| Noticias |
Vírus usa "foto" de Jennifer Lopez e variante do Chernobyl
31/5/2001 - 0:00 Giordani Rodrigues
Que tal receber, por e-mail, uma foto da atriz Jennifer Lopez nua? Não seria uma má idéia, não fosse um pequeno detalhe: não há foto alguma na mensagem, e sim um vírus, o VBS/Lovelet-CM. O vírus é uma estranha variante do I Love You carregando uma variante de outra conhecida (e perigosa) praga, o Chernobyl.
O e-mail com o VBS/Lovelet-CM traz um arquivo anexado, chamado JENNIFERLOPEZ_NAKED.JPG.vbs. A linha de assunto exibe o texto “Where are you?” (onde está você?). No corpo da mensagem lê-se: “This is my pic in the beach!” (esta é minha foto na praia!).
Caso o usuário abra o anexo, todos discos locais e de rede são rastreados e os arquivos com extensões VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2 e MP3 são sobrescritos com o código do vírus.
Depois disso, são criadas duas chaves no Registro do Windows, que possibilitam que o vírus seja enviado para todos os endereços cadastrados no catálogo do Outlook. Uma das chaves, HotKey_Current_User\software\JENNIFERLOPEZ_NAKED, traz um texto com a informação de que a praga foi criada na Argélia.
Finalmente, o VBS/Lovelet-CM descarrega e roda no computador da vítima uma variante do W95/CIH, também chamado de Chernobyl, vírus altamente destrutivo. Segundo a Sophos, tal variante é detectada pelo seu antivírus como W95/CIH-10xx. O programa também já possui atualização para o VBS/Lovelet-CM, que está sendo considerado de baixo risco.
| Noticias |
Vírus invade rede do Departamento de Defesa dos EUA
31/5/2001 - 0:00 Giordani Rodrigues
O site do Defense Technical Information Center (DTIC), pertencente ao Departamento de Defesa dos Estados Unidos, foi atingido ontem pelo sadmind/IIS, um vírus do tipo worm que afeta servidores Solaris e IIS. O vírus explora falhas antigas dos dois sistemas e desfigura sites que estejam rodando nas máquinas vulneráveis.
O sadmind/IIS compromete inicialmente um servidor Solaris, transformando-o em base para novos ataques. A partir dessa máquina, passa a desfigurar páginas hospedadas em servidores Windows NT. Depois de invadir 2 mil endereços, desfigura a página do próprio servidor em que está localizado. A mensagem deixada nos sites traz palavrões contra os EUA e o grupo PoizonB0x.
Segundo um comentário da equipe do Attrition.org, o DTIC é descrito como “o instrumento central do Departamento de Defesa no provimento e auxílio de troca de informação técnica e científica, que faz parte da Defense Information Systems Agency (DISA)”. A ação do vírus no site do DTIC foi registrado pelo Alldas.de e pode ser vista aqui.
Leia também:
Novo vírus sadmind/IIS desfigura mais de 8 mil páginas
Notícias confundem vírus com hacker
| Noticias |
Criança-vegetal invade site da USP
30/5/2001 - 20:08 Giordani Rodrigues
|
| Noticias |
Grandes companhias são enganadas por falsas notícias
29/5/2001 - 21:01 Giordani Rodrigues
A rapidez e o baixo custo de comunicação oferecidos pela Internet têm gerado não só um infindável número de boatos eletrônicos repassados entre usuários crédulos. Grandes companhias também têm divulgado falsas notícias, as quais são vendidas como se fossem verdadeiras. Nas últimas semanas, sites como Yahoo, The Register, IDG News Service, The Standad Industry e outros foram apanhados por “histórias da carochinha”.
No dia 15, o Yahoo noticiou que a Microsoft tinha admitido a existência de uma senha secreta em seus servidores IIS. A informação foi dada como uma descoberta recente. Além de não ser verdadeira, já tinha sido divulgada há mais de um ano (!) pelo Wall Street Journal.
O fato obrigou a Microsoft a publicar uma nota em seu site desmentindo a informação e apontando o que de real existe na história: uma vulnerabilidade do IIS, que não tem nada a ver com senhas secretas. A empresa também solicitou que o Yahoo retirasse a notícia do ar, no que foi atendida. Mas a página com o espaço vazio ainda pode ser vista.
Na primeira semana de maio, o site britânico The Register divulgou a história de que a BBC fora vítima de um hacker, o qual teria postado no site da conhecida agência uma falsa notícia sobre a morte de uma artista pop. Depois disso, a informação saiu no IDG News Service, The Standard Industry, SecurityNewsPortal e alguns outros.
Tudo não passou de um trote. Na época, InfoGuerra entrou em contato com a repórter de The Register, que admitiu que tinha sido enganada por um velho truque da Internet e havia cometido um erro básico em jornalismo: recebeu a informação de uma fonte e divulgou-a sem checar com outras. Posteriormente, The Standard Industry, um dos divulgadores do boato, esclareceu-o.
Alguém forjou uma página da BBC, usando um artifício do protocolo hipertexto para autenticação de senhas em sites protegidos. O diferencial é o sinal de arroba que normalmente passa a fazer parte do endereço, algo como http://nome_do_usuario:senha@www.nome_do_site.com. Aproveitando-se desse artifício, é possível criar uma falsa página, colocando-a no lugar do nome do usuário e utilizando o endereço de um site verdadeiro.
O truque pode ser visto numa hilariante página fictícia da própria BBC, que anuncia, com fotos, a trágica morte do coelho da Páscoa. Clique em http://news.bbc.co.uk!articles@3276960428/hi/english/uk/newsid/123456.htm para acessá-la (usuários de Mac devem clicar aqui).
Outro exemplo semelhante é o de uma página falsificada da CNN contando a história de um obscuro homem chamado Coby Santos, convidado para fazer parte do próximo filme de James Bond, ao lado de figurões como Pierce Brosnan, Anthony Hopkins e Catherine Zeta-Jones. A página foi criada em fevereiro deste ano e ainda está no ar. Clique aqui para vê-la.
No ano passado, um grupo humorístico espalhou o boato de que havia sido criado um servidor alimentado por batatas. Vários sites importantes caíram na pegadinha e publicaram a história. O site brasileiro Magnet, que teve a dignidade de se admitir entre os enganados, possui a matéria.
Como se vê, é muito fácil forjar notícias utilizando recursos tecnológicos trazidos pela Internet. E as empresas de comunicação, sempre ávidas por novidades, muitas vezes “vendem o peixe como lhes foi passado”. Já que a Internet facilita o acesso à informação, é aconselhável usá-la também para checar as notícias, antes de divulgá-las.
Notícia relacionada:
Notícias confundem vírus com hacker
| Noticias |
Notícias confundem vírus com hacker
29/5/2001 - 20:28 Giordani Rodrigues
Na semana passada, o site Bloomberg News publicou uma notícia informando que o Banco Nacional das Filipinas foi invadido por um hacker. O incidente foi relacionado à recente “guerra cibernética” entre grupos chineses e americanos. Pelas características do ataque, no entanto, o que foi classificado como hacker provavelmente não passou de um vírus.
A notícia afirma que a mensagem deixada no site do banco amaldiçoava os Estados Unidos e o grupo PoizonB0x. E é justamente uma mensagem semelhante que o worm sadmind/IIS, descoberto no começo deste mês, deixa nos sites que desfigura.
O sadmind/IIS explora vulnerabilidades dos servidores Solaris, da Sun, e IIS, da Microsoft. Uma de suas ações é alterar as páginas index.html hospedadas nestes servidores, substituindo-as por outra com a mensagem “fuck USA Government fuck PoizonB0x contact:sysadmcn@yahoo.com.cn”.
Recentemente, a equipe do Attrition.org recebeu uma lista com mais de 8 mil endereços que teriam sido atacados pelo vírus. Uma cópia de como fica um site desfigurado pelo sadmind/IIS pode ser vista aqui.
Há poucos dias, um usuário do site brasileiro Insecurenet postou uma notícia afirmando que os hackers chineses estavam se vingando do PoizonB0x, que invadiu centenas de sites com sufixo .cn durante o mês de abril. Outro engano por causa do vírus.
No ano passado, a Bloomberg teve problemas depois de divulgar uma falsa notícia de queda das ações da empresa Emulex, que atua no ramo de fibras óticas. O boato foi criado por um hacker, que posteriormente foi preso. InfoGuerra fez contato com a Bloomberg para esclarecer a questão do Banco Nacional das Filipinas, mas não obteve resposta.
Leia também:
Novo vírus sadmind/IIS desfigura mais de 8 mil páginas
| Noticias |
Militares americanos censuram registro de invasões a seus sites
28/5/2001 - 0:09 Giordani Rodrigues
Como não podem evitar que grupos hackers desfigurem seus sites, a Marinha, Exército e Aeronáutica dos Estados Unidos estão tentando evitar que as invasões sejam divulgadas. A acusação partiu do site alemão Alldas.de, especializado em registrar imagens de páginas desfiguradas.
De acordo com uma nota publicada no Alldas na quarta-feira, o número IP (Internet Protocol) do seu servidor está sendo filtrado pelos sites americanos cujos endereços terminam em .mil, que identificam os domínios militares. “A razão para isso é provavelmente minimizar o embaraçoso fato de que as forças militares dos Estados Unidos não conseguem manter seus computadores seguros”, diz o texto.
No sábado, InfoGuerra entrou em contato com a equipe de Alldas e solicitou maiores detalhes. Segundo Fredrik Ostergren, responsável pela assessoria de imprensa do site, foi possível acessar alguns endereços *.navy.mil neste dia. “Mas este não era o caso alguns dias atrás. Tive problemas em conectar os seguintes hosts agora: lrae.abm.rda.hq.navy.mil, www.acq-ref.navy.mil, www.army.mil”, explicou.
“Um repórter do Wall Street Journal contatou o Exército e a Marinha dos EUA e depois disso parece que eles amenizaram um pouco o filtro, mas eu posso dizer com certeza que ainda estamos sendo filtrados por alguns endereços, como www.army.mil”, afirmou Ostergen.
Não é a primeira vez que os Estados Unidos censuram o acesso a seus sites. Recentemente, os brasileiros foram proibidos de entrar em certas páginas do governo americano devido ao grande número de ataques de grupos hackers nacionais.
Quem tentar acessar, a partir do Brasil, o endereço http://www.iv.state.ia.us, por exemplo, encontrará a seguinte mensagem, em inglês: “Proibido: endereço IP rejeitado. Este erro é causado quando o servidor tem uma lista de endereços IP que não têm permissão para acessar o site, e o endereço IP que você está usando está na lista”.
