio risco pela Trend Micro, o Bagle é distribuído em um e-mail com um arquivo executável anexado. A mensagem, que tem o assunto "Hi" ("Oi" em inglês), simula ser algum teste e apresenta o seguinte texto:

Test =)
[conjunto aleatório de letras]
―
Test, yep.

Veja aqui uma cópia da mensagem maliciosa.

O nome do arquivo anexo é sempre uma seqüência aleatória de letras, que varia em cada cópia, mas o arquivo em si sempre tem 15.872 bytes de tamanho. Quando é executado pelo usuário, o Bagle busca endereços de e-mail armazenados na máquina em arquivos com extensões WAB, HTM, HTML e TXT. Em seguida, o worm envia cópias de si mesmo para esses endereços usando um mecanismo Simple Mail Transfer Protocol (SMTP) próprio.

O Bagle verifica se o computador está com a data de 28 de Janeiro de 2004, ou posterior. Se for a data mencionada, o vírus interrompe sua ação. Caso contrário, executa a calculadora padrão do Windows (CALC.EXE) enquanto cria uma cópia de si mesmo no diretório System da pasta Windows como bbeagle.exe. Além disso, a praga cria uma chave de registro para ser carregada a cada inicialização do sistema.

Segundo o alerta da Trend Micro, o Bagle parece evitar enviar e-mails infectados para endereços de e-mail da Microsoft, seja com terminações "@microsoft", "@hotmail.com" ou "@msn.com". Outra seqüência de endereços evitada pelo Bagle é "@avp". O domínio avp.ru pertence à empresa antivírus russa Kaspersky.

De acordo com a Panda Software, o aparente objetivo do worm é apenas se espalhar de forma rápida criando cópias automáticas de si mesmo. Esse comportamento pode congestionar as redes devido ao excesso de dados trafegando simultaneamente. O worm não parece causar nenhum dano às máquinas infectadas, mas os alertas emitidos pela Trend Micro e McAfee afirmam que, dependendo do sistema infectado, o worm pode dar ao seu criador acesso remoto às máquinas infectadas.

Além disso, o Bagle tenta acessar alguns sites, como "http://www.elrasshop.de/1.php" e "http://www.it-msc.de.de/1.php" usando a porta de comunicações 6667, aparentemente procurando atualizações de seu próprio código. A lista completa dos sites está disponível na página do site VSAntivirus.

16/1/2004 - 17:34 Helena Nacinovic

Os golpes por e-mail que usam bancos como isca e se aproveitam de uma falha no Internet Explorer têm proliferado nos últimos dias pelo mundo, segundo um alerta da Panda Antivírus internacional. As mensagens fraudulentas que se disfarçam de comunicados de bancos como o Citibank ou o Barclays foram apelidadas de "phishing scam", um trocadilho com a palavra "fishing" (pescar em inglês), por serem golpes (scam) que "pescam" internautas desavisados. No Brasil, um golpe que explorava esta mesma falha já havia sido detectado no último dia 7.

Em geral, os textos das mensagens têm conteúdo bem semelhante entre si, alertando os internautas sobre problemas técnicos ou de segurança que requerem um suposto recadastramento dos dados confidenciais. Desta forma, o internauta é redirecionado para um site falso, que normalmente clona a aparência dos sites oficiais dos bancos. Na página, a pessoa é instruída a fornecer senhas, informações de identidade e dados de cartão de crédito.

Os golpes foram criados para explorar a vulnerabilidade URLSpoof do Internet Explorer, que permite manipular o endereço exibido na barra de endereços do navegador, levando os internautas a acreditar que estão acessando os sites legítimos dos bancos. Na realidade, o site é um clone da página verdadeira, acessado desta forma através de um link manipulado com código DHTML (Dinamic HTML). A vulnerabilidade, que foi descoberta no final do ano passado, ainda não foi corrigida pela Microsoft. A empresa, no entanto, está instruindo seus usuários sobre o perigo de e-mails falsos na Internet.

Para contornar o problema, os usuários devem ter muito cuidado ao receber e-mails de bancos que solicitam informações. Antes de fornecê-las, é recomendável entrar em contato com o banco para confirmar a autenticidade da mensagem. Também é preciso ter cuidado ao seguir links de sites não confiáveis, sendo preferível digitar o endereço na barra de URL.

Leia também:

Microsoft lança os primeiros boletins de segurança do ano

Golpes por e-mail aumentaram em 2003

Golpe por e-mail tenta explorar novo bug do IE

16/1/2004 - 16:23 Helena Nacinovic

A Symantec e a Microsoft alertaram hoje para um novo e-mail falso que está circulando em português pela Internet, numa tentativa de enganar os usuários do antivírus Norton e induzi-los a instalar um cavalo de Tróia em suas máquinas. As duas empresas lançaram um anúncio conjunto frisando que não têm serviços de comunicação via e-mail com seus clientes e, especificamente, não enviam e-mails com links para instalação ou atualização de programas.

InfoGuerra conseguiu uma cópia da mensagem fraudulenta, que tem o assunto "atualize seu norton!!!!!!". O texto é curto e simples, instruindo as vítimas a "proteger" seus computadores com antivírus e oferecendo um link para uma suposta atualização do Norton Antivírus, um dos mais conhecidos produtos de segurança da Symantec. Veja uma cópia do e-mail aqui.

