| Noticias |
Site "de segurança" é invadido
29/4/2002 - 0:00 Giordani Rodrigues
O site chamado Invasão, ironicamente, foi invadido na madrugada deste domingo. O site traz informações sobre segurança, em links com nomes sugestivos como "Quero Hackear", "Quero me proteger" ou "Verifique sua Segurança", mas serve principalmente para divulgação de cursos da Fuctura Informática, cuja página principal também foi desfigurada. Um dos cursos oferecidos é chamado de "Tecnologias Anti-Hackers". Os autores dos ataques identificaram-se por e2fsck e iplogd.
Os crackers mudaram os títulos dos dois sites para "Invasao.com.br agora é invadida.com.br" e "Fuctur@? Que belo futuro...". Além disso, fizeram pesadas críticas a Romulo Cholewa, instrutor do curso "Anti-Hackers", qualificando-o de "pilantra" e "falso consultor".
Ao que parece, e2fsck e iplogd já possuíam algum conhecimento sobre intrusão de redes, pagaram os R$ 200,00 cobrados pelo curso pensando em aprimorar-se e depois sentiram-se lesados, ao considerarem de baixa qualidade as informações. Classificando as técnicas ensinadas por Cholewa como "ultrapassadas e ineficazes", eles concluíram: "o investimento feito para obter uma boa base sobre segurança foi literalmente jogado no lixo".
Romulo Cholewa, por sua vez, publicou hoje uma página em seu site pessoal, tentando esclarecer o que houve. Ele diz que o ataque serviu apenas para demonstrar que o provedor Inter.Net, que faz a hospedagem dos sites, deixou seus servidores vulneráveis.
Em sua opinião, o ataque foi uma tentativa de manchar sua credibilidade e a da Fuctura, associando suas imagens à da Inter.Net. "Nem a Fuctura, nem eu, ou qualquer funcionário da Fuctura, possui qualquer relação com a Inter.Net, seja quanto à segurança ou qualquer outro fator, A NÃO SER COMO CLIENTE deste provedor", escreveu. A página continha ainda contestações, trecho por trecho, às acusações dos invasores, mas foi editada às 13h42, e tais contestações foram eliminadas.
No ano passado, Cholewa ocupou o cargo de diretor de operações do provedor PSINet na região Nordeste, até que a empresa fechasse suas portas no Brasil devido a prejuízos financeiros. Antes disso, parte da empresa já havia sido vendida para a Inter.Net.
O site Invasão pertence ao mesmo proprietário da Fuctura Informática, Diogenes Leão. Além da divulgação dos cursos, suas páginas também trazem notícias sobre segurança. Tais notícias costumavam limitar-se a links para informações publicadas por outros sites. Há cerca de um ano, porém, o Invasão passou a adotar práticas que violam os direitos autorais de terceiros: reproduzir sem autorização textos integrais de notícias, retirando os créditos originais.
Até o momento da publicação desta reportagem, o site ainda apresentava uma série de entrevistas com grupos hackers, produzidas no ano passado pelo Terra Informática e também por InfoGuerra. Não foi solicitada autorização para reprodução de nenhuma das entrevistas, e todos os créditos foram omitidos. Diogenes Leão chegou a ser contatado sobre o problema, mas não tomou nenhuma atitude efetiva.
Clique nos links abaixo para ver os espelhos dos ataques sofridos pelos sites:
Invasão
Fuctura
| Noticias |
Vírus Klez espalha documentos pessoais pela Web
29/4/2002 - 0:00 Omar Kaminski
A recente epidemia do vírus W32.Klez, descoberto inicialmente em outubro do ano passado é, na verdade, a exploração de um velho bug. Mas os autores do vírus fizeram diversos aprimoramentos, tornando-o capaz de driblar a maioria das defesas antivírus e roubar informações pessoais.
Pesquisadores que estão estudando o worm descobriram que ele está espalhando pela Rede arquivos dos usuários. Isto é especialmente perigoso para alguns profissionais, como advogados, que trabalham com arquivos sigilosos e confidenciais, ou jornalistas, que reúnem longas agendas e muitas informações sobre terceiros. Já se viu na Rede algumas peças processuais circulando juntamente com o vírus.
O Klez sempre teve a capacidade de obter arquivos aleatórios e distribuí-los, mas a nova versão procura por uma lista de arquivos específicos, incluindo documentos do Word, planilhas do Excel e arquivos HTML. Esta irritante característica foi herdada do worm SirCam, que fez estragos semelhantes no ano passado.
Todas as versões do Klez fazem investidas sobre uma vulnerabilidade do Microsoft Outlook Express, a qual já tem um ano. Este bug é particularmente ameaçador, porque pode afetar um usuário que apenas visualiza a mensagem no Outlook — clicar no anexo não é necessário. Para usuários de versões mais antigas do programa de e-mail (5.01 e 5.5), a Microsoft já disponibilizou um "remendo" grátis, que pode ser obtido aqui.
A versão 6 do Outlook Express, que é a mais recente, parece estar imune à execução automática do vírus. E há outras configurações que diminuem os riscos. No menu "Ferramentas", clique em "Opções" e escolha a aba "segurança". Há duas proteções: "Avisar quando outro aplicativo tentar enviar e-mail como se fosse eu" e "Não permitir que sejam salvos nem abertos anexos que possam conter vírus".
No caso do Klez, a primeira alternativa não evita completamente que seu endereço de e-mail seja usado de modo indevido. O vírus pode enviar uma mensagem infectada usando um endereço de correio eletrônico de quem nunca foi contaminado (por exemplo, o seu), bastando que este conste no catálogo de endereços de uma máquina atingida. Por isso, é importante verificar o "Return-path" nas propriedades do e-mail, pois o remetente pode não ter sido aquele que aparece na mensagem.