O site pertence ao governo do estado de Iowa e, em março deste ano, foi invadido duas vezes. Numa delas, por um grupo chamado W3ll, que deixou alguns nomes escritos em português na página.
| Noticias |
Novo ataque de crackers obriga Bansicredi a suspender serviços
25/5/2001 - 19:21 Giordani Rodrigues
O cracker Phrozen_Byte, sentindo-se desafiado pelas respostas que o Bansicredi deu em relação à invasão de sua rede há poucos dias, resolveu provar que o sistema continua vulnerável. Novamente penetrou no site do banco e roubou mais extratos de clientes. A nova invasão levou o banco a tomar uma atitude drástica: a suspensão dos serviços de Internet Banking.
“O Bansicredi resolveu tirar o Internet Banking do ar por respeito aos seus clientes, que não podem ter seus dados devassados dessa maneira”, informou a assessoria de imprensa do banco. “A empresa irá antecipar grandes investimentos em segurança, que já estavam previstos, e só depois disso irá restabelecer o serviço”.
O banco informou ainda que o seu sistema de Internet Banking era operado por várias empresas coligadas e não era totalmente online. Parte do movimento diário era consolidado à noite, depois do balanço das transações financeiras. Com o novo sistema, as operações serão online e centralizadas.
O serviço já está fora de operação. Quem acessá-lo neste momento, a partir do endereço www.bansicredi.com.br, irá encontrar a seguinte mensagem: “Sistema temporariamente fora do ar. Favor entrar em contato com a agência SICREDI ou BANSICREDI de seu relacionamento”.
De acordo com a assessoria da empresa, o gerente de tecnologia, José Volmar Machado, credita as invasões ao protocolo FTP (File Transfer Protocol), que serve para transferência de arquivos na Internet. Aparentemente, foram as declarações de Machado à imprensa que incitaram o pirata ao novo ataque.
O gerente disse que, pela forma como a rede estava estruturada, Phrozen_Byte não poderia ter acesso a senhas, muito menos fazer transferência de valores. Afirmou também que contrataria o cracker, caso ele provasse que poderia invadir o novo sistema de transações online que o banco pretende lançar.
Hoje pela manhã, Phrozen_Byte enviou um e-mail com mais 20 extratos de correntistas anexados à mensagem. Os documentos são datados de 23 e 24 de maio. Entre os dados roubados constam os de empresas de transportes, de advogados, de segurança e o de outra prefeitura.
No e-mail, o cracker escreveu respostas às declarações de José Volmar: “eles me contratariam caso eu provassse que eu poderia entrar no sistema deles que está por vir, se eles querem isso melhor pelo menos que eles me façam algumas perguntas de como proteger o servidor deles, porque se da próxima vez que eu visitar o servidor do Bansicredi e conseguir ter acesso total novamente, eu juro que online, aquele servidor não vai ficar”.
Em relação à afirmação de acesso restrito, ele escreve: “se eles acham que eu somente tive acesso ao arquivos-texto, continuem com o servidor do jeito que está e depois sofram as conseqüências por não terem me escutado”.
Leia também:
Crackers roubam dados de clientes de banco
| Boatos |
Falso vírus brasileiro usa o nome do McDonald’s
25/5/2001 - 17:55 Giordani Rodrigues
Ao que parece, o Brasil está-se especializando em criar boatos eletrônicos e disseminá-los pelo mundo. Depois do Sulfnbk.exe, que já chegou a vários países, incluindo os Estados Unidos, agora é a vez do Macmebig, uma mensagem de alerta de um falso vírus que usa o nome da rede de lanchonetes McDonald’s.
O hoax (boato) possui todas as características de seus similares e até se aproveita de uma história antiga, também falsa, que “denunciava” que o McDonald’s estava usando carne geneticamente modificada para fazer seus hambúrgueres.
O Macmebig seria um arquivo de proteção de tela que, ao ser executado, exibe a mensagem "eat a big mac and go to hell" (coma um big mac e vá para o inferno). É claro que ele destrói todos os dados do disco rígido e ainda não tem vacina. O hoax foi reportado hoje pelo site uruguaio Video Soft e, há dois dias, pelo site argentino VirusAtack!, que creditam sua origem ao Brasil. Veja o texto da mensagem:
Essa informação veio da Microsoft
Por favor, transmita-a para qualquer pessoa que você conhece e acessa a Internet.
Você pode receber um protetor de telas da Macdonalds, aparentemente inofensivo, intitulado "Macmebig". Se você vier a recebê-lo - NÃO ABRA O ARQUIVO SOB NENHUMA CIRCUNSTÂNCIA - mas delete-o imediatamente.
Se você abrir esse arquivo aparecerá a mensagem em seu monitor "eat a big mac and go to hell" em seguida PERDERÁ TUDO QUE TIVER EM SEU PC e a pessoa que o enviou terá acesso ao seu nome, e-mail e password. Trata-se de um novo vírus que começou a circular ontem pela manhã.
PRECISAMOS FAZER TUDO QUE FOR POSSÍVEL PARA DETER ESSE VÍRUS.
A AOL já confirmou sua periculosidade e os Softs Anti-Vírus não estão aptos a destrui-lo.
O Vírus foi criado por um hacker que acusa a multinacional macdonald's de utilizar mutações genéticas para fabricar a carne utilizada nos seus hamburgers.
COPIE ESTE E-MAIL PARA TODOS OS SEUS AMIGOS
Um falso vírus clássico: periculosidade exagerada, incapacidade de ser eliminado pelos programas antivírus (o que não existe), alerta com muitas frases em letras maiúsculas, uso do nome de empresas conhecidas para dar credibilidade à mentira e, finalmente, o velho pedido de se enviar a mensagem a todos os conhecidos.
Não precisa nem dizer que a melhor coisa a se fazer é ignorar a mensagem. Melhor ainda é apagá-la. Só uma pergunta: alguém já viu a AOL ou a Microsoft fornecendo alerta de vírus?
Leia também:
Sulfnbk.exe: antes um boato, agora uma falsa verdade
Falso vírus induz usuário a apagar arquivo do Windows
Pega na mentira
| Noticias |
Interpol publica manual de combate ao cibercrime
25/5/2001 - 14:40 Giordani Rodrigues
A Interpol (International Criminal Police Organization) acaba de lançar um manual com métodos de segurança e prevenção ao crime de Tecnologia da Informação. O documento descreve o que deve ter um sistema protegido contra o cibercrime e o que fazer em caso de uma invasão.
Com informações como controle de entradas, registro de arquivos, cópias de segurança, firewalls, sistema de deteção de intrusão e outras, o manual pretende servir como uma introdução para que investigadores possam lidar com a crescente ameaça às redes de computadores.
O manual lista as perguntas que um investigador deve fazer e os dados que deve coletar depois que um incidente de segurança ocorre. Pelas suas características, o documento acaba servindo também para que as empresas possam otimizar seus relatórios e tornar uma investigação mais simples.
“Mesmo que você tenha instalado um firewall e um sistema de detecção de intrusão, alguém tem de tomar conta de um incidente quando ele ocorre (não ‘se’ ele ocorre, pois isto irá acontecer mais cedo ou mais tarde)”, alerta um trecho do documento.
E aconselha: “estar bem preparado é a melhor forma de lidar com um incidente. É muito importante permanecer calmo e não entrar em pânico. É muito valioso ter um formulário especial para registrar incidentes”. O texto integral pode ser acessado online, clicando aqui. Também está disponível em CD-ROM.
| Dicas |
Onde encontrar proteção gratuita contra vírus
25/5/2001 - 9:40 Giordani Rodrigues
(Atualizado em 15/06/2002) - Muita gente escreve perguntando onde encontrar programas gratuitos contra vírus ou onde testar seus arquivos contra as pragas virtuais. Considerando também que, de acordo com a última enquete InfoGuerra, quase um quarto das pessoas não tem antivírus, aqui vão algumas dicas:
Onde baixar programas antivírus gratuitos:
AVG: software da empresa tcheca Grisoft. Oferece proteção completa para arquivos, e-mail, memória e setor de boot da máquina. As atualizações podem ser feitas de modo automático a partir da própria interface do programa. http://www.grisoft.com
BitDefender: atual nome comercial dos produtos anteriormente chamados de AVX (AntiVirus eXpert), da empresa romena SOFTWIN. Possui versões freeware e beta de antivírus para MS-DOS, Windows, Linux, e para programas de mensagens instantâneas, como ICQ, Yahoo Messenger, MSN Mesenger, e outros. Também oferece software gratuito para proteção de computadores do tipo Palm. http://www.bitdefender.com
F-PROT: programa em DOS da empresa finlandesa F-Secure, para uso pessoal. ftp://ftp.f-secure.com/anti-virus/free
Onde testar arquivos:
InfoGuerra: Nosso site possui um verificador online gratuito, fruto de uma parceria com a Maple Informática, representante excluivo no Brasil da Command AntiVirus. A ferramenta não desinfecta os arquivos que estiverem contaminados, mas serve para detectar se sua máquina possui pragas virtuais. O fato de ser totalmente em português é uma real vantagem, pois poucos antivírus de porte oferecem opção semelhante neste idioma. http://www.infoguerra.com.br/cod/cod
Em português: o site MyNetis.com oferece soluções de verificação e desinfecção de arquivos contaminados por vírus gratuitamente, por e-mail e também online. Por e-mail as alternativas são maiores, mas a opção requer o preenchimento de um cadastro. Leia o regulamento antes de se cadastrar, para saber como seus dados serão utilizados. Em português e espanhol. http://www.mynetis.com
Em inglês: a gama de serviços disponíveis em inglês é muito maior e garante uma proteção mais abrangente. Várias companhias antivírus possuem testes online, mas só alguns destes também eliminam os vírus. Os serviços normalmente utilizam controles ActiveX, que são instalados no computador a ser examinado e são capazes de executar várias tarefas. Por isso, se você já possui algum antivírus instalado, é recomendável desabilitá-lo no momento do teste, para evitar que os controles ActiveX sejam interpretados como algum código malicioso.
Os serviços antivírus online possuem a vantagem de estar constantemente atualizados. A desvantagem é que, dependendo da velocidade de seu modem, a instalação e execução dos testes pode demorar vários minutos. Caso algum cadastro seja requerido, recomenda-se ler o regulamento.
Abaixo estão indicadas as páginas onde, além de fazer uma verificação completa de seu sistema, você também poderá eliminar os vírus:
Trend Micro (PC-cillin): http://housecall.antivirus.com
A Trend Micro também oferece soluções para produtos específicos:
Para testar mensagens do Outlook: http://www.antivirus.com/free_tools/smo
Para testar mensagens do Microsoft Exchange: http://housecall.antivirus.com/smex_housecall
Para testar dispositivos wireless (Palm, Epoc e Pocket PC): http://www.antivirus.com/free_tools/wireless
Para testar se seu antivírus está funcionando corretamente: http://www.antivirus.com/vinfo/testfiles
Panda Software: clique em http://www.pandasoftware.com e escolha a opção Panda ActiveScan.