O link, colocado em http://galeon.com/form10/instalar.exe, ainda estava no ar no momento em que essa matéria estava sendo escrita. O arquivo foi baixado e enviado para análise pelo serviço Webimmune, da McAfee, e pelo antivírus AVG. O software da McAfee não detectou nenhum programa maléfico. Uma análise posterior, feita por um engenheiro da empresa, também não detectou nada de anormal com o arquivo, mas o AVG atualizado indicou que o arquivo instalar.exe contém um cavalo de Tróia de nome IRC/BackDoor.SdBot.AE.

Segundo a descrição da Symantec, o Backdoor.Sdbot pode ser usado pelo seu autor para controlar computadores pelo serviço de bate-papo Internet Relay Chat (IRC), na porta 6667, o padrão do programa. O trojan, que só atinge o sistema operacional Windows, também é capaz de se atualizar automaticamente e permite que um atacante realize diversas ações na máquina atingida.

No alerta conjunto, a Microsoft e a Symantec declararam seu compromisso com a segurança de seus usuários, recomendando que os internautas desconfiem de e-mails com anexos e links para downloads de promoções ou atualizações de programas. As empresas também recomendam o uso de firewalls pessoais e antivírus atualizados.

Golpe usa definições de vírus como isca

InfoGuerra recebeu hoje um outro golpe por e-mail que também usa como disfarce banners de uma empresa antivírus, a McAfee. O e-mail chega com o assunto "MAIS DE 10000 DEFINIÇÕES DE VÍRUS", dizendo ser fruto de uma parceria entre o provedor iG e algo chamado de "alstecologia". A mensagem está cheia de erros de português, como "TRUCKES" no lugar de "Truques", um traço característico de golpistas e outros criminosos da Internet. O texto oferece supostas informações complementares sobre vírus para o antivírus da McAfee, além de um suposto download "grátis" do programa.

O link incluído na mensagem, "http://www.gratisweb.com/segurity1/McAfee.exe", leva ao download do arquivo McAfee.exe, que ainda está disponível online. Para completar o disfarce, a mensagem inclui links para sair da lista de "boletins" do iG. Ao clicar no link, no entanto, o internauta é novamente direcionado para o arquivo executável malicioso. Veja aqui uma cópia do e-mail falso.

15/1/2004 - 17:35

A Aker Security Solutions, empresa de segurança da informação, anunciou hoje o lançamento de um programa para treinar universitários em segurança de redes. O Aker University vai abordar temas básicos sobre segurança em redes e vai se concentrar especificamente do firewall da Aker. O programa oferece descontos para universitários, que só pagam os custos do treinamento. Segundo o anúncio da empresa, um curso de R$ 1.500 custará para os estudantes cerca de R$ 200.

Os pré-requisitos para entrar no programa são ter conhecimento básico sobre redes, protocolo TCP/IP, noções de aplicativos de uso em redes e de roteamento. As aulas são oferecidas apenas para administradores de rede, equipes de suporte, estudantes e profissionais da área de segurança da informação de Brasília. O início das aulas acontece em 26 de janeiro e a empresa espera poder oferecer o curso em São Paulo em breve, mas ainda não tem data marcada.

Os interessados podem obter mais informações e instruções de inscrição no site da Aker.

15/1/2004 - 15:34 Helena Nacinovic

Os programas de videoconferência e telefonia via IP podem conter diversas falhas na implementação do protocolo de telefonia multimídia H.323, segundo um relatório do CERT divulgado na última quarta-feira. O problema, relatado pelo National Infrastructure Security Co-ordination Centre (NISCC) do Reino Unido, afeta uma grande variedade de equipamentos de redes, incluindo equipamentos que usam voz sobre IP e fazem videoconferências. O H.323 é um protocolo padrão internacional, criado pelo International Telecommunications Union para facilitar a comunicação entre sistemas multimídia e de telefonia.

Durante um teste feito pelo NISCC, foram descobertas vulnerabilidades em várias implementações do protocolo H.323 e, especificamente, no sub-protocolo de configuração de conexão H.255.0. A Cisco, Microsoft e Nortel, entre outros fabricantes, têm produtos afetados pelas falhas, que permitem que um atacante execute código arbitrário ou faça ataques de negação de serviço com os equipamentos vulneráveis.

No alerta do CERT, existe uma lista completa dos fabricantes afetados, com links para as correções já disponíveis. Os administradores de rede são aconselhados a aplicar filtros para bloquear o acesso aos serviços H.323 como forma de contornar temporariamente o problema. Mesmo assim, essa solução pode ser complicada de implementar já que os firewalls podem ficar vulneráveis a ataques com pacotes de dados H.323. No caso específico da Microsoft, o problema já foi corrigido no boletim MS04-001, relativo à vulnerabilidade no servidor Microsoft Internet Security and Acceleration Server 2000 com o filtro H.323 ativado.

Para ver o relatório original do NISCC, clique aqui. Para ver o relatório do CERT com a lista da fabricantes afetados, clique aqui.

Leia também:

Microsoft lança os primeiros boletins de segurança do ano

15/1/2004 - 14:11 Helena Nacinovic

A Microsoft disponibilizou nesta semana o conjunto de correções de segurança de janeiro, depois de dois meses sem novos patches, mas os três novos boletins de segurança não incluem correções para os problemas encontrados no Internet Explorer em novembro e dezembro. Publicados no dia 13 de janeiro, os boletins MS04-001, MS04-002 e MS04-003 corrigem problemas no Microsoft ISA Server, no Microsoft Exchange Server e na função MDAC.