Alguns provedores nacionais já estão programando os seus servidores para recusar os e-mails infectados. Mesmo assim, o número de contaminações continua alto. Desde o dia 15, a empresa inglesa de filtragem de e-mails MessageLabs já obteve cerca de 240 mil cópias do novo Klez, em cerca de 150 países. Apenas nas últimas 24 horas foram quase 18 mil. Estes números fazem do Klez.H o vírus mais difundido no mundo, há vários dias. O Brasil ocupa o oitavo lugar no número de infecções.
Na sexta-feira, a Symantec estava recebendo cerca de 3 mil submissões do vírus por dia, e atualmente o classifica como nível de risco 3 — de prevenção média. Outras empresas que produzem programas antivírus já sugeriram que o ataque é muito pior. A Symantec lançou um utilitário específico para a remoção do vírus, que pode ser obtido gratuitamente aqui.
Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.
| Boatos |
Falso vírus jdbgmgr.exe é variante do boato Sulfnbk.exe
15/4/2002 - 0:00 Giordani Rodrigues
Depois de aproximadamente um ano, durante o qual atormentou milhares de usuários no mundo inteiro, o famigerado — e falso — vírus "Sulfnbk.exe" ressurge na forma de uma variante. Desta vez, o nome do arquivo é jdbgmgr.exe. Como o Sulfnbk.exe, o arquivo jdbgmgr.exe pertence ao Windows, não é um vírus e não deve ser apagado do sistema.
A mensagem que nos chegou foi detectada nos EUA pela especialista em vírus do site About.com, Mary Landesman, que recebeu para consulta um e-mail de um leitor da Venezuela. Como o texto do boato está em idioma latino, Landesman enviou-o à redação de InfoGuerra, para que confirmasse do que se tratava. E não há dúvidas de que é um novo hoax tentando enganar usuários incautos.
A mensagem amedronta usuários do Hotmail afirmando que o arquivo jdbgmgr.exe, o qual possui o ícone de um ursinho, é um vírus, capaz de destruir todo o sistema. O vírus se propagaria pelo MSN Messenger e pelo catálogo de endereços presente no PC. Não é detectado pelos antivírus McAfee e Norton e permanece dormente na máquina por 14 dias (exatamente como uma das versões do Sulfnbk.exe). Em seguida, há instruções de como localizar e apagar o arquivo do sistema.
Na verdade, o jdbgmgr.exe faz parte do Windows e é um arquivo da Microsoft utilizado no debug (ferramenta para encontrar bugs) da linguagem Java. Portanto, é inofensivo à máquina e não deve ser deletado. Obviamente a mensagem também não deve ser repassada adiante. Em vez disso, deve ser ignorada ou mesmo excluída.
Os sites da Symantec e da Mcafee já publicaram alertas sobre o hoax, assim como o site VSAntivirus. Todos fazem referência ao fato de que, como todo arquivo executável, o jdbgmgr.exe pode ser infectado por vírus verdadeiros, como o Magistr e o Efortune. Apesar disso, não existem descrições de vírus como as relatadas pela mensagem que está circulando.
Se há um boato recente sobre vírus que causou tantos problemas, e mesmo prejuízo, quanto um vírus verdadeiro, este é o do “Sulfnbk.exe”. Aparentemente, Landesman preferiu nem tocar no assunto, pois não publicou em seu site nada a respeito disso.
"Detesto ver qualquer coisa que mesmo remotamente se assemelhe ao hoax Sulfnbk.exe. Ele se tornou um pesadelo para quem trabalha com suporte ao usuário", comenta, referindo-se à histeria que tomou conta de muitos internautas americanos no ano passado por causa do boato.
Veja abaixo uma cópia da mensagem que ela recebeu:
Quieren advertir a todos los usuarios de hotmail sobre un nuevo virus que circula por medio del MSN Messenger El virus se llama jdbgmgr.exe y se transmite automáticamente por medio del Messenger y tambien por la libreta de direcciones. El virus no es detectado por McAfee o Norton y permanence en letargo durante 14 días antes de dañar el sistema entero. Puede ser borrado antes de que elimine los archivos de tu computadora.
Para eliminarlo, solo hay que hacer los pasos siguientes:
1. Ir a Inicio, pulsar "buscar"
2.- En búsqueda "archivos o carpetas" escribir el nombre jdbgmgr.exe
3.- Asegurarse de que este buscando en disco "C"
4.- Pulsar en "buscar ahora"
5.- Si aparece el virus (el icono es un osito que tendrá el nombre de jdbgmgr.exe NO ABRIR POR NINGUN MOTIVO
6.- Pulsar en el botón derecho del ratón y eliminarlo (ira a la papelera de reciclaje).
7.- Ir a la papelera de reciclaje y borrarlo definitivamente o bien vaciar la papelera entera.
Leia também:
Boato sobre falso vírus Sulfnbk ressuscita
Sulfnbk.exe: antes um boato, agora uma falsa verdade
Falso vírus induz usuário a apagar arquivo do Windows
| Dicas |
Como rastrear tentativas de invasão no PC
5/4/2002 - 0:00 Francisco Panizo Beceiro
Se você possui um firewall seu software com certeza informa o
endereço IP de qualquer intruso, a cada vez que ele detectar um "escaneamento" de uma porta na sua conexão. Com esse endereço, além de outras informações, principalmente data e hora (acurada por favor), seu provedor e/ou o do intruso em geral terão toda a boa vontade para encontrar o real usuário que, naquele exato instante, estava conectado à Internet com aquele IP.