BitDefender: http://www.bitdefender.com/scan/index.html
Você também poderá fazer um rastreamento gratuito de seu micro, porém sem a possibilidade de eliminar os vírus, nos seguintes links:
Network Associates (McAfee): http://www.mcafee.com/myapps/vso
Symantec (Norton AntiVirus): http://security2.norton.com/us/continue_vc.asp?scantype=2&venid=sym&langid=us
Command AntiVirus: http://www.commandondemand.com/cod/index.cfm
Para remoção de alguns vírus específicos e bastante difundidos, como Magistr, Anna Kournikova, MTX, Hybris (Branca de Neve pornô), Navidad, I Love You, Chernobyl e outros, clique em:
Symantec: http://www.symantec.com/avcenter/tools.list.html
Central Command: http://www.centralcommand.com/removal_tools.html
Outros links:
TheFreeSite.com: programas e serviços gratuitos de várias categorias. A página com links para antivírus gratuitos está em http://www.thefreesite.com/Free_Software/Anti_virus_freeware/index.html
F-Script: programa da F-Secure específico para detectar e desinfectar vírus que utilizam scripts, como VBS, JS, HTML, etc. ftp://ftp.f-secure.com/anti-virus/tools/old/f-script.zip
Outras ferramentas: vários programas para detecção e desinfecção de vírus específicos, também da F-Secure. ftp://ftp.f-secure.com/anti-virus/tools
| Noticias |
Crackers roubam dados de clientes de banco
23/5/2001 - 15:45 Giordani Rodrigues
O cracker que se identifica por Phrozen_Byte voltou a atacar. Desta vez, ele e o grupo ao qual se integrou, o Data Cha0s, entraram na rede do Banco Cooperativo Sicredi (Bansicredi) e roubaram informações de conta corrente de clientes. O cracker afirma que teve acesso a 150 contas e, para provar o que diz, fez o que já é hábito seu: enviou os dados, por e-mail, para a imprensa.
Na mensagem, remetida na semana passada, constam os extratos de cerca de 50 correntistas, datados de 15 e 16 de maio. A maior parte das contas é de pessoas jurídicas, entre as quais estão a Unimed de Cruz Alta e prefeitura de Lagoão, ambas no Rio Grande do Sul, Fox Distribuidora de Petróleo, em Curitiba, e Associação Comercial e Industrial de Maringá, no Paraná.
“Esse banco prometia uma estrutura segura, com firewall, https, segurança, etc. Infelizmente não sei onde”, escreveu Phrozen_Byte. “Mais uma vez tive o controle do banco, podendo transferir quaisquer quantias”. O cracker ainda sugere que o banco faça um recadastramento das contas e troque as senhas, “para a própria segurança das cooperativas e das empresas que depositam seu dinheiro ali”.
O Bansicredi foi inaugurado em 1996 pelo Sistema de Crédito Cooperativo do Rio Grande do Sul (Sicredi), para dar suporte financeiro às cooperativas daquele estado. Mais tarde, as cooperativas do Paraná, Mato Grosso e Mato Grosso do Sul também se uniram ao sistema. Hoje, o Bansicredi possui agências nestes quatro estados e está autorizado a operar com recursos do crédito rural.
Foram feitos vários contatos com o Bansicredi, o primeiro deles na quinta-feira, dia 17. O banco prometeu dar uma posição oficial sobre o caso, mas não o fez.
Phrozen_Byte foi o mesmo que atacou a HP Store, em abril, e roubou dados de clientes da empresa. A invasão foi confirmada pela HP. No final de abril, ele e o grupo Data Cha0s também invadiram mais dois bancos, o Banco do Estado do Maranhão e o Banco de La República, do Peru.
O site do La República foi desfigurado. A invasão foi registrada por Alldas.de e pode ser vista aqui. O cracker também alega que roubou arquivos de movimentação financeira do banco, entre os quais os de clientes como Bell South e Bell South Distribuidora. Segundo ele, não houve nenhum tipo de transação bancária. Em outras palavras, não foi transferido nenhum dinheiro das contas.
No caso do Banco do Estado do Maranhão, não houve desfiguração, mas foram roubados e distribuídos esquemas de estruturação dos programas que administram as contas correntes e a criptografia de duas chaves de segurança do sistema.
Hoje, um site ligado à rede bancária, o do Sindicato dos Bancários de São Paulo, também foi invadido e desfigurado pelo hacker ReFLuX. O espelho pode ser visto aqui.
Atualização: Logo após a divulgação dessa notícia recebemos um e-mail do Bansicredi, informando que é impossível fazer transferência de valores utilizando a estrutura do site. A mensagem, em nome de Clairton Walter, sem identificação funcional, também ameaçava InfoGuerra com os rigores da lei e proibia a divulgação da invasão à rede do banco. Além disso, exigia a imediata suspensão da notícia, caso ela já tivesse sido publicada. Leia, abaixo, a íntegra da mensagem:
----- Original Message -----
From: "Clairton Walter - SICREDI Serviços" clairton@sicredi.com.br
To: editor@infoguerra.com.br
Sent: Wednesday, May 23, 2001 5:17 PM
Subject: Resposta ao editor da Infoguerra
Porto Alegre, 23 de maio de 2001.
Ilmo. Sr.
Giordani Rodrigues
Editor
Prezado Senhor,
Tendo em vista o e-mail recebido, informamos que estamos apurando as evidências levantadas, sendo que fica rigorosamente proibido, sob as penas da lei, a veiculação/difusão, sob qualquer forma, de informação a respeito do assunto. Caso tenha veiculado/difundido, solicitamos a imediata suspensão/interrupção, sob pena das responsabilidades legais decorrentes de tal ato.
Por fim, noticiamos que, pela estrutura do site, é impossível a realização de quaisquer transferências de valores.
Atenciosamente,
BANSICREDI
InfoGuerra tem a informar que não aceita tentativas de coerção dessa espécie e que a notícia continuará no ar. Desde que recebemos o e-mail informando sobre a invasão, nossa atitude se manteve ética, como sempre.
O cracker enviou sua mensagem no final da tarde de quarta-feira, dia 16, não só para InfoGuerra, como para outros importantes órgãos de comunicação brasileiros, conforme o cabeçalho do e-mail.
Entramos em contato com o banco no dia seguinte, enviamos o e-mail com os arquivos roubados e pedimos esclarecimentos à empresa, antes da divulgação da notícia. Na sexta-feira, dia 18, recebemos uma ligação da assessoria de imprensa do banco informando que naquele mesmo dia seria divulgada a posição oficial do Bansicredi, o que não aconteceu.
Enviamos novo e-mail pedindo que se esclarecesse a situação e ligamos novamente na segunda-feira, dia 21. Obtivemos a resposta de que, no mais tardar, na terça-feira a resposta viria. Como nada aconteceu, divulgamos a informação.
As ameaças, portanto, são infundadas. A matéria foi produzida com correção e não há motivos para suspender sua publicação.
Leia também:
Cracker rouba dados de clientes da HP
HP confirma invasão de hackers em seu site
| Noticias |
Falha no Word abre brecha para vírus
22/5/2001 - 21:36 Giordani Rodrigues
A Microsoft divulgou ontem o seu 28º boletim de segurança deste ano, alertando para uma falha no editor de textos Word, que permite a execução arbitrária de macros nas versões 97, 98 e 2000 para PC e 98 e 2001 para Mac. As macros são comandos que automatizam tarefas e são largamente exploradas para espalhar vírus.
Segundo a Microsoft, o problema só atinge documentos com a extensão RTF (Rich Text Format), disponível no Word. Outras extensões, como .DOC, não seriam afetadas. A falha permite executar uma macro embutida em um modelo de documento (template), isto é, arquivos com extensão .DOT. Enviando um link para este arquivo em um documento RTF, a macro poderá ser rodada automaticamente quando o documento for aberto.
Isto acontece mesmo com o Word habilitado para avisar sobre a existência de macros em arquivos. O artifício faz com que nenhum aviso seja dado. A macro pode executar, assim, qualquer tarefa que o próprio usuário também possa. Isto inclui desabilitar o alerta de segurança do programa, deixando o micro vulnerável a vírus ou outras ações posteriores.
Documentos RTF são bastante utilizados, pois podem ser abertos por vários programas. Por enquanto, a correção só está disponível para as versões 97 e 2000 em inglês. Para acessá-la, bem como maiores detalhes, clique em http://www.microsoft.com/technet/security/bulletin/ms01-028.asp. A correção (patch) para outras versões deve ser disponibilizada em breve.
| Sobre |
InfoGuerra é indicado para o Top Cadê?
21/5/2001 - 16:14 Redação InfoGuerra
A equipe editorial do Cadê?, o mais conhecido sistema de busca brasileiro, escolheu o site InfoGuerra para participar do Top 3 na categoria Informática do concurso Top Cadê?. O objetivo do concurso é destacar os melhores sites da Internet Brasil.
Os profissionais do Cadê? selecionam os sites participantes segundo alguns critérios, como quantidade e relevância das informações apresentadas no site, serviços prestados, ferramentas oferecidas aos internautas, design, estilo inovador, etc.
A cada semana, são indicados três sites por categoria. No final de cada mês, tem início a votação do público, que poderá indicar os melhores de cada uma das 16 categorias daquele mês. E no final do ano, será escolhido o grande vencedor de cada categoria.
Portanto, leitor de InfoGuerra, você que aprecia o nosso site, prepare-se para votar a partir do início de junho. Desta forma, poderemos oferecer cada vez mais aos nossos visitantes.
InfoGuerra agradece à equipe do Cadê? pela indicação — uma prova de reconhecimento pelo trabalho que temos feito e um estímulo a mais para aprimorá-lo. Para acessar a categoria Informática do Top Cadê?, conhecer o regulamento do concurso e obter outras informações, clique em http://www.topcade.com.br/topinformatica.shtm.
| Noticias |
Attrition.org não vai mais registrar desfigurações de sites
21/5/2001 - 12:47 Giordani Rodrigues
O Attrition.org, um dos primeiros e o mais conhecido site de registro de páginas desfiguradas da Web, não vai mais produzir seus famosos mirrors. A decisão foi comunicada hoje pela manhã por meio de uma nota publicada no site.
Há uma semana, já não se via novos espelhos da equipe. O último registro que consta na área destinada para tal, entre as muitas seções do site, é do dia 13 de maio — uma página da Universidade de Cambridge. Por causa disso, os rumores de que seus servidores estavam sendo vítimas de hackers começaram a circular.