O boletim MS04-001 foi considerado "crítico" pela Microsoft e oferece um patch para uma vulnerabilidade no Internet Security and Acceleration (ISA) Server, que permite a execução de código arbitrário nas máquinas afetadas. O ISA é um firewall e servidor de cache Web para empresas, e o problema atinge o Microsoft Internet Security and Acceleration Server 2000. Um atacante pode assumir o controle do sistema vulnerável usando um estouro de buffer no filtro H.323, ativado por padrão nos servidores ISA.

O boletim MS04-002 trata de uma falha considerada "moderada" no Exchange Server 2003, que pode ser usada para elevar privilégios de usuários nos sistemas afetados. Apenas a versão 2003 está vulnerável e o problema acontece na reutilização de conexões do protocolo HTTP em conjunto com a autenticação NTLM. As caixas postais dos usuários que acessam seu e-mail via Exchange 2003 podem ser trocadas de forma randômica. Segundo a Microsoft, é impossível para um atacante determinar a caixa postal em que vai "cair" caso tente se aproveitar deste problema.

Já o boletim MS04-003, classificado como "importante", corrige um problema de estouro de buffer na função MDAC (Microsoft Data Access Components), um conjunto de componentes usados para fazer várias operações em bancos de dados, como a comunicação entre bancos de dados. O problema permite que um atacante obtenha privilégios de administrador e execute código arbitrário nos sistemas afetados (Windows 2000 com Microsoft Data Access Components 2.5, SQL Server 2000 com Data Access Components 2.6, Windows XP com Data Access Components 2.7 e Windows Server 2003 com Data Access Components 2.8).

No mês de dezembro, a Microsoft interrompeu seu sistema de correções de segurança mensais e não publicou nenhum boletim. Durante o intervalo, cerca de 15 vulnerabilidades foram descobertas ou re-exploradas de novas formas.

13/1/2004 - 18:32 Helena Nacinovic

A Open Communications Security, empresa brasileira de segurança da informação, anunciou recentemente o lançamento de um novo programa de proteção para informações digitadas por usuários de bancos online, o Secure Keyboard. Segundo Luiz Eduardo Santos, gerente de pesquisa e desenvolvimento da Open, o Secure Keyboard é um componente ActiveX, suplemento que funciona junto com o navegador do internauta, que protege as senhas de acesso e confirmação de transações nos bancos online.

O objetivo da Open é impedir que keyloggers e screenloggers consigam registrar e furtar as informações confidenciais digitadas e/ou clicadas pelo usuário. Segundo a empresa, os teclados virtuais existentes na maioria dos bancos online hoje são frágeis e podem ser inúteis contra alguns dos cavalos-de-Tróia que instalam programas espiões para coletar informações pessoais inseridas com o mouse.

Santos frisou que o Secure Keyboard oferece maior proteção e mantém a entrada de dados pelo teclado físico, agindo na camada de mensagens do Windows e gerando sinais aleatórios de teclas pressionadas. Esse embaralhamento de informações é criado para proteger os clientes do banco de fraudes e furto de informações. O Secure Keyboard também pode ser adaptado para uso em teclados virtuais, além de ter duas outras versões que protegem os bancos de possíveis futuros ataques via drivers do Windows, arquivos que instalam hardware no sistema operacional. Apesar desses ataques ainda não serem realidade, a Open oferece "secure drivers" contra eles, usando assinaturas e autenticações digitais verificadas com protocolos confiáveis.

O Secure Keyboard está disponível para instituições financeiras, que podem obter mais informações no site da Open Communications Security.

13/1/2004 - 17:56 Helena Nacinovic

Uma falha no programa LiveUpdate da Symantec, que faz o download e instalação de informações de vírus novos para o antivírus Norton, foi descoberta nesta semana. O bug permite que usuários locais obtenham privilégios de administradores da máquina afetada e, desta forma, tenham acesso a configurações e arquivos restritos.

O bug foi classificado pela Secure Network Operations como crítico e afeta máquinas que usem o Windows 2000, 2003 e XP com o Symantec LiveUpdate versão 1.70.x até 1.90.x, presente nos seguintes produtos antivírus: Norton SystemWorks 2001-2004, Norton AntiVirus (e versão Pro) 2001-2004, Norton Internet Security (e versão Pro) 2001-2004 e Symantec AntiVirus for Handhelds v3.0. A Secure Network Operations frisou que apenas produtos para varejo estão sujeitos a esse problema, já que os produtos Symantec Enterprise não possuem o LiveUpdate automático.

Para explorar a vulnerabilidade, o atacante precisa fazer o login na máquina como usuário sem privilégios e escolher baixar as atualizações disponíveis do LiveUpdate. Usando uma janela de ajuda, o atacante pode abrir um prompt do arquivo cmd.exe com privilégios de administrador.

A Symantec já criou correções para o problema, que podem ser instaladas usando o próprio LiveUpdate.

13/1/2004 - 11:54 Redação InfoGuerra

O jornalista Giordani Rodrigues, editor do site InfoGuerra, estará concedendo uma entrevista ao vivo, hoje, às 19 horas, para o programa "Com a Palavra", da TV Paraná Educativa. A entrevista irá tratar sobre segurança e crimes praticados pela Internet. Também está prevista a participação do procurador federal Adel El Tasse.

12/1/2004 - 19:25 Helena Nacinovic

Uma nova vulnerabilidade foi encontrada no Yahoo! Instant Messenger, programa de troca de mensagens instantâneas. O problema atinge as versões 5.6.0.1351 e anteriores do software, permitindo que um atacante utilize a brecha para executar código arbitrário nas máquinas afetadas.