Lembre-se que o endereço IP da maioria das pessoas (isto é, daquelas conectadas por linha discada) é algo que é assinalado dinamicamente. Assim um dado IP pode pertencer ao real invasor, no dia X às 19h34, porém esse mesmo IP será repassado para outro internauta, honesto desta vez, assim que o intruso se desconectar, o que poderia acontecer 3 minutos após o horário real. Com uma pequena diferença nos relógios envolvidos (o seu, que seu firewall indica, e o do provedor que o intruso usava naquele dia, poderia acontecer de um inocente estar sendo acusado). Nesses casos o melhor a fazer é deixar que esse intruso
tente novamente, pouco tempo depois (o que indicaria com certeza que ele ainda estava logado, e portanto seu IP não poderia ter sido usado por um inocente naquele período). Não se desconecte só por que recebeu um aviso de seu
firewall.
Lembre-se: com um bom firewall você está seguro (bom, relativamente bem seguro), e seus avisos indicam claramente que ele detectou uma atividade estranha ou não autorizada, e portanto você não tem nada a temer, deixe seu
escudo funcionando e o protegendo o tempo todo.
Para avisar seu provedor, e o provedor do intruso, pegue os dados que seu firewall indica (a maioria permite que você envie um e-mail já com todas as informações necessárias) e encaminhe por e-mail para um endereço tal como:
webmaster@seuprovedor.com
abuse@seuprovedor.com
postmaster@seuprovedor.com
Se você quiser pode usar o NeoTrace que permite que você veja num mapa o seu PING indo de servidor em servidor, até achar o responsável (provedor) pelo bloco de endereços Internet que inclui aquele que você está tentando
encontrar. A URL do NeoTrace é http://www.neoworx.com/goodonline/ntwor.asp.
Na falta desse produto, você pode lançar mão de um pequeno utilitário DOS (funciona numa janela DOS, dentro de seu Windows) chamado TRACERT. Use-o assim:
TRACERT endereço IP (exemplo: TRACERT 209.210.211.212)
Não é tão interessante quanto o NeoTrace, mas já dá para conhecer o nome do provedor (quase sempre!).
Leia também:
Proteja seu micro com o ZoneAlarm
Tutorial para configuração do ZoneAlarm (em Português)
O artigo acima foi extraído do site Vírus Alerta. Publicado sob permissão. Esta e outras dicas de segurança podem ser encontradas no endereço www.superdicas.com.br/infovir/seguranca.html.
Francisco Panizo Beceiro é analista de informática com mais de 15 anos de experiência na área. Interessa-se por questões de segurança de dados e vírus de computador.
| Boatos |
Google usa pombos para fazer buscas?
5/4/2002 - 0:00 Giordani Rodrigues
|
| Noticias |
Kazaa e Audiogalaxy "brasileiros" revelam truques de ciberposseiros
4/4/2002 - 0:00 Giordani Rodrigues
Cybersquatter é o termo criado para designar o indivíduo que registra domínios contendo marcas ou nomes famosos, com o objetivo de vendê-los mais tarde e lucrar com o negócio. No Brasil o termo já foi traduzido para ciberposseiro. Mas o cybersquatter antenado com as novas tendências da posse virtual vai além, e aproveita não só o nome do domínio, como também seu conteúdo. Foi o que aconteceu com o Kazaa e o Audiogalaxy, conhecidos serviços para download de arquivos musicais, os quais já têm suas "versões brasileiras" — kazaa.com.br e audiogalaxy.com.br
Na verdade, as páginas são apenas molduras que abrem os sites originais Audiogalaxy.com e Kazaa.com, uma prática chamada de "framing" e que pode configurar outra violação, desta vez aos direitos autorais. A única diferença é que na parte superior das páginas há banners do site RankBrasil, "o Guinness Records brasileiro", segundo seu próprio slogan.
O RankBrasil e o audiogalaxy.com.br estão registrados em nome da Cadari Informática, enquanto o kazaa.com.br está em nome de Cadari e Cia Ltda, diferentes nomes de uma empresa curitibana pertencente a Nelson Luciano Cadari, de acordo com dados do Registro.br. Ou seja, além de ter a chance de ganhar dinheiro com a venda dos domínios, Cadari ainda promove seus negócios entre os internautas que acessarem os falsos sites por engano, como ocorreu com o leitor que enviou a dica desta notícia a InfoGuerra. Em vez de digitar audiogalaxy.com, ele acabou adicionando o .br no final e se surpreendeu com o resultado.
Mas Cadari não pára por aí e também tem outros domínios registrados, entre os quais, bearshare.com.br, limewire.com.br, aimster.com.br (todos relacionados a programas de troca de músicas), guinnessbook.com.br e corel.com.br. O domínio aimster.com, por sinal, foi transferido à AOL recentemente, depois que o provedor americano entrou com uma ação judicial contra o ex-detentor do endereço, Johnny Deep, alegando que o nome infringia sua marca AIM (AOL Instant Messenger).
O endereço corel.com.br abre uma página cujo título contém as palavras-chaves (meta tags) "Corel Draw", "design", "picture", "desenho", "cdr" e "paint". Um título tão esquisito tem uma explicação: é uma técnica para que o site apareça nas buscas de internautas interessados no Corel Draw e em outros programas gráficos, o que poderia caracterizar o uso indevido de uma marca alheia por meio de meta tags.
O corel.com.br também apresenta banners da RankBrasil e traz a seguinte informação: "Domínio www.corel.com.br está a venda". Em seguida há um número de telefone. Simulando interesse no negócio, ligamos para saber o preço e quem atendeu foi Nelson Cadari. Ele sugeriu o valor base de R$ 30 mil pelo domínio, mas disse que aceitava contra-propostas e bens como parte do pagamento.