O site belga SecurityWatch publicou uma nota na última sexta-feira especulando que o Attrition estaria sob uma onda de ataques de negação de serviço (DoS). Em contato por e-mail com InfoGuerra, Brian Martin, um dos integrantes da equipe do Attrition, também conhecido como Jericho ou Cult_Hero, comentou sobre texto do SecurityWatch: “Por que um site iria postar aquele lixo sem ao menos nos perguntar o que aconteceu? Aquilo é fofoca de tablóide, não notícia”.
E o que aconteceu, afinal? Segundo o que foi publicado, a seção de mirrors, que começou como um hobby, foi consumindo cada vez mais tempo e recursos da equipe, a ponto de se tornar um obstáculo para a atualização das outras seções e um fardo para os integrantes.
“No último mês, experimentamos dias em que fizemos o espelho de mais de 100 Web sites, mais do que o triplo do total de 1995 e 1996 juntos. Supõe-se que um ‘hobby’ seja agradável. Manter os mirrors tem se tornado uma obrigação ingrata”, diz um trecho da nota.
Os rumores sobre os ataques também não são de todo infundados. A equipe admite que nos últimos dois anos sofreu massivos ataques DoS por causa da ignorância de desfiguradores e de vítimas das desfigurações, o que pôs o sistema fora do ar mais de uma vez. “Por isso, os mirrors não serão mais mantidos. Nós servimos o nosso tempo”.
Há poucos dias, o site esteve inacessível por algum tempo e a explicação dada foram erros no drive que roda os arquivos mais importantes e ataques DoS.
O Attrition, no entanto, continuará existindo. O tempo que era dedicado aos espelhos será usado para a publicação freqüente de notícias e atualização de outras seções, garantem seus integrantes. As próprias estatísticas sobre desfigurações continuarão a ser divulgadas.
Para tanto, foi feito um acordo com o site alemão Alldas.de, pelo qual as duas equipes trocarão informações. O resultado desse acordo já começou a aparecer. Desde sexta-feira, o Attrition já enviou duas notícias aos assinantes de suas listas utilizando espelhos do Alldas.
A primeira refere-se a mais uma invasão ao site da Microsoft, desta vez o da Romênia, levada a cabo no dia 18 pelo grupo Pentaguard. A outra foi uma série de desfigurações, ocorrida no fim de semana, contra seis sites militares americanos, incluindo um pertecente ao Ministério da Defesa. O grupo PoizonB0x foi o responsável pelos ataques.
Os espelhos podem ser vistos nos links abaixo:
Microsoft Romênia
Lista completa de ataques do grupo PoizonB0x
Leia também:
Ataques põem site Attrition.org fora do ar
| Noticias |
Site do Flamengo é invadido
20/5/2001 - 17:27 Giordani Rodrigues
O Flamengo começou mal a decisão do campeonato carioca de futebol. Além de ter perdido o primeiro jogo para o Vasco, por 2 a 1, ainda teve o seu site oficial desfigurado. Identificado como Morfeu, o invasor não fez críticas ao time. Aparentemente só quis “mostrar serviço”.
A página principal do site foi substituída por outra com fundo branco e letras pretas. “Ei FLAMENGUISTAS, Morfeu esteve aqui... hahahhaa...”, foi o que ele escreveu, além de ter mandado saudações a vários amigos seus.
A desfiguração ocorreu na tarde de hoje, antes do jogo. No momento, o site está fora do ar. O espelho da invasão foi registrado por Alldas.de e pode ser visto aqui.
| Boatos |
Sulfnbk.exe: antes um boato, agora uma falsa verdade
18/5/2001 - 17:49 Giordani Rodrigues
“Uma mentira contada mil vezes, torna-se verdade”. Esta frase é atribuída a Joseph Goebbels, mentor da propaganda nazista, mas se aplica bastante bem a um recente hoax (boato eletrônico) surgido no Brasil há pouco mais de um mês.
Primeiro as pessoas começaram a disseminar um e-mail que dizia que um arquivo do Windows, o Sulfnbk.exe, era um vírus. Muita gente o deletou de suas máquinas acreditando na mentira. Agora, depois que a história já foi esclarecida, ela volta com ares ainda mais críveis: os programas de proteção têm realmente detectado um vírus no arquivo Sulfnbk.exe, que chega em mensagens de e-mail.
Portanto, o tempo mostrou que o arquivo é realmente maligno, certo? Errado! O Sulfnbk.exe não é e nunca será um vírus (a não ser que alguém se aproveite da história e crie um com esse nome). O que está acontecendo é que o arquivo está sendo contaminado principalmente pelo vírus Magistr.A, que infecta, entre outros arquivos, os executáveis.
O Magistr.A também tem a capacidade de enviar tais arquivos por e-mail, daí a confusão que isso tem gerado. O Sulfnbk.exe fica no diretório C:\Windows\Command e, até meia hora atrás, ainda não possuía a capacidade de sair por aí passeando em mensagens de e-mail.
Por isso, se você o receber como anexo, faça uma coisa bem simples: jogue-o na lixeira do seu micro. Caso contrário, correrá o risco de ser infectado, não por ele, mas pelo Magistr.A, que o contaminou e o enviou.
A história do Sulfnbk.exe, que teve origem no Brasil, já correu mundo. Esta semana, a especialista em vírus Mary Landesman, do site About.com, reportou a existência do boato nos Estados Unidos e publicou um artigo sobre ele. O boato também chegou aos países de língua espanhola e sua conexão com o o verdadeiro vírus já foi estabelecida pelo site uruguaio Video Soft.
A Symantec, produtora do Norton Antívirus, que já havia publicado uma nota sobre o boato, atualizou-a há três dias: “Esta mensagem em particular é um hoax. No entanto, o arquivo que é mencionado no hoax, Sulfnbk.exe, é um utilitário do Microsoft Windows usado para restaurar nomes de arquivos longos e, como todo arquivo .exe, pode ser infectado por um vírus que tem como alvo os arquivos executáveis”.
Se uma você acha que uma única empresa não é suficiente, veja os alertas da McAfee e da Maple Informática, representante do Command AntiVirus no Brasil (que por sinal, cita o artigo já publicado em InfoGuerra).
Na área destinada aos comentários de tal artigo, um leitor escreveu o seguinte: “Acho que a notícia tem um fundo de verdade sim pois recebi um e-mail com o arquivo anexado com o nome de sulfnbk.exe e passei o anti-virus e o mesmo o detectou como um virus chamado W32/Magistr@MM. Acho que a notícia espalhada pela internet seria sobre este arquivo que esta sendo enviado por email para varias pessoas e não o arquivo de sistema do Windows”.
Como se vê, a história toda pode trazer bastante confusão. À propósito, a atribuição da frase citada no início deste texto a Goebbels também pode ser um mero boato. Aparentemente, o autor foi um filósofo grego e a frase original era assim: “Uma mentira contada seis vezes, torna-se verdade”.
Desde a época dos antigos gregos, passando por Goebbels, as coisas já evoluíram bastante. Com a Internet, uma mentira pode ser contada não seis, nem mil, mas milhões de vezes em apenas um dia.
Atualização (24/05/2001): O site de segurança SecurityPortal.com e a empresa russa Kaspersky também divulgaram suas versões sobre o Sulfnbk.exe e sua ligação com o Magistr.A. O SecurityPortal classificou o hoax como uma mensagem bem intencionada de alerta sobre vírus, porém pobremente construída. A Kaspersky cita um ditado: "A estrada para o inferno é pavimentada com boas intenções". Clique nos links correspontendes para acessar os artigos.
Leia também:
Falso vírus induz usuário a apagar arquivo do Windows
Novo vírus julga e condena o usuário
Vírus Magistr foi o que mais atacou em abril
| Noticias |
Hackers invadem site do STF e protestam contra apagão
18/5/2001 - 8:01 Giordani Rodrigues
 |
| Noticias |
Maioria dos usuários atualiza os antivírus semanalmente
18/5/2001 - 3:39 Redação InfoGuerra
A enquete InfoGuerra, feita durante o último mês, revelou que 57,2% dos leitores do site atualizam seus programas antivírus pelo menos uma vez por semana. No total, foram obtidas 510 respostas à pergunta “Quanto tempo faz que você atualizou seu antivírus?”. Destas, 292 foram para a opção “Até uma semana”.
Em segundo lugar, com 108 respostas (21,2%), veio a opção “Não tenho antivírus”. Somado à alternativa “Nunca atualizei”, que obteve 33 respostas (6,5%), este número salta para 141 (27,7%). As outras alternativas foram as seguintes:
Até um mês: 53 respostas (10,4%).
Até três meses ou mais: 24 respostas (4,7%).
Análise: O elevado número de pessoas que informaram atualizar semanalmente seus programas de proteção contra vírus é animador. É de se esperar que o público que acessa um site sobre segurança esteja mais bem informado sobre os riscos de pragas virtuais e tenha maiores cuidados com relação à proteção de suas máquinas.
Por outro lado, considerando este mesmo público, o número de pessoas que não possuem antivírus também se mostrou elevado. Se somarmos com os que nunca atualizaram seus programas, teremos quase 30% das respostas. Deve-se lembrar que um antivírus não atualizado só oferece proteção contra os vírus mais antigos. E todo dia surgem novas ameaças.
Alguns especialistas aconselham que se faça uma atualização a cada dois dias, ou mesmo diariamente. O problema é que nem todos os fabricantes dos programas oferecem essa possibilidade. Portanto, atualizações semanais já são uma boa medida.
Acima de um mês, o perigo aumenta consideravelmente. Basta lembrar que, de acordo com a empresa britânica Sophos, foram descobertos 1288 novos vírus apenas no mês de abril (leia notícia). A grosso modo, pode-se considerar que cerca de 60% dos leitores de InfoGuerra estão bem protegidos, enquanto os outros 40% possuem pouca ou nenhuma proteção contra os vírus mais recentes.
Próxima enquete
Estamos lançando hoje uma nova enquete, com a pergunta “A imprensa deve divulgar ataques de hackers?”. O tema tem gerado discussão no Brasil, um país que, apesar de ser o campeão de desfigurações no mundo, ainda tem bastante a aprender quando o assunto é segurança de sistemas. Veremos qual será o resultado.
| Noticias |
Novas variantes do vírus Homepage se espalham pelo mundo
17/5/2001 - 16:31 Giordani Rodrigues
Se o vírus Homepage apelava para a pornografia para enganar os usuários, sua nova variante, o Mawanella, usa um apelo político com o mesmo fim. Detectado nas primeiras horas de hoje, as principais empresas antivírus estão dando o alerta de que a praga também está se espalhando com velocidade pelo mundo.
A MessageLabs, empresa britânica especializada em monitorar mensagens de e-mail em busca de vírus, já detectou 1.285 cópias do vírus até agora. O primeiro exemplar veio do Sri-Lanka, país do sudeste asiático. A maior concentração de casos constatados pela empresa vem da Inglaterra e em seguida da Holanda.