A brecha, descoberta pela empresa SentryUnion, causa um estouro de buffer (memória temporária) quando o Yahoo! Messenger tenta fazer o download de um arquivo que tem um nome longo. A vulnerabilidade pode ser usada para lançar ataques de negação de serviço, "travando" o Messenger, além de execução de código.

O problema aparentemente já foi corrigido na nova versão 5.6.0.1358, disponível no site do software. Segundo o alerta divulgado pelo pesquisador Tri Huynh, da SentryUnion, o Yahoo! forneceu a nova versão, mas não avisou seus usuários sobre o problema e não disponibilizou uma correção para as versões antigas do software. Quem tiver versões afetadas instaladas deve reinstalar completamente o produto.

Leia também:

Falha no Yahoo Messenger permite instalar programas maléficos

12/1/2004 - 18:56 Helena Nacinovic

Uma pesquisa da empresa de segurança MX Logic confirmou que uma proporção mínima dos e-mails comerciais não solicitados que entopem caixas postais do mundo inteiro se encaixam na nova lei anti-spam aprovada pelo governo dos EUA.

A MX Logic examinou mil amostras de spam comercial, recebidas durante a primeira semana do ano. Das mil mensagens, apenas três obedeciam à nova lei, chamada de CAN-SPAM (Controlling the Assault of Non-Solicited Pornography and Marketing).

Segundo o site The Register, muitas das mensagens fora da lei pareciam ser de empresas legítimas e não apenas e-mails fraudulentos ou maliciosos. Quando a CAN-SPAM foi aprovada, muitos críticos alertaram que o problema do spam não envolvia apenas empresas verdadeiras, mas também autores de vírus e worms, além de negócios ilegais. Além disso, a questão de policiamento dos spams "legais" não foi especificada na lei, o que parece estar influenciando a decisão das empresas de não adotá-la.

A MX Logic realçou, no entanto, que as empresas não tiveram tempo hábil para implementar as novas regras, já que a lei foi assinada pelo presidente George W. Bush em 16 de dezembro, entrando em vigor no dia 1 de janeiro de 2004. Essa explicação não está agradando os grupos anti-spam presentes da web, que continuam a afirmar que a lei vai piorar o problema de spam, em vez de solucioná-lo.

A lei americana adotou o método "opt-out" para regulamentar as mensagens não solicitadas, o que significa que existe a possibilidade de criação de uma lista de e-mails de pessoas que não querem receber nenhum e-mail comercial não solicitado. Os críticos alegam que, além do policiamento ser difícil e caro, o sistema é conceitualmente falho já que presume que as empresas têm direito de enviar spam caso o destinatário não tenha se manifestado sobre a questão. A Comunidade Européia, por exemplo, adotou o sistema oposto de "opt-in" que presume que ninguém quer receber spam a menos que inclua seu e-mail numa lista de pessoas que desejam receber essas mensagens.

Outros problemas apontados na lei americana é a falta de definição quanto à forma de identificação de e-mails como "spam legal". O "Código de Ética Anti-Spam", que está em vias de ser introduzido no Brasil por uma organização de empresas batizada de BrasilAntiSpam.org, é parecido com a lei dos EUA e também está sofrendo pesadas críticas da parte de internautas e ativistas anti-spam brasileiros.

De acordo com o site The Register, mais de 50% dos e-mails que circulam pela Internet são spam, o que cria problemas de consumo de banda, perda de produtividade, disseminação de vírus, maiores custos de infra-estrutura de TI e armazenamento de dados.

Leia também:

A bandeira anti-spam está ficando pesada demais

Lei anti-spam dos EUA provoca polêmica e críticas

12/1/2004 - 17:28 Helena Nacinovic

O número de incidentes de segurança relatados ao NBSO (Grupo de Resposta a Incidentes para a Internet Brasileira) aumentou mais de 100% em 2003, em relação ao ano anterior, segundo as estatísticas divulgadas pelo grupo na última semana. Foram 54.607 notificações no ano passado, contra 25.092 em 2002. De setembro a dezembro, as denúncias de tentativas de ataques e golpes aumentaram de uma média de 3.600 por mês no trimestre anterior para uma média de 6.500 no período.

Os worms foram responsáveis por 60% das notificações recebidas em todo o ano passado pelo grupo, que notou um aumento acentuado nas denúncias de fraudes via Internet. Segundo o anúncio oficial do NBSO, isso aconteceu devido à divulgação do problema na mídia e às prisões feitas pela polícia relacionadas a golpes online no trimestre final do ano. No mês de dezembro, o NBSO recebeu 203 denúncias de fraudes, quatro vezes mais do que a média dos outros meses do ano, que não ultrapassou 50 fraudes por mês.

Os ataques de scan de portas, que tentam encontrar portas de comunicação vulneráveis em máquinas conectadas a redes, também tiveram presença expressiva em 2003, representando 34% dos relatos ao NBSO. As portas mais visadas foram 554/TCP, usada para a transmissão de áudio e vídeo como streaming na web, e 901/TCP, usada pelo SWAT (Samba Web Administration Tool) e pelo RealSecure sensor. Em 2003, as buscas por máquinas com proxy aberto, especificamente as portas 1080/TCP, 3128/TCP, 6588/TCP e 8080/TCP, também continuaram expressivas. Essas portas são visadas geralmente por spammers, que utilizam o proxy aberto para enviar mensagens não solicitadas sem serem detectados.