"Corel é um nome muito forte e se o site for bem aproveitado o investimento se paga em um ano", argumentou. Ele também disse que o site RankBrasil recebia cerca de 200 mil pageviews por mês graças à quantidade de acessos que endereços como corel.com.br e audiogalaxy.com.br traziam.
Depois de tudo isso, é curioso ler a opinião de um suposto leitor do site RankBrasil postada em sua página inicial. O texto diz o seguinte: "Parabéns, uma das páginas mais interessantes em termos de cultura que já encontrei. Se todos voltassem realmente para a 'ordem e progresso' nosso país seria muito melhor".
Leia também:
Sob o domínio dos piratas
| Boatos |
Clone da "Internet via água" é arapuca para internautas
4/4/2002 - 0:00 Giordani Rodrigues
Uma brincadeira do Dia da Mentira acabou casualmente revelando uma outra mentira, com fins pelo menos antiéticos, senão fraudulentos. A descoberta do esquema começou com a divulgação da Waternet, a Internet via água, um trote criado pelo curitibano Jefferson Sefrim e aproveitado pelo site Clube do Hardware, no dia primeiro de abril. Acontece que a Waternet tem um clone, cujos propósitos são obscuros.
No Dia da Mentira, Gabriel Torres, responsável pelo site de informática Clube do Hardware, resolveu pregar uma peça em seu público, criando uma página recheada de notícias falsas. Uma dessas notícias era sobre a Waternet de Sefrim, cujo único site é http://www.waternet.hpg.com.br. Mas, sem querer, o Clube do Hardware divulgou a página http://waternet.dk3.com, um clone da Waternet, criado por um desconhecido.
No editorial publicado ontem, Gabriel Torres explica: "Modem a água: Essa foi idéia do Luis Barini, que escreve nossos boletins, depois de ter descoberto um site que um camarada criou para o primeiro de abril do ano passado. Obviamente a história de um modem onde os dados trafegam pela água não tem pé nem cabeça. Mas como havia um link para o tal site e nele o texto tentava ser o mais convincente possível, muita gente caiu".
No entanto, o link divulgado levava ao site do desconhecido, que copiou todo o conteúdo do trote da "Internet via água", mas tomou dois cuidados. Primeiro, excluiu os links para as reportagens que revelam o truque (uma delas produzida por InfoGuerra). Segundo, redirecionou para sua conta o formulário para cadastro de interessados no serviço, ou seja, aquelas pessoas que porventura acreditassem na existência da Waternet.
Digitando-se o endereço waternet.dk3.com (DK3.com é um provedor que oferece hospedagem gratuita), além da página solicitada abria-se outra, que estava hospedada, também gratuitamente, no provedor Terra. Nesta página o usuário era apresentado a vários serviços duvidosos além da Waternet — esquemas para ganhar dinheiro fácil na Internet e até um serviço que promete "seu domínio .com.br sem a necessidade do CNPJ (Cadastro Nacional de Pessoas Jurídicas)". A maioria dos sites mostrados está hospedada no DK3.com e não possui informações sobre os responsáveis.
Tudo não passa de uma armadilha para formar um banco de dados com informações dos internautas, como e-mail e número de telefone, provavelmente com o intuito de vender os dados para spammers. Ou sabe-se lá com que outros fins.
Ao ler a reportagem de InfoGuerra publicada ontem sobre os trotes de primeiro de abril, Jefferson Sefrim percebeu que o Clube do Hardware, ironicamente, também tinha sido enganado pela "falsa Waternet" — outra ironia, pois a história sempre foi falsa. "Escrevi um e-mail para o Gabriel Torres dizendo que o meu site não era aquele e ele foi muito prestativo: imediatamente corrigiu o link", explica Sefrim, que teve a idéia de criar o site a partir de uma reportagem-trote da revista de tecnologia Red Herring, publicada em primeiro de abril do ano passado.
"Acho que a pessoa que criou o clone da minha brincadeira viu que a página já tinha dezenas de milhares de acessos e resolveu se aproveitar disso para enganar outros usuários, com más intenções", conclui.
A Waternet de Sefrim mostra 150 mil acessos desde setembro de 2001. O seu clone apresenta cerca de 30 mil, não se sabe desde quando. A verdade é que spammers e outros aproveitadores virtuais fazem de tudo para conseguir informações de internautas, inclusive usar cópias de outras páginas e serviços, verdadeiros ou não.
Neste caso, o indivíduo pode até ter aproveitado os acessos também para vender espaço comercial, pois entre os serviços apresentados há o de uma distribuidora de equipamentos para restaurante, uma empresa legítima, com telefone para contato e registro no CNPJ. Não conseguimos saber se esta empresa entrou como "laranja" na história ou tem alguma ligação com a página.
O Clube do Hardware já corrigiu o link divulgado. O provedor Terra foi notificado sobre a existência da página hospedada gratuitamente em seus servidores e retirou-a do ar.
Atualização (04/04/2002 - 15h30): Com a providência do Terra, todos os serviços citados saíram do ar. Na verdade, o site DK3.com estava servindo apenas para redirecionar as páginas, todas elas hospedadas no diretório criado pelo indivíduo no provedor nacional. Agora, mesmo o endereço waternet.dk3.com e os outros (nomeweb.dk3.com, avaliado.dk3.com, etc) trazem a mensagem de "página não encontrada". A emenda saiu melhor do que o soneto. Mas, como estas pessoas já prevêem tais situações e costumam procurar outros provedores, estas mesmas páginas podem aparecer em outros lugares, com outros endereços. Confira um screenshot da página que oferecia os "serviços", aqui.