Já a empresa finlandesa F-Secure encontrou vários casos de infecção nos Estados Unidos, logo após a meia noite de hoje. Depois disso, o vírus foi detectado na Ásia, Austrália e Europa, mas principalmente no norte da Europa e nos países escandinavos.
O Mawanella, também conhecido por VBS/VBSWG-Z, é mais um dos vírus criados com o auxílio do programa VBS Worm Generator (VBSWG), responsável pela geração do Homepage e do Anna Kournikova, entre outros. O programa foi produzido pelo argentino [K], que se isenta de responsabilidade pelo uso que outros usuários fazem de sua ferramenta.
Como seus antecessores, o Mawanella chega anexado em uma mensagem de e-mail e tem a capacidade de congestionar os servidores de correio eletrônico. A mensagem tem as seguintes características:
Assunto: Mawanella
Corpo: Mawanella is one of the Sri Lanka's Muslim Village
Anexo: Mawanella.vbs
Caso o arquivo anexado seja executado, o vírus dá início à distribuição em massa de cópias de si mesmo a todos os endereços registrados no catálogo do Outlook. Segundo a Trend Micro, depois que as cópias são enviadas, ou se o usuário não tiver o Outlook instalado, o vírus apresenta as seguintes caixas de mensagem:
 |
 |
| Noticias |
Hackers brasileiros invadem sites da Ford e Ferrari
17/5/2001 - 12:50 Giordani Rodrigues
 |
| Noticias |
Nova variante do vírus I Love You destrói arquivos
16/5/2001 - 20:32 Giordani Rodrigues
A Sophos lançou hoje o alerta para a descoberta de uma nova variante do famigerado vírus I Love You. Ao contrário deste, no entanto, o VBS/LoveLet-CL, como foi chamado, não apenas tem a capacidade de congestionar servidores, como também de destruir arquivos.
O VBS/LoveLet-CL é um vírus do tipo worm, ou seja, que utiliza recursos de rede para se espalhar. Ele chega em um e-mail com as seguintes características:
Assunto: !!!
Corpo da mensagem: :-) MuCuX...
Arquivo anexado: echelon.vbs
Caso seja executado, o vírus faz duas cópias de si mesmo com os nomes command.vbs e WinVXD.vbs. Estes arquivos são executados toda vez que o computador é iniciado. Caso o usuário possua o Outlook, a praga se auto-envia para todos os contatos da lista de endereços.
Depois de instalado, o vírus procura nos drives locais e de rede por todos os arquivos que tenham as extensões VBS, VBE, JS, JSE, CSS, WSH, SCT e HTA. Estes arquivos são sobrescritos com o código do vírus e suas extensões são renomeadas para .VBS.
Os arquivos gráficos JPG ou JPEG também são sobrescritos pelo worm, que adiciona a extensão VBS aos nomes originais. Um arquivo com o nome Imagem.JPG passa a se chamar Imagem.JPG.VBS. O mesmo acontece com os arquivos musicais com extensões MP2 e MP3 que, além disso, têm seus atributos mudados para tornarem-se “ocultos”.
Se o PC possuir o programa de bate-papo mIRC instalado, o worm irá descarregar um script que fará com que ele seja enviado através de canais de chat do IRC (Internet Relay Chat).
O vírus contém um grande número de comentários em seu código, os quais não são mostrados. A Sophos levanta a hipótese de que estes comentários serviriam para sobrecarregar o sistema Echelon de monitorização de comunicações, o que permitiria que a praga se espalhasse. O VBS/LoveLet-CL está sendo considerado de baixo risco.
| Noticias |
Microsoft lança pacote de correções para o IIS
16/5/2001 - 17:30 Giordani Rodrigues
A Microsoft lançou um “pacotaço” que corrige falhas presentes nas versões 4.0 e 5.0 de seu servidor Information Internet Services (IIS). O pacote inclui correções para três vulnerabilidades recentemente descobertas e acumula todas as correções lançadas até hoje para o IIS/5.0 e todas para o IIS/4.0 a partir do Service Pack 5 para Windows NT 4.0.
As três falhas descobertas há pouco tempo permitem que códigos sejam executados arbitrariamente na máquina afetada, ataques Denial of Service (DoS) possam ser implementados contra serviços de FTP (File Transfer Protocol) e informações de contas Guest (visitante) possam ser reveladas, também por meio de ataques ao serviços FTP.
A primeira vulnerabilidade é especialmente grave, tanto que sua descrição foi parar no site do Computer Emergency Response Team (CERT). Descoberto em março pela equipe do NSFocus, o bug se encontra em uma checagem supérflua feita pelo IIS em programas CGI (Common Gateway Interface).
Quando um programa CGI executável é carregado, o IIS decodifica o nome do arquivo duas vezes, mas só aplica uma checagem de segurança na primeira vez. Se os resultados da segunda checagem se referirem a um nome de arquivo válido, o servidor irá permitir o acesso desse arquivo ao sistema, mesmo que isto não devesse acontecer.
As listas de discussões sobre bugs já dispõem de programas que exploram esta vulnerabilidade (exploits), portanto é recomendável que a correção seja aplicada o quanto antes. Ela está disponível a partir do endereço http://www.microsoft.com/technet/security/bulletin/ms01-026.asp.
Leia também:
Descoberta outra falha no servidor IIS 5.0
| Noticias |
Brasileiros atacam site do Citibank na Bélgica
16/5/2001 - 12:33 Giordani Rodrigues
Na tarde de ontem, o grupo Brazil Hackers Sabotage (BHS) penetrou no site do Citibank da Bélgica. Além de ter desfigurado a página principal, o grupo insinuou ter acessado outras informações do banco. Como prova, deixou um endereço que conteria arquivos do banco de dados do site.
Depois de ironizar a segurança do sistema (“Isso era pra ser seguro por se tratar de um banco? Ou vocês tão de sacanagem?”), os hackers escreveram: “Vou dá a vocês um pouquinho do que eu tenho ;] Vocês, visitantes do site, podem fazer o download de um mdb http://www.citibank.be/citibank.mdb Ah.. vocês querem mais? Invade ai e pega ;]”.
Os primeiros registros de atividade do grupo BHS, segundo o site alemão Alldas.de, são de pouco mais de dois meses atrás. De lá para cá, os hackers já invadiram quase duas centenas de sites, sem contar os ataques em massa, em que um servidor dá acesso a vários domínios. Em abril, o grupo invadiu três endereços da loja virtual da Xuxa e disse que queria conhecer o camarim da apresentadora.
De acordo com sites especializados, o Citibank belga utiliza servidores Microsoft IIS/4.0 e sistema operacional NT4/Windows 98. As páginas já estão restabelecidas. O espelho da invasão pode ser visto aqui.
Leia também:
Hackers invadem site da Xuxa
| Noticias |
InfoGuerra "passa a perna" em Info Exame
15/5/2001 - 19:36 Giordani Rodrigues
Deve estar faltando inspiração na redação de Info Exame. Nos últimos dias, a versão online da revista, apesar de ter sido escolhida como melhor site de informática no concurso iBest deste ano, vem sistematicamente publicando, com atraso de um ou dois dias, notícias publicadas em primeira mão por InfoGuerra.
Veja a lista abaixo, com os títulos, datas e links para as matérias:
Falso site da Casa Branca sofre falsa invasão de hackers - InfoGuerra - 6/5/2001
Suposto site hackeado da Casa Branca é apenas paródia - Info Exame - 8/5/2001
***
Hackers fazem a festa com o Windows 2000 - InfoGuerra - 7/5/2001
Windows 2000 cresce na lista de alvo dos hackers - Info Exame - 9/5/2001
***
Usuários da McAfee acusam Sophos de distribuir vírus - InfoGuerra - 9/5/2001
Sophos diz que McAfee a acusou de distribuir vírus - Info Exame - 10/5/2001
***
Ataques põem site Attrition.org fora do ar - InfoGuerra - 10/5/2001
Falhas e ataques DoS deixaram Attrition.org fora do ar - Info Exame - 11/05/2001
***
Garoto suspenso por invadir computador da escola comete suicídio – InfoGuerra –14/05/2001
Hacker de 13 anos se suicida nos EUA – Info Exame – 15/05/2001
Todas as matérias da Info Exame saíram sob a assinatura da mesma repórter. Vale lembrar que as pautas acima publicadas em InfoGuerra não são fruto de press releases (textos prontos enviados por assessorias de imprensa), o que justificaria a “coincidência”. Pelo contrário, apesar de estarem disponíveis para quem se interessar por pesquisá-las, ainda não haviam sido publicadas no Brasil.
Não é a primeira vez que isto acontece. Só para lembrar um fato marcante, em 5 janeiro deste ano, o site Attrition.org divulgou uma pesquisa sobre o crescimento das desfigurações de sites no mundo, em que o Brasil aparecia em primeiro lugar.
Como InfoGuerra estava em recesso nessa época, a notícia só pôde ser publicada no dia 15. Não é que, por uma enorme coincidência, no dia 16 a Info Exame também publicou a pesquisa, mesmo ela estando disponível desde o começo do mês? A partir desse dia, dezenas de outros sites e jornais fizeram o mesmo.
Além de ficar sabendo dos fatos antes dos outros, o leitor de InfoGuerra tem uma outra vantagem: não é exposto a erros crassos de português. Na matéria sobre os ataques ao Windows 2000, a repórter de Info Exame começou o texto assim: “Daqui a pouco, se a coisa manter o ritmo...”. Clique no link acima e confira, mas faça isso rápido, antes que o texto seja corrigido.
Se a coisa mantiver esse ritmo, a editora Abril vai precisar reciclar sua equipe. Independentemente disso, continue lendo InfoGuerra, o site que sabe conjugar o subjuntivo dos verbos.
| Noticias |
Garoto suspenso por invadir computador da escola comete suicídio
14/5/2001 - 12:54 Giordani Rodrigues
Um garoto americano de 13 anos cometeu suicídio poucas horas depois de saber que havia recebido uma suspensão escolar, sob a acusação de ter penetrado nos computadores do colégio em que estudava. O fato aconteceu no dia 4 de maio e foi noticiado ontem pelo jornal “The Times”, de Trenton, New Jersey.
O adolescente Shinjan Majumder, cuja família emigrou da Índia para os Estados Unidos há 25 anos, enforcou-se em sua casa. Ele estudava na Grover Middle School, no distrito de West Windsor, New Jersey.
Próximo ao meio-dia do dia 4, seu pai, Jayanta Majumder, encontrou-se com o diretor da escola, que informou que Shinjan havia sido suspenso por dias 10 dias. A causa: ele havia “hackeado” o sistema de informática da escola. Não se sabe exatamente o que ele fez.