Os ataques relatados, sejam scans de porta, negação de serviço ou ataques diretos a usuários finais, vieram na sua maioria da rede da Telesp (atual Telefônica), responsável por 8,02% dos casos. Há anos, os IPs desta operadora ocupam o primeiro lugar como origem dos ataques. Em seguida, está a Kornet, com 5,89% e Centurytel, com 2,40% dos ataques relatados ao NBSO. Veja os dados estatísticos completos aqui.

Leia também:

Notificações de ataques digitais crescem 40%

10/1/2004 - 1:03 Redação InfoGuerra

A F-Secure, empresa de segurança finlandesa, emitiu nesta sexta-feira um alerta sobre um cavalo de Tróia que está se espalhando rapidamente pela Internet via e-mail. O Trojan.Win32.Xombe foi enviado como spam para um grande número de pessoas, sob o pretexto de ser uma atualização crítica da Microsoft, e contém um anexo que faz o download automático de um outro trojan no computador da vítima.

O Xombe usa como disfarce uma mensagem com endereço de rementente windowsupdate@microsoft.com e o assunto "Windows XP Service Pack 1 (Express) - Critical Update". O conteúdo da mensagem, em inglês, alega que a Microsoft determinou que a máquina em questão estava rodando uma versão beta do Windows XP SP1 e por isso deverá instalar uma nova versão do software. Para tanto, deve rodar o arquivo anexo, que tem o nome de "winxp_sp1.exe".

Ao ser executado, o arquivo acessa a Internet e faz o download de um trojan, chamado de "msvchost.exe". Este arquivo é o principal componente do Xombe e é controlado por uma página Web. Serve para fazer o download de arquivos da Internet para vários propósitos e instalá-los no sistema infectado. O arquivo é instalado na pasta System do diretório Windows da máquina infectada e cria uma entrada no registro do sistema ("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssvc") para ser executado automaticamente.

Além desse arquivo, o cavalo de Tróia instala o arquivo "http_f.dll", que tem a função de cliente HTTP, podendo ser usado para fazer ataques de negação de serviço contra um site que hospeda fóruns de discussão.

A reprodução integral da mensagem e outros detalhes sobre o Xombe podem ser encontrados aqui.

10/1/2004 - 0:16 Helena Nacinovic

Este promete ser o ano dos malware (códigos maléficos), como vírus, worms e ataques combinados, além de spam e discadores maliciosos. Essa é a previsão divulgada pela Panda Software para 2004. Segundo a empresa, o aumento dos ataques na Internet acontecerá por motivos econômicos, com os atacantes tentando roubar dinheiro dos internautas desavisados, seja com discadores ocultos que ligam para telefones com tarifas especiais ou programas espiões, que coletam informações sobre contas bancárias e cartões de crédito.

A venda de informações sobre o comportamento de internautas também é um negócio lucrativo, feito com spywares que coletam dados sobre as páginas e anúncios visitados pelo dono da máquina infectada. O spam, cada vez mais presente e ainda lucrativo, deve aumentar também em 2004. A Panda alertou também para a disseminação de cavalos de Tróia e outras ferramentas de invasão de sistemas.

Sobre os vírus do ano, a empresa prevê que as vulnerabilidades de softwares continuem sendo o alvo principal dos autores das pragas virtuais, já que a estratégia se comprovou eficiente em 2003.

9/1/2004 - 23:06 Helena Nacinovic

Os Estados Unidos estão julgando um homem por tentativa de extorsão pela Internet contra a empresa Best Buy. Thomas E. Ray III, de 25 anos, ameaçou divulgar falhas de segurança da rede e informações confidenciais de clientes da Best Buy se a empresa não pagasse a ele US$ 2,5 milhões. O caso está chamando atenção em particular não por ser um crime pela Internet, mas pela forma como o acusado foi encontrado. A Best Buy se uniu ao FBI para localizar o homem, que enviou a chantagem por e-mail sob o pseudônimo de "Jamie Weathersby", funcionário de uma empresa fictícia de nome “IPC Corp".

O chantagista disse nos e-mails que trocou com a Best Buy que havia descoberto uma falha no site www.bestbuy.com, podendo ter acesso a todas as contas de clientes e controlar totalmente o site. Depois de alertar as autoridades, a Best Buy recebeu ajuda do Minnesota CyberCrime Task Force, America Online, Netscape e outros provedores de acesso, supostamente usados por Thomas Ray.

Para chegar ao acusado, o FBI usou uma ferramenta chamada "Internet Protocol Address Verifier". Segundo o governo americano, essa ferramenta enviou automaticamente uma resposta para a Best Buy depois de a empresa enviar uma mensagem para o chantagista. As informações dessa resposta permitiram que os investigadores identificassem Ray como o responsável pelas ameaças. A falta de informações mais detalhadas do FBI gerou especulação na Internet de que o Internet Protocol Address Verifier seria parte do Carnivore, um sistema de interceptação de mensagens eletrônicas e análise do conteúdo em busca de informações suspeitas.

Segundo uma declaração oficial do FBI, o Carnivore é "uma ferramenta de filtragem desenvolvida dentro da lei para fazer viligância eletrônica das comunicações em redes de computadores". O sistema foi alvo de muitos comentários e especulações no ano 2000, quando o governo americano
anunciou sua utilização, mas raramente é mencionado depois dos ataques terroristas de 11 de setembro.

Comunidades de internautas, como o Slashdot e o P2P.net, especulam que, apesar das declarações oficiais, o Carnivore vai além da vigilância legal e pode agir também como uma escuta nos e-mails de pessoas do mundo inteiro.