Leia também:
Trotes de primeiro de abril enganam internautas
Conheça o acesso à Internet através da água
Identificado autor nacional da rede WaterNet
| Noticias |
Site "de segurança" é invadido
29/4/2002 - 0:00 Giordani Rodrigues
O site chamado Invasão, ironicamente, foi invadido na madrugada deste domingo. O site traz informações sobre segurança, em links com nomes sugestivos como "Quero Hackear", "Quero me proteger" ou "Verifique sua Segurança", mas serve principalmente para divulgação de cursos da Fuctura Informática, cuja página principal também foi desfigurada. Um dos cursos oferecidos é chamado de "Tecnologias Anti-Hackers". Os autores dos ataques identificaram-se por e2fsck e iplogd.
Os crackers mudaram os títulos dos dois sites para "Invasao.com.br agora é invadida.com.br" e "Fuctur@? Que belo futuro...". Além disso, fizeram pesadas críticas a Romulo Cholewa, instrutor do curso "Anti-Hackers", qualificando-o de "pilantra" e "falso consultor".
Ao que parece, e2fsck e iplogd já possuíam algum conhecimento sobre intrusão de redes, pagaram os R$ 200,00 cobrados pelo curso pensando em aprimorar-se e depois sentiram-se lesados, ao considerarem de baixa qualidade as informações. Classificando as técnicas ensinadas por Cholewa como "ultrapassadas e ineficazes", eles concluíram: "o investimento feito para obter uma boa base sobre segurança foi literalmente jogado no lixo".
Romulo Cholewa, por sua vez, publicou hoje uma página em seu site pessoal, tentando esclarecer o que houve. Ele diz que o ataque serviu apenas para demonstrar que o provedor Inter.Net, que faz a hospedagem dos sites, deixou seus servidores vulneráveis.
Em sua opinião, o ataque foi uma tentativa de manchar sua credibilidade e a da Fuctura, associando suas imagens à da Inter.Net. "Nem a Fuctura, nem eu, ou qualquer funcionário da Fuctura, possui qualquer relação com a Inter.Net, seja quanto à segurança ou qualquer outro fator, A NÃO SER COMO CLIENTE deste provedor", escreveu. A página continha ainda contestações, trecho por trecho, às acusações dos invasores, mas foi editada às 13h42, e tais contestações foram eliminadas.
No ano passado, Cholewa ocupou o cargo de diretor de operações do provedor PSINet na região Nordeste, até que a empresa fechasse suas portas no Brasil devido a prejuízos financeiros. Antes disso, parte da empresa já havia sido vendida para a Inter.Net.
O site Invasão pertence ao mesmo proprietário da Fuctura Informática, Diogenes Leão. Além da divulgação dos cursos, suas páginas também trazem notícias sobre segurança. Tais notícias costumavam limitar-se a links para informações publicadas por outros sites. Há cerca de um ano, porém, o Invasão passou a adotar práticas que violam os direitos autorais de terceiros: reproduzir sem autorização textos integrais de notícias, retirando os créditos originais.
Até o momento da publicação desta reportagem, o site ainda apresentava uma série de entrevistas com grupos hackers, produzidas no ano passado pelo Terra Informática e também por InfoGuerra. Não foi solicitada autorização para reprodução de nenhuma das entrevistas, e todos os créditos foram omitidos. Diogenes Leão chegou a ser contatado sobre o problema, mas não tomou nenhuma atitude efetiva.
Clique nos links abaixo para ver os espelhos dos ataques sofridos pelos sites:
Invasão
Fuctura
| Noticias |
Vírus Klez espalha documentos pessoais pela Web
29/4/2002 - 0:00 Omar Kaminski
A recente epidemia do vírus W32.Klez, descoberto inicialmente em outubro do ano passado é, na verdade, a exploração de um velho bug. Mas os autores do vírus fizeram diversos aprimoramentos, tornando-o capaz de driblar a maioria das defesas antivírus e roubar informações pessoais.
Pesquisadores que estão estudando o worm descobriram que ele está espalhando pela Rede arquivos dos usuários. Isto é especialmente perigoso para alguns profissionais, como advogados, que trabalham com arquivos sigilosos e confidenciais, ou jornalistas, que reúnem longas agendas e muitas informações sobre terceiros. Já se viu na Rede algumas peças processuais circulando juntamente com o vírus.
O Klez sempre teve a capacidade de obter arquivos aleatórios e distribuí-los, mas a nova versão procura por uma lista de arquivos específicos, incluindo documentos do Word, planilhas do Excel e arquivos HTML. Esta irritante característica foi herdada do worm SirCam, que fez estragos semelhantes no ano passado.
Todas as versões do Klez fazem investidas sobre uma vulnerabilidade do Microsoft Outlook Express, a qual já tem um ano. Este bug é particularmente ameaçador, porque pode afetar um usuário que apenas visualiza a mensagem no Outlook — clicar no anexo não é necessário. Para usuários de versões mais antigas do programa de e-mail (5.01 e 5.5), a Microsoft já disponibilizou um "remendo" grátis, que pode ser obtido aqui.
A versão 6 do Outlook Express, que é a mais recente, parece estar imune à execução automática do vírus. E há outras configurações que diminuem os riscos. No menu "Ferramentas", clique em "Opções" e escolha a aba "segurança". Há duas proteções: "Avisar quando outro aplicativo tentar enviar e-mail como se fosse eu" e "Não permitir que sejam salvos nem abertos anexos que possam conter vírus".
No caso do Klez, a primeira alternativa não evita completamente que seu endereço de e-mail seja usado de modo indevido. O vírus pode enviar uma mensagem infectada usando um endereço de correio eletrônico de quem nunca foi contaminado (por exemplo, o seu), bastando que este conste no catálogo de endereços de uma máquina atingida. Por isso, é importante verificar o "Return-path" nas propriedades do e-mail, pois o remetente pode não ter sido aquele que aparece na mensagem.