Após o encontro, Jayanta levou seu filho para casa e foi para o trabalho. Ele conta que meia hora depois disso ainda falou com Shinjan pelo telefone, mas várias chamadas posteriores não foram atendidas. Preocupado, foi para casa e encontrou o filho enforcado.
A mãe do garoto, Rita, disse ter achado um bilhete em que ele escreveu que preferia morrer a ir para a cadeia. Segundo Jayanta, o diretor do colégio, Steve Mayer, teria dito a seu filho que ele poderia ser preso por seus atos.
No entanto, o superintendente distrital John Fitzsimons alega que não foi isso que aconteceu. Segundo Fitzsimons, o diretor teria falado que, se Shinjan fosse um adulto, invadir um computador poderia ser considerado um crime.
Shinjan Majunder era um adolescente talentoso, faixa preta de Tae Kwon Do, que se destacava em natação, tocava violino na orquestra da escola e planejava estudar informática como seu irmão mais velho, Rangan, de 20 anos.
A notícia de sua morte foi parar no site geek Slashdot e transformou-se em uma acalorada discussão. “Dez dias é um pouco extremo para este tipo de violação. Na nossa escola, o máximo é cinco dias e você tem de fazer algo muito sério para isso. Um garoto estava criando vírus nas aulas de ciências da computação e eu acho que ele só pegou três dias”, escreveu um dos comentaristas no site.
| Dicas |
Aprenda a esconder endereços de e-mail
13/5/2001 - 18:24 Giordani Rodrigues
Quantas vezes você já recebeu e-mails com uma lista enorme de destinatários, incluindo seu próprio endereço? Muitas vezes, certamente. E quantas vezes você já mandou uma mesma mensagem para uma grande quantidade de pessoas? É provável que já tenha feito isso também. A facilidade de se enviar uma correspondência para dezenas de pessoas ao mesmo tempo, em diferentes lugares do planeta, é um avanço indubitável das comunicações em tempos de Internet. Mas expor os endereços de todo mundo, além de uma indiscrição, é um convite a que spammers utilizem estas informações para suas atividades escusas.
Os programas de e-mail, incluindo os serviços gratuitos, vêm com uma opção para que os endereços de múltiplos destinatários fiquem ocultos uns dos outros. É a opção “cco” (cópia de cortesia oculta), em português, ou bcc (blind courtesy copy), em inglês. Basta escrever os endereços neste campo para que eles não sejam apresentados abertamente. A maioria das pessoas, porém, ou não sabe para que serve esta opção, ou se esquece dela e só usa o campo “cc”, que deixa as informações à mostra.
Se a opção “cco” não estiver aparecendo em seu programa de e-mail, siga as instruções abaixo. Elas servem para o Outlook Express, da Microsoft, que certamente é o mais usado, mas usuários de outros aplicativos podem adaptá-las aos comandos equivalentes.
1- Abra o Outlook Express
2- Clique em nova mensagem
3- Clique em exibir
4- Selecione a opção “Todos os cabeçalhos”
Pronto, a partir de então o campo “cco” ficará sempre disponível. Quando quiser enviar uma mesma mensagem para vários destinatários diferentes, basta colocar todos os endereços neste campo. A não ser que, por algum motivo, você queira que as outras pessoas saibam para quem o e-mail está sendo remetido.
| Noticias |
Cracker invade site do Arquivo Nacional
13/5/2001 - 10:46 Giordani Rodrigues
Na madrugada de hoje, um cracker identificado por V13TN4M1T4 (Vietnamita) invadiu e desfigurou o site do Arquivo Nacional. A página principal, em tom azul-esverdeado, com o menu do site e a inscrição “Presidência da República Federativa do Brasil”, foi substituída por outra com fundo branco e a mensagem , em letras pretas, “ESTÁ PÁGINA FOI HACKEADA POR [-V13TN4M1T4-]” (sic).
Aparentemente, o vândalo não fez mais nada, pois as outras páginas continuam acessíveis. O Arquivo Nacional é um órgão integrante da Casa Civil da Presidência da República que reúne um acervo que vai do século XVI aos dias atuais.
Criada em 1838, a instituição guarda mais de 50 quilômetros de documentos textuais, mais de um milhão de fotografias, 55 mil mapas e plantas, 13 mil discos e fitas audiomagnéticas, 12 mil filmes e fitas de vídeo. Os documentos provêm de órgãos e entidades do poder público, de instituições privadas e de particulares.
Possui também uma biblioteca especializada nas áreas de história, arquivologia, ciência da informação, direito administrativo e administração pública, estimada em 28 mil volumes, além de um acervo com cerca de 5 mil obras raras.
O site do Arquivo Nacional disponibiliza resumos do seu acervo, venda de documentos e publicações virtuais. O sistema roda Windows NT e servidor IIS 4.0, velhos conhecidos dos crackers. O ataque de hoje serve como um alerta às autoridades de que o sistema está vulnerável.
Até o momento em que esta notícia foi publicada, o site continuava alterado. De qualquer forma, o espelho da invasão foi registrado por Attrition.org e pode ser visto aqui.
| Noticias |
Vírus traiçoeiro finge ser alerta da Symantec
12/5/2001 - 19:10 Giordani Rodrigues
Como se já não bastassem todos os e-mails sobre falsos vírus, agora o internauta tem de lidar com um alerta sobre um falso vírus que é, ele próprio, um vírus. Trata-se do VBS/Hard-A, que chega em uma mensagem de e-mail fazendo-se passar por um aviso da Symantec, produtora do Norton Antivírus. Segundo a empresa britânica Sophos, que hoje publicou informações sobre a praga, já foram relatados vários casos de infecção pelo VBS/Hard-A.
O e-mail dá a entender que foi repassado por outros usuários, pois vem com uma lista de endereços e a sigla “FW”, de “Forward”, comum em mensagens que são enviadas de uma pessoa para outra. Na linha de assunto está escrito "FW: Symantec Anti-Virus Warning" (FW: Aviso da Symantec Antivírus). O corpo da mensagem possui as seguintes características:
----- Original Message -----
From: warning@symantec.com
To: supervisor@av.net ;
security@softtools.com ;
mark_fyston@storess.net ; directorcut@ufp.com ;
pjeterov@goldenhit.org ;
kim_di_yung@freeland.ch ;
james.heart@macrosoft.com
Subject: FW: Symantec Anti-Virus Warning
Hello,
There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!
Symantec has first noticed it on April 04, 2001.
The attached file is a description of the worm and how to
protect your pc against it.
With regards,
F. Jones
Symantec senior developer
Ou seja, um aviso, assinado por um suposto funcionário da Symantec, de que há um novo worm na rede, muito perigoso e espalhando-se rapidamente. A empresa o teria descoberto no dia 4 de abril. A mensagem também afirma que a descrição sobre o worm, bem como a forma de se proteger, fazem parte do arquivo anexado.
O nome do arquivo é “www.symantec.com.vbs” e, é claro, nele está escondido o vírus. O usuário que acreditar na história e clicar no anexo abrirá um arquivo em forma de página HTML similar a uma página de informações da Symantec. O texto descreve um worm inexistente de nome VBS.AmericanHistoryX_II@mm.
O vírus então descarrega no drive C um arquivo Visual Basic Script de nome www.symantec_send.vbs e muda o registro para ser rodado quando o Windows for reiniciado. A chave de registro alterada está localizada em Hot_Key_Current_User\Software\Microsoft\Windows\CurrentVersion\Run.
Feito isso, o VBS/Hard-A envia uma cópia de si mesmo a todos os contatos da lista de endereços do Outlook. No dia 24 de novembro, ele apresenta uma mensagem com o seguinte texto:
Don't look surprised!
It is only a warning about your stupidity
Take care!
(Não fique surpreso! É apenas um alerta sobre sua estupidez. Tome cuidado!)
O esquema é ardiloso e pode enganar muita gente. Novamente, a orientação é simples: não abra arquivos anexados, a menos que você tenha certeza do que se trata. Para saber como identificar as extensões duplas, que escondem arquivos perigosos, leia esta dica.
| Noticias |
FBI paga para receber informações erradas
11/5/2001 - 18:03 Giordani Rodrigues
O FBI tem utilizado uma considerável soma de dinheiro para reunir informações pessoais dos cidadãos americanos, compradas de empresas privadas. Além das questões éticas que isso implica, há ainda o agravante de que muitas destas informações contêm erros, o que pode trazer sérias conseqüências às pessoas afetadas. As conclusões são de Richard Smith, Chief Technology Officer da Privacy Foundation, organização de defesa da privacidade.
Hoje, ele publicou uma descrição de como seu próprio dossiê contém mais informações erradas do que corretas. O dossiê foi comprado da ChoicePoint Inc., empresa privada para a qual o FBI pagou US$ 8 milhões no ano passado para obter dados privados de praticamente todos os adultos dos Estados Unidos.
A ChoicePoint prepara os dossiês cruzando informações de números de cartões da previdência social com relatórios de crédito, documentos de taxas urbanas, arquivos judiciais, etc. Após ter pago US$ 20 por cada dossiê, Smith recebeu um pacote com mais de 60 páginas contendo informações suas e de sua mulher.
Nas primeiras páginas, ele constatou que a companhia de cartão de crédito havia fornecido seu endereço atual e os dois anteriores. A prefeitura da cidade forneceu dados sobre sua casa: quando ele a comprou, quanto pagou pelo imóvel e que taxas de propriedade estão incluídas. “Eles tinham até a metragem da minha casa, o que eu estava curioso para saber desde que nos mudamos”, comentou ironicamente.
À medida que avançava no relatório, as coisas foram ficando mais esquisitas. Smith descobriu, assustado, que estava morto desde 1976 e que tinha se envolvido em mais de 30 pequenos negócios ao redor do país. Também soube que tinha sido casado com uma mulher chamada Mary.
O dossiê não encontrou antecedentes criminais em seu nome no Estado do Texas, onde mora, mas sugere que se procurasse informações criminais sobre “Ricky Smith” e Rickie Smith”, “porque houve certos caras maus na cadeia com esses nomes”, diz Smith. Os erros continuam em relação à sua mulher e às suas duas filhas.
Depois de ter constatado tantos equívocos, Smith resolveu pedir para ser retirado do banco de dados da empresa. Mais uma surpresa: descobriu que não podia. “Eles escolhem ter um relacionamento com você, mas você não tem nenhuma escolha em seu relacionamento com eles”.
A justificativa da ChoicePoint é simples: as referências são usadas por agências governamentais e por negócios legítimos para identificar e localizar indivíduos, a fim de tornar a sociedade um lugar mais seguro. A exclusão de pessoas dos bancos de dados traria efeitos adversos no fornecimento de informações de qualidade.