Leia também:

Surge nova ferramenta para caçar terroristas

O terrorismo e a privacidade

Carnivore na mira do Congresso americano

9/1/2004 - 22:43 Helena Nacinovic

Dar nomes para variantes de vírus está se tornando um verdadeiro problema para empresas antivírus. Pragas como o Yaha, que têm várias versões, normalmente recebem uma letra depois do nome, para identificar a variante. Desta forma, a primeira versão se chama Yaha.A, a segunda Yaha.B, e assim por diante. O problema é que nem sempre variantes com a mesma letra designam o mesmo vírus em bancos de dados de empresas diferentes. Isso acontece devido à falta de tempo hábil para pesquisar em bancos de dados de empresas concorrentes e verificar se a praga já foi batizada, além da falta de um órgão central que controle a denominação de novas variantes.

Por isso, com a crescente rapidez de descoberta de novas variantes, pragas diferentes recebem a mesma letra e pragas iguais têm denominações distintas. No caso específico do Yaha, que teve três variantes descobertas em questão de dias, os autores causaram um verdadeiro caos no processo de denominação de vírus e hoje existem essas pragas com letras diferentes, que vão de J a M, mas pouco consenso entre as empresas sobre a que variante elas estão de fato se referindo.

O problema foi agravado pelo uso de programas “empacotadores” para compressão de arquivos, usados pelos criadores de vírus para dificultar a detecção das pragas. Quando o Yaha.J foi descoberto, havia pelo menos três versões comprimidas de formas diferentes. Normalmente, elas recebem a mesma letra e são consideradas como a mesma variante do vírus. Mas nem todos os antivírus conseguiam detectar as três “versões” do Yaha.J, empacotadas de diferentes modos e, às vezes, consideradas como uma nova variante. Isso dificulta a vida dos usuários, que não têm como ter certeza se a praga é detectável pelo seu antivírus.

Segundo um artigo da MessageLabs, o problema é grave e pode estar sendo explorado pelos criadores de vírus. Como é necessário tempo para determinar se uma praga é parte de uma nova variante ou não, a proliferação de nomes pode acabar criando não apenas confusão, mas também deixar os internautas despreparados para as ameaças.

9/1/2004 - 14:26 Redação InfoGuerra

A Symantec divulgou nesta semana os resultados da sua segunda pesquisa anual de Segurança de Sistemas e Informações, para a qual foram entrevistadas 200 empresas atuantes no Brasil, na sua maioria de grande porte. O estudo revelou que vírus e códigos maliciosos representam 54% dos problemas de segurança, seguidos de 32% de problemas com vulnerabilidades de hardware e software. Ataques feitos por funcionários representam 30% das ameaças.

A pesquisa mostrou também que 98% das empresas usam antivírus e 64% delas usam firewall. Metade das organizações consultadas (50%) afirmou que usa filtros de conteúdo Web, 29% delas usam ferramentas anti-spam e 21% têm sistemas de detecção de intrusão nas redes. No entanto, o investimento em segurança da informação ainda é baixo, representando até 10% do orçamento de Tecnologia da Informação, em 80% das empresas entrevistadas.

O cargo de diretor de segurança não existe em 60% das empresas, que também não têm departamentos especializados. Apesar disso, o estudo revelou que 82% das empresas têm políticas de segurança estabelecidas e 40% delas têm programas de educação de usuários.

Para 2004, as empresas pretendem investir em segurança e integrar as soluções já usadas, uma vez que 82% delas têm sistemas de prevenção de ataques e 60% têm um plano de continuidade dos negócios, em caso de ameaças ou invasões.

9/1/2004 - 13:59 Redação InfoGuerra

A Módulo Security divulgou esta semana os resultados da 1ª Pesquisa Segurança da Informação e o Cidadão, realizada com pais e adolescentes de 10 a 14 anos. O objetivo do trabalho foi mostrar como as pessoas vêem os perigos da Internet e como se protegem deles. Os resultados mostram que a segurança da informação não é mais uma questão exclusivamente corporativa e passou a ser parte do universo familiar, apesar de a maioria dos pais não ter controle sobre a navegação dos filhos.

A pesquisa entrevistou 960 pessoas do Rio de Janeiro, São Paulo e Brasília e revelou que a maioria dos adolescentes acessa a Internet de casa sem nenhum tipo de controle dos pais em relação ao conteúdo visto por eles. Os jovens mostraram ter domínio total do computador, habilidade que muitos pais não têm. Alguns não sabem nem mesmo ligar a máquina. Cerca de metade dos pais entrevistados não sabem se seus filhos já foram assediados pela Internet e nem se as informações da família estão seguras.

Os sites que mais atraem os jovens, segundo o estudo, são páginas de bate-papo onde eles encontram amigos, paqueram e procuram parceiros para relacionamentos estáveis.

9/1/2004 - 13:51 Redação

No dia primeiro de janeiro de 2004, das 1,92 bilhões de mensagens que trafegaram pelas redes do provedor America Online (AOL) em todo o mundo, 1,46 bilhões foram consideradas spam, de acordo com um comunicado da empresa divulgado hoje. Este número representa 76,1% de todo o tráfego do dia.

A AOL possui um sistema anti-spam que barra mensagens cujos endereços pertençam a listas negras de spammers ou que contenham palavras-chave que as caracterizem como lixo eletrônico. Segundo a empresa, era esperado que o nível de spam no primeiro dia do ano fosse alto. Mesmo assim, o número de mensagens indesejadas interceptadas pelo provedor não deixa de ser assustador.