Alguns provedores nacionais já estão programando os seus servidores para recusar os e-mails infectados. Mesmo assim, o número de contaminações continua alto. Desde o dia 15, a empresa inglesa de filtragem de e-mails MessageLabs já obteve cerca de 240 mil cópias do novo Klez, em cerca de 150 países. Apenas nas últimas 24 horas foram quase 18 mil. Estes números fazem do Klez.H o vírus mais difundido no mundo, há vários dias. O Brasil ocupa o oitavo lugar no número de infecções.
Na sexta-feira, a Symantec estava recebendo cerca de 3 mil submissões do vírus por dia, e atualmente o classifica como nível de risco 3 — de prevenção média. Outras empresas que produzem programas antivírus já sugeriram que o ataque é muito pior. A Symantec lançou um utilitário específico para a remoção do vírus, que pode ser obtido gratuitamente aqui.
Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.
| Boatos |
Falso vírus jdbgmgr.exe é variante do boato Sulfnbk.exe
15/4/2002 - 0:00 Giordani Rodrigues
Depois de aproximadamente um ano, durante o qual atormentou milhares de usuários no mundo inteiro, o famigerado — e falso — vírus "Sulfnbk.exe" ressurge na forma de uma variante. Desta vez, o nome do arquivo é jdbgmgr.exe. Como o Sulfnbk.exe, o arquivo jdbgmgr.exe pertence ao Windows, não é um vírus e não deve ser apagado do sistema.
A mensagem que nos chegou foi detectada nos EUA pela especialista em vírus do site About.com, Mary Landesman, que recebeu para consulta um e-mail de um leitor da Venezuela. Como o texto do boato está em idioma latino, Landesman enviou-o à redação de InfoGuerra, para que confirmasse do que se tratava. E não há dúvidas de que é um novo hoax tentando enganar usuários incautos.
A mensagem amedronta usuários do Hotmail afirmando que o arquivo jdbgmgr.exe, o qual possui o ícone de um ursinho, é um vírus, capaz de destruir todo o sistema. O vírus se propagaria pelo MSN Messenger e pelo catálogo de endereços presente no PC. Não é detectado pelos antivírus McAfee e Norton e permanece dormente na máquina por 14 dias (exatamente como uma das versões do Sulfnbk.exe). Em seguida, há instruções de como localizar e apagar o arquivo do sistema.
Na verdade, o jdbgmgr.exe faz parte do Windows e é um arquivo da Microsoft utilizado no debug (ferramenta para encontrar bugs) da linguagem Java. Portanto, é inofensivo à máquina e não deve ser deletado. Obviamente a mensagem também não deve ser repassada adiante. Em vez disso, deve ser ignorada ou mesmo excluída.
Os sites da Symantec e da Mcafee já publicaram alertas sobre o hoax, assim como o site VSAntivirus. Todos fazem referência ao fato de que, como todo arquivo executável, o jdbgmgr.exe pode ser infectado por vírus verdadeiros, como o Magistr e o Efortune. Apesar disso, não existem descrições de vírus como as relatadas pela mensagem que está circulando.
Se há um boato recente sobre vírus que causou tantos problemas, e mesmo prejuízo, quanto um vírus verdadeiro, este é o do “Sulfnbk.exe”. Aparentemente, Landesman preferiu nem tocar no assunto, pois não publicou em seu site nada a respeito disso.
"Detesto ver qualquer coisa que mesmo remotamente se assemelhe ao hoax Sulfnbk.exe. Ele se tornou um pesadelo para quem trabalha com suporte ao usuário", comenta, referindo-se à histeria que tomou conta de muitos internautas americanos no ano passado por causa do boato.
Veja abaixo uma cópia da mensagem que ela recebeu:
Quieren advertir a todos los usuarios de hotmail sobre un nuevo virus que circula por medio del MSN Messenger El virus se llama jdbgmgr.exe y se transmite automáticamente por medio del Messenger y tambien por la libreta de direcciones. El virus no es detectado por McAfee o Norton y permanence en letargo durante 14 días antes de dañar el sistema entero. Puede ser borrado antes de que elimine los archivos de tu computadora.
Para eliminarlo, solo hay que hacer los pasos siguientes:
1. Ir a Inicio, pulsar "buscar"
2.- En búsqueda "archivos o carpetas" escribir el nombre jdbgmgr.exe
3.- Asegurarse de que este buscando en disco "C"
4.- Pulsar en "buscar ahora"
5.- Si aparece el virus (el icono es un osito que tendrá el nombre de jdbgmgr.exe NO ABRIR POR NINGUN MOTIVO
6.- Pulsar en el botón derecho del ratón y eliminarlo (ira a la papelera de reciclaje).
7.- Ir a la papelera de reciclaje y borrarlo definitivamente o bien vaciar la papelera entera.
Leia também:
Boato sobre falso vírus Sulfnbk ressuscita
Sulfnbk.exe: antes um boato, agora uma falsa verdade
Falso vírus induz usuário a apagar arquivo do Windows
| Dicas |
Como rastrear tentativas de invasão no PC
5/4/2002 - 0:00 Francisco Panizo Beceiro
Se você possui um firewall seu software com certeza informa o
endereço IP de qualquer intruso, a cada vez que ele detectar um "escaneamento" de uma porta na sua conexão. Com esse endereço, além de outras informações, principalmente data e hora (acurada por favor), seu provedor e/ou o do intruso em geral terão toda a boa vontade para encontrar o real usuário que, naquele exato instante, estava conectado à Internet com aquele IP.