Além de fornecer dossiês ao FBI, a ChoicePoint ajuda empresas na condução de pesquisas sobre seus empregados, investigações de fraudes e exames de apólices de seguro. Um erro nestes casos pode trazer graves conseqüências às vidas das pessoas.
Preocupado com isso, Richard Smith chega a uma conclusão relevante: “Eu não quero me complicar simplesmente porque um estranho que é listado em meu dossiê faz algo errado. Também me deixa curioso qual informação a meu respeito é colocada erroneamente no dossiê de pessoas com nomes similares ao meu”.
Sem opção, Smith fez a única coisa que estava a seu alcance: assinalou os erros presentes nos relatórios da sua família e enviou-os à ChoicePoint para que fossem corrigidos.
| Noticias |
Novo vírus sadmind/IIS desfigura mais de 8 mil páginas
11/5/2001 - 13:43 Giordani Rodrigues
Na última terça-feira, dia 8, a equipe do Attrition.org recebeu um e-mail contendo uma lista de 8.836 endereços IP (Internet Protocol) que teriam sido vítimas do sadmind/IIS, um novo vírus do tipo worm descoberto esta semana. Ele ataca servidores Solaris e IIS, alterando páginas Web. Pelas conclusões do Attrition, todos os endereços foram desfigurados pelo worm.
O sadmind/IIS worm explora vulnerabilidades conhecidas há bastante tempo, tanto nos servidores Solaris, da Sun Microsystems, quanto no IIS (Internet Information Services), da Microsoft. Ao encontrar um servidor Solaris vulnerável, ele se espalha para outras máquinas que utilizam o sistema. A partir daí, instala um programa que procura e ataca servidores IIS com falhas, desfigurando as páginas index.html de sites hospedados nestes servidores.
Depois de desfigurar 2 mil sistemas IIS, o worm faz o mesmo no servidor Solaris em que estiver instalado. As páginas modificadas apresentam a mensagem “fuck USA Government fuck PoizonB0x contact:sysadmcn@yahoo.com.cn”. O CERT Coordination Center publicou uma análise da ação do worm, com links para as correções das falhas.
O fato de o sadmind/IIS apresentar impropérios contra o governo americano e o grupo hacker PoizonB0x nas páginas atacadas, além de mostrar um e-mail com domínio .cn, sugere que o worm é mais um desdobramento da briga entre hackers chineses e americanos, desencadeada recentemente. O grupo PoizonB0x, que já declarou não ser americano, desfigurou centenas de sites chineses nas últimas semanas.
A equipe do Attrition, apesar de só ter conseguido converter uma parte dos endereços IP em sites propriamente, acredita que todos foram comprometidos e desfigurados. A lista dos endereços analisados pode ser encontrada aqui. Vários ainda estão alterados. Um exemplo de como ficam as páginas desfiguradas pelo worm pode ser visto aqui.
| Noticias |
Homepage atinge o Brasil e já é o vírus mais ativo no mundo
10/5/2001 - 22:03 Giordani Rodrigues
O Homepage, praga descoberta há apenas dois dias, já é, de longe, o vírus mais ativo no mundo, no momento. A Trend Micro, que possui uma ferramenta de rastreamento online de vírus chamada House Call, contabilizou 46 mil máquinas infectadas mundialmente pelo vírus, nas últimas 24 horas. Na América Latina, este número é de cerca de 6 mil computadores.
Para se ter uma idéia, de acordo com os mesmos dados, foram encontradas 557 máquinas infectadas pelo segundo vírus mais ativo no mundo nas últimas 24 horas, o Hybris, ou Branca de Neve Pornô. Na América do Sul, o segundo lugar pertence ao Marker, com 126 computadores infectados.
Segundo Hernán Armbruster, diretor de operações da Trend Micro para a América Latina, o Brasil responde por cerca de metade dos números de infecções de vírus na região, o que significa que o país teve pelo menos 3 mil computadores infectados nas últimas 24 horas.
É bom lembrar que estes são apenas os cálculos da Trend Micro referentes aos usuários que utilizaram a sua ferramenta House Call. Portanto, os números totais são bem maiores. Mesmo assim, Armbruster acredita que a proliferação do Homepage tem sido menor do que a dos primeiros dias do Anna Kournikova, em fevereiro.
“Na próxima segunda-feira, estes números deverão estar bem mais equilibrados. Os usuários normalmente demoram em torno de um dia até começarem a tomar providências depois que um vírus de alto risco surge. Três dias depois, os efeitos já começam a se apagar”, concluiu.
O principal efeito do Homepage é enviar uma cópia de si mesmo a todos os endereços da lista do Outlook. Este tipo de situação causa perdas financeiras para as empresas. “Em clientes corporativos, quando vírus dessa natureza começam a se espalhar, os servidores de e-mail caem. Ou então são desligados”, disse Hernán Armbruster. Ele acha, no entanto, que ainda é cedo para se medir o prejuízo causado pelo vírus.
O vírus utiliza comandos de Visual Basic Script (VBS) para infectar as máquinas. Ele foi criado com a ferramenta chamada VBS Worm Generator, inventada pelo argentino [K] e usada pelo holandês “OnTheFly” para produzir o vírus Kournikova. O Homepage, porém, já foi criado com a versão 2.0 da ferramenta, lançada há pouco tempo por [K], enquanto o Kournikova foi gerado pela versão 1.5.
O Homepage tenta enganar os usuários abrindo uma entre quatro páginas pornográficas. A revista Wired publicou em seu site uma reportagem dizendo que recebeu um e-mail de três adolescentes holandeses que alegam ter criado a praga para fazer a visitação a tais sites aumentar. Se isto for verdade, eles se deram mal.
Quem teve a curiosidade de visitar os sites percebeu que, na manhã de ontem, eles estavam online. No final da tarde, porém, com a disseminação da notícia sobre o vírus, todos os quatro endereços já tinham sido retirados da rede.
Os endereços são http://hardcore.pornbillboard.net/shannon/1.htm, http://members.nbci.com/_XMCM/prinzje/1.htm, http://www2.sexcropolis.com/amateur/sheila/1.htm e http://sheila.issexy.tv/1.htm.
Para saber mais detalhes sobre o Homepage, clique aqui. Dicas de como se proteger desta e de outras pragas semelhantes podem ser encontradas aqui.
Leia também:
Entrevista com [K], criador do kit que gerou o vírus Kournikova
Poderoso kit para criação de vírus é retirado da Internet
Programa que criou vírus Kournikova ganha nova versão
| Dicas |
Previna-se contra o vírus Homepage e outras pragas de VBS
10/5/2001 - 10:58 Giordani Rodrigues
Um bom número de vírus surgidos nos últimos tempos aproveita-se de certas comodidades utilizadas por produtos da Microsoft que, se devidamente exploradas, podem abrir brechas de segurança em seu computador. Uma delas é o Visual Basic Script (VBS), um conjunto de comandos que automatizam tarefas, a exemplo das macros, utilizadas pelo Word e que também servem para a proliferação de pragas virtuais.
Impedir que tais comandos sejam executados, no entanto, é bastante simples e previne a ação de vírus de VBS como I Love You, Anna Kournikova, Kakworm e o recente Homepage, que começou a se espalhar rapidamente pelo mundo há menos de dois dias.
Basta desabilitar a função Windows Scripting Host (WSH) de sua máquina. Como o próprio nome sugere, esta é a função que o Windows utiliza para rodar scripts, incluindo o VBS. O WSH vem instalado como padrão em várias configurações do Windows e, a menos que você faça um uso específico de sua máquina, desabilitá-lo não irá interferir no desempenho do PC. Pelo contrário, pode poupar grandes dores de cabeça.
As seguintes instruções, traduzidas do site da Sophos, explicam como está instalada e como desabilitar a função Windows Scripting Host de seu sistema. As explicações são para versões em língua portuguesa. Para versões em outras línguas, basta seguir as opções equivalentes. Tenha em mente que a atualização de produtos como Windows, Internet Explorer e outros pode anular os procedimentos descritos.
Windows 98:
A função WSH está instalada se você optou pela instalação padrão do Windows 98, se possui o Internet Explorer 5, ou baixou o WSH do site da Microsoft. Nestes casos, faça o seguinte para desabilitar a função:
1. Selecione Iniciar|Configurações|Painel de Controle.
2. Clique em “Adicionar/Remover programas”.
3. Abra a caixa de diálogo “Instalação do Windows” e dê um duplo clique em “Acessórios”
4. Procure por “Windows Scripting Host” e desmarque essa opção.
5. Clique “OK” até voltar à área de trabalho.
Windows 95:
A função WSH está instalada se você possui o Internet Explorer 5, ou se baixou o WSH do site da Microsoft. Para impedir que scripts com a extensão .VBS sejam executados, faça o seguinte:
1. Na Área de Trabalho, ou utilizando o Windows Explorer, clique com o botão direito do mouse em “Meu Computador”.
2. Selecione “Abrir”
3. Na janela que aparecerá, clique em “Exibir” e selecione “Opções”
4. Clique em “Tipos de Arquivos”.
5. Procure por “Arquivo VBScript” na lista de arquivos (se você não conseguir encontar este tipo de arquivo, significa que sua máquina está segura e você não precisa fazer mais nada).
6. Clique no botão “Remover”.
7. Se for pedida a confirmação da remoção, clique em “Sim”.
Windows NT 4.0:
A função WSH está instalada se você possui o Internet Explorer 5, ou se baixou o WSH do site da Microsoft.
Para desabilitar a função, faça o seguinte:
1. Entre como Administrador.
2. Na área de trabalho ou utilizando o Windows Explorer, clique com o botão direito do mouse em “Meu Computador”.
3. Selecione a opção “Abrir”.
4. Na janela “Meu Computador”, abra o menu “Exibir” e selecione “Opções”.
5. Abra a etiqueta “Tipos de arquivos”.
6. Procure por “Arquivo VBScript” (se você não encontrar, sua máquina está segura e você não precisa fazer mais nada).
7. Clique no botão “Remover”.
8. Se você vir uma caixa de diálogo pedindo para confirmar a remoção, clique em “Sim”.
Windows 2000 e Windows 98 ME:
A função WSH está instalada como padrão. Para evitar que scripts com a extensão .VBS sejam rodados, faça o seguinte:
1. Entre como Administrador.
2. Na área de trabalho ou utilizando o Windows Explorer, clique com o botão direito do mouse em “Meu Computador”.
3. Selecione a opção “Abrir”.
4. Na janela “Meu Computador”, abra o menu “Ferramentas” e selecione “Opções de Pasta”.
5. Abra a etiqueta “Tipos de arquivos”.
6. Procure por “Arquivo VBScript” (se você não encontrar, sua máquina está segura e você não precisa fazer mais nada).
7. Clique no botão “Apagar”.
8. Se você vir uma caixa de diálogo pedindo para confirmar a remoção, clique em “Sim”.
Outro artifício que os criadores de vírus de VBS utilizam é esconder a verdadeira extensão dos arquivos maliciosos anexados às mensagens. Para isso, utilizam extensões duplas, como TXT.VBS, TXT.JPG e, no caso do Homepage, HTML.VBS. O Windows tem como padrão não reconhecer a segunda extensão, exibindo somente a primeira extensão dos arquivos conhecidos, junto com o ícone correspondente daquele formato.