8/1/2004 - 7:51 Redação InfoGuerra

Um vírus descoberto no final de dezembro de 2003 ganhou destaque no primeiros dias de 2004. Trata-se do Jitux.A, um worm que atinge usuários do programa de troca de mensagens instantâneas MSN Messenger e se distribui por meio do próprio software.

Usando uma mensagem com o link http://www.home.no/<nome do usuário>/jituxramon.exe, o worm induz o internauta a fazer o download do arquivo JITUXRAMON.EXE. Quando executado, o sistema é infectado e o worm altera as configurações do MSN Messenger, incluindo o nome de exibição do usuário, para http://www.home.no/<nome do usuário>/jituxramon.exe, e o idioma, para Espanhol.

O Jitux.A se instala na memória do computador afetado e começa a se autodistribuir com a mesma mensagem para todos os contatos ativos do MSN Messenger a cada cinco minutos.

Apesar de o worm não causar muitos danos, o risco de infecção está sendo considerado alto pela Panda Software e como médio pela Trend Micro, ambas empresas antivírus. O worm atinge o sistema operacional Windows nas versões 95, 98, ME, NT, 2000 e XP.

8/1/2004 - 7:05 Helena Nacinovic

Golpes que usam e-mails falsos, também conhecidos como "phishing" ou “phishing scam”, prosperaram em 2003, segundo estatísticas do Internet Fraud Complaint Center (IFCC) divulgadas nesta semana pela empresa de segurança SecurityFocus. O ano que passou também foi produtivo para golpistas especializados em fraudar leilões online.

O IFCC recebeu mais de 120 mil reclamações de fraudes online em 2003, um aumento de 60% em relação às 75 mil reclamações registradas em 2002.

O site do IFCC foi criado em 2000 para ser o canal de reclamações de vítimas de crimes na Internet e é controlado pelo FBI e pelo National White Collar Crime Center (NW3C) dos EUA. A instituição, no entanto, não se restringe ao registro de fraudes e vai mudar seu nome para Internet Crime Complaint Center (IC3), passando a receber denúncias de lavagem de dinheiro internacional, extorsão online, furto de propriedade intelectual e invasão de computadores, além de furto de identidade e golpes online. O site também vai receber denúncias de atividades terroristas.

Golpes aumentam no Natal

A Netcraft também divulgou nesta semana estatísticas de golpes via e-mail, especificamente sobre o período do Natal. Segundo a análise, mais de 60 milhões de e-mails fraudulentos foram enviados nas duas semanas antes do Natal. O Anti-Phishing Working Group identificou mais de 90 golpes diferentes em novembro e dezembro, época em que os golpistas se aproveitaram do aumento das ofertas de marketing online para enganar internautas desavisados.

A maior parte dos golpes "phishing" são feitos com e-mails falsos enviados como spam para internautas de todo o mundo, na tentativa de conseguir obter informações confidenciais de contas bancárias, cartão de crédito ou identidade usando sites falsos.

Uma falha do Internet Explorer descoberta recentemente facilita o trabalho dos golpistas, já que o navegador pode ser enganado e exibir um endereço falso na barra de endereços em vez do endereço real, que poderia servir de alerta para os internautas de que a mensagem é uma fraude.

Leia também:

Golpe por e-mail tenta explorar novo bug do IE

O que fazer ao receber um falso e-mail de banco?

7/1/2004 - 0:53 Redação InfoGuerra

Um novo golpe por e-mail começou a circular nos primeiros dias de 2004, tentando usar uma falha do Internet Explorer recentemente descoberta, com o intuito de enganar clientes do Banco do Brasil. Felizmente, o criador da mensagem fraudulenta cometeu um erro ao codificar o e-mail em formato HTML e o link falso acaba direcionando as vítimas para o verdadeiro site do banco.

O falso e-mail usa o mesmo layout do site do Banco do Brasil e pede aos internautas que visitem o site para "conferir se foram lesados por crimes virtuais". O truque é semelhante aos outros golpes via correio eletrônico que usam o Banco do Brasil e outras instituições bancárias como isca para furto de informações financeiras dos correntistas. Neste caso, no entanto, o golpista tentou se aproveitar de uma falha no Internet Explorer, descoberta no mês passado, que permite que um atacante crie uma URL (endereço eletrônico) falsa que se apresenta na barra de endereços do navegador com a aparência de confiável.

O golpista criou um código com a seguinte URL: http://www.bb.com.br=01%00@www.sci.ku.ac.th/sqa/default.htm. Para os leitores do e-mail que utilizam os programas da Microsoft (e possivelmente de outros fabricantes também), o truque resulta na exibição apenas do endereço "http://www.bb.com.br". Ao clicar no link malicioso, a vítima deveria ser direcionada para a página falsa presente em "www.sci.ku.ac.th/sqa/default.htm". A página, hospedada na Tailândia, ainda está no ar (caso seja retirada do ar, uma cópia pode ser vista aqui) e contém um clone do site do banco. Como a mensagem foi mal codificada, no entanto, o internauta acaba sendo levado ao site verdadeiro do Banco do Brasil e não corre maiores riscos.

Essa é uma das primeiras tentativas de golpes em idioma português a usar a falha do Internet Explorer para enganar internautas. Apesar do erro cometido pelo golpista, deve-se esperar que nas próximas semanas novas tentativas, corretamente codificadas, sejam espalhadas pela Internet.