Lembre-se que o endereço IP da maioria das pessoas (isto é, daquelas conectadas por linha discada) é algo que é assinalado dinamicamente. Assim um dado IP pode pertencer ao real invasor, no dia X às 19h34, porém esse mesmo IP será repassado para outro internauta, honesto desta vez, assim que o intruso se desconectar, o que poderia acontecer 3 minutos após o horário real. Com uma pequena diferença nos relógios envolvidos (o seu, que seu firewall indica, e o do provedor que o intruso usava naquele dia, poderia acontecer de um inocente estar sendo acusado). Nesses casos o melhor a fazer é deixar que esse intruso
tente novamente, pouco tempo depois (o que indicaria com certeza que ele ainda estava logado, e portanto seu IP não poderia ter sido usado por um inocente naquele período). Não se desconecte só por que recebeu um aviso de seu
firewall.
Lembre-se: com um bom firewall você está seguro (bom, relativamente bem seguro), e seus avisos indicam claramente que ele detectou uma atividade estranha ou não autorizada, e portanto você não tem nada a temer, deixe seu
escudo funcionando e o protegendo o tempo todo.
Para avisar seu provedor, e o provedor do intruso, pegue os dados que seu firewall indica (a maioria permite que você envie um e-mail já com todas as informações necessárias) e encaminhe por e-mail para um endereço tal como:
webmaster@seuprovedor.com
abuse@seuprovedor.com
postmaster@seuprovedor.com
Se você quiser pode usar o NeoTrace que permite que você veja num mapa o seu PING indo de servidor em servidor, até achar o responsável (provedor) pelo bloco de endereços Internet que inclui aquele que você está tentando
encontrar. A URL do NeoTrace é http://www.neoworx.com/goodonline/ntwor.asp.
Na falta desse produto, você pode lançar mão de um pequeno utilitário DOS (funciona numa janela DOS, dentro de seu Windows) chamado TRACERT. Use-o assim:
TRACERT endereço IP (exemplo: TRACERT 209.210.211.212)
Não é tão interessante quanto o NeoTrace, mas já dá para conhecer o nome do provedor (quase sempre!).
Leia também:
Proteja seu micro com o ZoneAlarm
Tutorial para configuração do ZoneAlarm (em Português)
O artigo acima foi extraído do site Vírus Alerta. Publicado sob permissão. Esta e outras dicas de segurança podem ser encontradas no endereço www.superdicas.com.br/infovir/seguranca.html.
Francisco Panizo Beceiro é analista de informática com mais de 15 anos de experiência na área. Interessa-se por questões de segurança de dados e vírus de computador.
| Boatos |
Google usa pombos para fazer buscas?
5/4/2002 - 0:00 Giordani Rodrigues
|
| Noticias |
Kazaa e Audiogalaxy "brasileiros" revelam truques de ciberposseiros
4/4/2002 - 0:00 Giordani Rodrigues
Cybersquatter é o termo criado para designar o indivíduo que registra domínios contendo marcas ou nomes famosos, com o objetivo de vendê-los mais tarde e lucrar com o negócio. No Brasil o termo já foi traduzido para ciberposseiro. Mas o cybersquatter antenado com as novas tendências da posse virtual vai além, e aproveita não só o nome do domínio, como também seu conteúdo. Foi o que aconteceu com o Kazaa e o Audiogalaxy, conhecidos serviços para download de arquivos musicais, os quais já têm suas "versões brasileiras" — kazaa.com.br e audiogalaxy.com.br
Na verdade, as páginas são apenas molduras que abrem os sites originais Audiogalaxy.com e Kazaa.com, uma prática chamada de "framing" e que pode configurar outra violação, desta vez aos direitos autorais. A única diferença é que na parte superior das páginas há banners do site RankBrasil, "o Guinness Records brasileiro", segundo seu próprio slogan.
O RankBrasil e o audiogalaxy.com.br estão registrados em nome da Cadari Informática, enquanto o kazaa.com.br está em nome de Cadari e Cia Ltda, diferentes nomes de uma empresa curitibana pertencente a Nelson Luciano Cadari, de acordo com dados do Registro.br. Ou seja, além de ter a chance de ganhar dinheiro com a venda dos domínios, Cadari ainda promove seus negócios entre os internautas que acessarem os falsos sites por engano, como ocorreu com o leitor que enviou a dica desta notícia a InfoGuerra. Em vez de digitar audiogalaxy.com, ele acabou adicionando o .br no final e se surpreendeu com o resultado.
Mas Cadari não pára por aí e também tem outros domínios registrados, entre os quais, bearshare.com.br, limewire.com.br, aimster.com.br (todos relacionados a programas de troca de músicas), guinnessbook.com.br e corel.com.br. O domínio aimster.com, por sinal, foi transferido à AOL recentemente, depois que o provedor americano entrou com uma ação judicial contra o ex-detentor do endereço, Johnny Deep, alegando que o nome infringia sua marca AIM (AOL Instant Messenger).
O endereço corel.com.br abre uma página cujo título contém as palavras-chaves (meta tags) "Corel Draw", "design", "picture", "desenho", "cdr" e "paint". Um título tão esquisito tem uma explicação: é uma técnica para que o site apareça nas buscas de internautas interessados no Corel Draw e em outros programas gráficos, o que poderia caracterizar o uso indevido de uma marca alheia por meio de meta tags.
O corel.com.br também apresenta banners da RankBrasil e traz a seguinte informação: "Domínio www.corel.com.br está a venda". Em seguida há um número de telefone. Simulando interesse no negócio, ligamos para saber o preço e quem atendeu foi Nelson Cadari. Ele sugeriu o valor base de R$ 30 mil pelo domínio, mas disse que aceitava contra-propostas e bens como parte do pagamento.
"Corel é um nome muito forte e se o site for bem aproveitado o investimento se paga em um ano", argumentou. Ele também disse que o site RankBrasil recebia cerca de 200 mil pageviews por mês graças à quantidade de acessos que endereços como corel.com.br e audiogalaxy.com.br traziam.
Depois de tudo isso, é curioso ler a opinião de um suposto leitor do site RankBrasil postada em sua página inicial. O texto diz o seguinte: "Parabéns, uma das páginas mais interessantes em termos de cultura que já encontrei. Se todos voltassem realmente para a 'ordem e progresso' nosso país seria muito melhor".
Leia também:
Sob o domínio dos piratas
| Boatos |
Clone da "Internet via água" é arapuca para internautas
4/4/2002 - 0:00 Giordani Rodrigues
Uma brincadeira do Dia da Mentira acabou casualmente revelando uma outra mentira, com fins pelo menos antiéticos, senão fraudulentos. A descoberta do esquema começou com a divulgação da Waternet, a Internet via água, um trote criado pelo curitibano Jefferson Sefrim e aproveitado pelo site Clube do Hardware, no dia primeiro de abril. Acontece que a Waternet tem um clone, cujos propósitos são obscuros.
No Dia da Mentira, Gabriel Torres, responsável pelo site de informática Clube do Hardware, resolveu pregar uma peça em seu público, criando uma página recheada de notícias falsas. Uma dessas notícias era sobre a Waternet de Sefrim, cujo único site é http://www.waternet.hpg.com.br. Mas, sem querer, o Clube do Hardware divulgou a página http://waternet.dk3.com, um clone da Waternet, criado por um desconhecido.
No editorial publicado ontem, Gabriel Torres explica: "Modem a água: Essa foi idéia do Luis Barini, que escreve nossos boletins, depois de ter descoberto um site que um camarada criou para o primeiro de abril do ano passado. Obviamente a história de um modem onde os dados trafegam pela água não tem pé nem cabeça. Mas como havia um link para o tal site e nele o texto tentava ser o mais convincente possível, muita gente caiu".
No entanto, o link divulgado levava ao site do desconhecido, que copiou todo o conteúdo do trote da "Internet via água", mas tomou dois cuidados. Primeiro, excluiu os links para as reportagens que revelam o truque (uma delas produzida por InfoGuerra). Segundo, redirecionou para sua conta o formulário para cadastro de interessados no serviço, ou seja, aquelas pessoas que porventura acreditassem na existência da Waternet.
Digitando-se o endereço waternet.dk3.com (DK3.com é um provedor que oferece hospedagem gratuita), além da página solicitada abria-se outra, que estava hospedada, também gratuitamente, no provedor Terra. Nesta página o usuário era apresentado a vários serviços duvidosos além da Waternet — esquemas para ganhar dinheiro fácil na Internet e até um serviço que promete "seu domínio .com.br sem a necessidade do CNPJ (Cadastro Nacional de Pessoas Jurídicas)". A maioria dos sites mostrados está hospedada no DK3.com e não possui informações sobre os responsáveis.
Tudo não passa de uma armadilha para formar um banco de dados com informações dos internautas, como e-mail e número de telefone, provavelmente com o intuito de vender os dados para spammers. Ou sabe-se lá com que outros fins.
Ao ler a reportagem de InfoGuerra publicada ontem sobre os trotes de primeiro de abril, Jefferson Sefrim percebeu que o Clube do Hardware, ironicamente, também tinha sido enganado pela "falsa Waternet" — outra ironia, pois a história sempre foi falsa. "Escrevi um e-mail para o Gabriel Torres dizendo que o meu site não era aquele e ele foi muito prestativo: imediatamente corrigiu o link", explica Sefrim, que teve a idéia de criar o site a partir de uma reportagem-trote da revista de tecnologia Red Herring, publicada em primeiro de abril do ano passado.
"Acho que a pessoa que criou o clone da minha brincadeira viu que a página já tinha dezenas de milhares de acessos e resolveu se aproveitar disso para enganar outros usuários, com más intenções", conclui.
A Waternet de Sefrim mostra 150 mil acessos desde setembro de 2001. O seu clone apresenta cerca de 30 mil, não se sabe desde quando. A verdade é que spammers e outros aproveitadores virtuais fazem de tudo para conseguir informações de internautas, inclusive usar cópias de outras páginas e serviços, verdadeiros ou não.
Neste caso, o indivíduo pode até ter aproveitado os acessos também para vender espaço comercial, pois entre os serviços apresentados há o de uma distribuidora de equipamentos para restaurante, uma empresa legítima, com telefone para contato e registro no CNPJ. Não conseguimos saber se esta empresa entrou como "laranja" na história ou tem alguma ligação com a página.
O Clube do Hardware já corrigiu o link divulgado. O provedor Terra foi notificado sobre a existência da página hospedada gratuitamente em seus servidores e retirou-a do ar.
Atualização (04/04/2002 - 15h30): Com a providência do Terra, todos os serviços citados saíram do ar. Na verdade, o site DK3.com estava servindo apenas para redirecionar as páginas, todas elas hospedadas no diretório criado pelo indivíduo no provedor nacional. Agora, mesmo o endereço waternet.dk3.com e os outros (nomeweb.dk3.com, avaliado.dk3.com, etc) trazem a mensagem de "página não encontrada". A emenda saiu melhor do que o soneto. Mas, como estas pessoas já prevêem tais situações e costumam procurar outros provedores, estas mesmas páginas podem aparecer em outros lugares, com outros endereços. Confira um screenshot da página que oferecia os "serviços", aqui.
Leia também:
Trotes de primeiro de abril enganam internautas
Conheça o acesso à Internet através da água
Identificado autor nacional da rede WaterNet