Programadores independentes tentam corrigir o bug

Apesar de a Microsoft ainda não ter publicado uma correção para o problema, o grupo Openwares.org, composto de programadores que desenvolvem software com código aberto, criou uma suposta correção para o bug do IE.

Porém, segundo um alerta do Centro de Atendimento a Incidentes de Segurança (CAIS), o patch criava mais problemas e permitia acesso remoto ao sistema. O CAIS desaconselhou a instalação do arquivo, mas o Openwares.org já criou novas versões do patch e garante que as falhas anteriores foram corrigidas. Não há informações oficiais sobre a eficácia da versão atualizada.

Leia também:

Brecha do IE faz site falso parecer verdadeiro

6/1/2004 - 18:29

A Secure Computing, empresa de segurança em redes, anunciou nesta semana o lançamento no Brasil do SafeWord for Nortel Networks, um programa de autenticação para redes virtuais privadas (VPN) da Nortel. O programa tem instalação rápida e pode ser integrado ao Microsoft Active Directory, um serviço que controla permissões em redes corporativas. Segundo o anúncio da empresa, o SafeWord elimina os riscos de segurança causados por senhas fixas que podem ser roubadas, descobertas ou simplesmente perdidas, gerando automaticamente tokens (dispositivos para autenticação) em cada login do usuário.

O SafeWord permite também a auto-inscrição dos tokens, atualização de PINs (números de identificação pessoal) e teste dos autenticadores, simplificando o processo de disponibilização dos dispositivos. Segundo a Secure Computing, isso permite que as empresas economizem até 80% do custo da assinatura e distribuição de tokens. No Brasil, o programa pode ser obtido com as distribuidoras Dedalus, CSC e InteliRedes.

6/1/2004 - 16:11 Helena Nacinovic

Foi divulgada nesta segunda-feira uma nova falha no kernel (parte central) do Linux, que compõe vários sistemas operacionais com código aberto. A falha permite que um atacante eleve seus privilégios de acesso a recursos e dados na máquina atingida, além de possibilitar a execução de comandos arbitrários em sistemas vulneráveis. O bug está sendo considerado crítico, segundo o alerta divulgado pela iSEC Security Research.

O problema atinge as versões 2.2, 2.4 e 2.6 e afeta o gerenciamento de memória do system call mremap(2), uma interface entre o kernel e os programas responsável pela alocação de memória. A iSec realizou testes bem-sucedidos com a falha, apesar de indicar que não é uma vulnerabilidade fácil de ser explorada.

Já existem correções para as versões 2.6.1-rc1 e 2.4.24-rc1 do kernel. As outras versões vão receber correções em breve. O kernel está disponível para download gratuitamente no site www.kernel.org.

5/1/2004 - 19:24 Helena Nacinovic

A Justiça brasileira condenou pela primeira vez uma pessoa por lesar bancos e correntistas usando a Internet. Guilherme Amorim de Oliveira Alves, de 19 anos, recebeu no dia 31 de dezembro de 2003 uma sentença de seis anos e quatro meses de prisão por roubar informações de contas bancárias de clientes do Banco do Brasil, Caixa Econômica Federal, Bradesco e Itaú, quatro dos maiores bancos brasileiros.

Junto com Alves, a 3ª Vara da Justiça Federal de Campo Grande, no Mato Grosso do Sul, condenou também o policial militar Evanâncy Soares de Alcântara a quatro anos, oito meses e 20 dias de prisão, por fazer parte da quadrilha. As atividades do grupo criminoso estavam sendo investigadas desde julho de 2002 e o prejuízo causado pelos golpes pode ter ultrapassado R$ 3 milhões, segundo o jornal Correio do Estado, de Campo Grande. As outras pessoas envolvidas no crime vão ser julgadas em processo separado.

Preso em flagrante pela primeira vez em 2002, Guilherme Amorim admitiu ter seis contas bancárias no exterior e a polícia descobriu, por escuta telefônica, que ele pretendia desviar cerca de R$ 150 milhões em apenas um golpe. O golpista foi libertado pouco depois, por meio de um habeas corpus, mas continuou agindo e foi preso novamente em fevereiro de 2003.

Confusão de informações

Ao contrário do que está sendo noticiado em alguns veículos de imprensa, os golpes da quadrilha não envolviam a invasão dos servidores dos bancos. Segundo levantamento feito por InfoGuerra junto a uma fonte confiável que auxiliou nas investigações, Guilherme praticava ataques conhecidos como envenenamento de DNS, também chamados de DNS Poisoning ou DNS Hijacking.

A invasão acontece nos servidores de nomes (DNS) vulneráveis de provedores comuns. Quando alguém digita www.itau.com.br, por exemplo, o servidor DNS do seu provedor de acesso interpreta este endereço e o transforma em um número IP que possa ser reconhecido pelos computadores que fazem parte da rede Internet. Se o servidor estiver normal, atribuirá à requisição o IP verdadeiro do banco Itaú. Mas se estiver comprometido, poderá levar o internauta a um IP falso, associado a uma página clonada do banco, sob controle dos golpistas. Era isso que acontecia no caso dos golpes da gangue de Guilherme Amorim.

Apesar de a quadrilha ter chegado a usar, em menor escala, golpes com e-mails fraudulentos (scam) que direcionam as vítimas para os sites falsos de bancos na tentativa de roubar informações, o maior volume das operações era mesmo feito com ataques de envenenamento de DNS.

Leia também:

Presa quadrilha que fraudava contas bancárias pela Internet