Isto também pode ser evitado e InfoGuerra já publicou tal dica na época do vírus Anna Kournikova. Clique aqui para acessá-la.
| Noticias |
Ataques põem site Attrition.org fora do ar
10/5/2001 - 8:09 Giordani Rodrigues
O quê? Hackers derrubaram o servidor do site Attrition.org, o mais conhecido repositório de páginas “hackeadas” do mundo? Não exatamente. Não foram hackers de verdade. Estes têm coisas mais “importantes” com que se preocupar. Mas um bando de script kiddies (garotos que atacam usando programas prontos) conseguiu deixar o site inacessível por algum tempo, ontem.
Brian Martin, também conhecido por Jericho, um dos integrantes da equipe do Attrition, publicou uma nota explicando os motivos pelos quais o site permaneceu fora do ar. Segundo ele, a causa principal foram erros, já corrigidos, no drive que roda os arquivos mais importantes do site. Em seguida, vieram os script kiddies, que congestionaram o servidor com ataques de negação de serviço (DoS).
“Além do flood (grande fluxo de dados) normal, a quantidade de script kiddies fracassados rodando exploits (programas que exploram vulnerabilidades) para NT contra nossos servidores é incrível. Deixe-me dar uma dica a vocês, garotos. ESTE É UM SISTEMA LINUX RODANDO APACHE. Tentem usar exploits adequados contra nós, por favor. Quando as crianças crescerem ou seus pais os colocarem no ônibus para a escola de primeiro grau, certamente isto irá acabar”, escreveu, irônico.
Jericho devia estar realmente zangado, pois avisou que qualquer e-mail reclamando da queda do servidor seria “muito provavelmente recebido com hostilidade”. “Creia em mim, você irá viver se não conseguir ver a última desfiguração”.
Ele garante que, dadas as condições dos velhos computadores que a equipe utiliza, seu trabalho já está bom demais. Para provar, publica estatísticas mostrando quanto tempo as máquinas têm ficado ligadas sem interrupção.
No final, manda um aviso aos desfiguradores de sites: “não nos escrevam queixando-se de que nós perdemos seu último ‘trabalhinho manual’. E daí? É a mesma baboseira sem sentido de ontem, de anteontem e do dia anterior”. Uau!
| Noticias |
Vírus pornográfico se espalha rapidamente pela Internet
9/5/2001 - 10:51 Giordani Rodrigues
Desde ontem à noite, várias empresas antivírus estão lançando alertas sobre o aparecimento de uma nova praga virtual que está se espalhando rapidamente pelo mundo. Trata-se do VBSWG.X, também chamado de Homepage, um vírus do tipo worm que utiliza conhecidas técnicas para convencer o usuário a executá-lo.
O Homepage chega anexado a uma mensagem de e-mail e tenta enganar quem o recebe abrindo páginas pornográficas. O vírus foi criado com a ferramenta VBS Worm Generator, a mesma usada para produzir o Anna Kournikova, que infectou milhares de computadores em fevereiro deste ano.
O Homepage só consegue se espalhar pelo Outlook. O e-mail que o carrega chega com a palavra “Homepage” no campo do assunto. O corpo da mensagem traz a frase “You've got to see this page! It's really cool ;O)” (Você tem de ver essa página! É realmente legal). Como anexo, o arquivo “HOMEPAGE.HTML.VBS”.
Caso a vítima execute o arquivo, o vírus deixa uma cópia de si mesmo no diretório Windows com o nome HOMEPAGE.HTML.VBS. Em seguida, revisa o registro do sistema e envia uma mensagem infectada a todos os endereços do catálogo do Outlook.
Depois de enviar as mensagens, o Homepage tenta acessar quatro páginas páginas pornográficas na Internet: http://hardcore.pornbillboard.net/shannon/1.htm, http://members.nbci.com/_XMCM/prinzje/1.htm, http://www2.sexcropolis.com/amateur/sheila/1.htm e http://sheila.issexy.tv/1.htm.
Após todo o “trabalho sujo”, o vírus ainda procura por mensagens com o assunto “Homepage”. Caso encontre, ele apaga a mensagem para evitar ser detectado.
Logo após ter sido detectado, o vírus começou a se espalhar com grande velocidade. A Trend Micro, que o classificou inicialmente como de médio risco, já o pôs na categoria de alto risco. Mikko Hyppönen, gerente da F-Secure, comenta: “Os primeiros relatos indicam que este vírus está se espalhando mais rápido do que muitos dos maiores vírus que nós vimos no último ano. Mais rápido até do que o Anna Kournikova.”
A MessageLabs, que monitora e-mails em busca de vírus, relata a detecção de cerca de 100 mensagens infectadas por minuto, o que equivale à velocidade de propagação do I Love You, em maio do ano passado. Das 16h30 de ontem até as 6 horas da manhã de hoje (horários de Brasília), a empresa já detectou cerca de 5 mil mensagens contaminadas.
“Este novo vírus Homepage sem dúvida está se espalhando tão rapidamente quanto o I Love You no ano passado. O fato de nós estarmos observando acima de 100 cópias do vírus a cada minuto mostra que as companhias não têm atualizado seus antivírus”, afirmou Mark Sunner, Chief Technology Officer da Message Labs.
A primeira cópia do vírus interceptada pela companhia proveio da Holanda, mas a maioria das mensagens contaminadas está vindo da Austrália, até agora.
O Homepage não é um vírus destrutivo, isto é, não apaga arquivos. Mas sua capacidade de envio de mensagens em massa pode congestionar servidores e gerar altas somas em prejuízo.
| Noticias |
Usuários da McAfee acusam Sophos de distribuir vírus
9/5/2001 - 1:00 Giordani Rodrigues
A empresa britânica Sophos, uma das principais produtoras de antivírus do mundo, publicou em seu site, hoje, uma nota perturbadora com o título “McAfee acusa falsamente Sophos de distribuir vírus”. O texto afirma que os usuários da empresa americana estavam acusando a Sophos de enviar, junto com seu alerta sobre o novo vírus VBS/VBSWG-X, também chamado de Homepage, o próprio vírus.
No entanto, tudo não passou de um grave engano. “A McAfee confirmou à Sophos que algumas versões do seu produto têm a tendência de dar um falso alarme para descrições de vírus inteiramente inocentes (por exemplo, descrições que usam a expressão VBSWG e citam um nome de arquivo com dupla extensão)”, diz um trecho da nota.
Por causa disso, alguns usuários do programa da McAfee que também recebem e-mails com alertas da Sophos foram enganados e se assustaram, gerando a confusão.
A empresa britância, é claro, faz questão de assegurar que não enviou nenhum vírus e sugere aos usuários da concorrente que procurem ajuda com o suporte técnico da Network Associates, corporação que abrange a McAfee. Segundo a mesma nota, este problema deverá ser corrigido com os arquivos de atualização 4138 DAT do programa.
| Noticias |
Outro site da Microsoft é invadido
9/5/2001 - 0:00 Giordani Rodrigues
Os brasileiros do grupo Prime Suspectz resolveram fazer “carreira” em cima da Microsoft. Ontem, invadiram mais um site da companhia, dessa vez um endereço do domínio corporativo — http://streamer.microsoft.com.
Os hackers deixaram a já conhecida bandeira brasileira em tom verde-neon com sua marca e indagações à Microsoft.
“Onde está a segurança?”, perguntaram, em inglês. O difícil foi entender o resto do texto, mas é qualquer coisa assim: “Agora foi a vez da Microsoft.com, que fabrica os servidores IIS. Windows 2000+IIS 5.0, uma mistura perfeita, como vocês podem ver”.
O grupo refere-se certamente à recente falha descoberta no Windows 2000 rodando em servidores IIS 5.0. Dezenas de sites de grandes corporações com essa configuração, incluindo a própria Microsoft, estão sendo desfigurados.
Há poucos dias, o Prime Suspectz já havia invadido as filiais da gigante do software no Reino Unido, México e Arábia Saudita, além da seção de esportes da MSNBC, uma associação entre a Microsoft e a NBC. No final de semana, desfigurou o site do McDonald’s na Argentina, que também usa Windows 2000/IIS 5.0.
De acordo com o site Attrition, esta é a décima vez que se registra um endereço da Microsoft invadido, desde outubro de 1999. A lista completa, com exceção deste último site, está em http://www.attrition.org/security/commentary/microsoft0503.html.
Nesta página, a equipe do Attrition também faz uma correção. O endereço www.microsoft.com.gr, que também foi desfigurado pelo Prime Suspectz e em seguida pelo grupo WOH, não pertence à Microsoft da Grécia, como foi divulgado. Apesar de ser redirecionado ao site da companhia naquele país, posteriormente descobriu-se que está registrado em nome de um grego. Para ver o espelho do ataque de ontem, clique aqui.
| Noticias |
Hackers fazem a festa com o Windows 2000
7/5/2001 - 14:06 Giordani Rodrigues
Você tem um site na Internet rodando Windows 2000 em servidor IIS 5.0? Pois faça agora a atualização de segurança para estes produtos. Desde que foi anunciada, no dia primeiro de maio, uma grave vulnerabilidade que afeta o conjunto, os hackers têm feito a festa invadindo sites que o utilizam.
Segundo o Attrition.org, que registra desfigurações de hackers em todo o mundo, os ataques ao Windows 2000 cresceram vertiginosamente. Apenas nesta primeira semana de maio, já houve 185 casos de invasões deste sistema, mais do que em todo o mês de abril, que teve 157 ocorrências. Coincidência? Provavelmente não.
Vistos por outro ângulo, os números são ainda mais impressionantes. De agosto de 1999 até hoje (7 de maio), as invasões de Windows 2000 ocupam a quinta posição, com 5,81% dos casos. Se considerarmos apenas os primeiros sete dias de maio, este número sobe para 26,02%, ocupando o segundo lugar.
Perde apenas para o imbatível Windows NT, que tem 56,4% de desfigurações, ou 401 ocorrências. Levando-se em conta que o Windows 2000 é um sistema relativamente novo — só começou a aparecer nas estatísticas do Attrition em fevereiro de 2000 —, os números tornam-se ainda mais contundentes.
A falha de segurança do sistema ocorre no protocolo IPP (Internet Printing Protocol), que controla a impressão de documentos através da Internet. Tal protocolo é implementado no Windows 2000 por uma extensão chamada ISAPI (Internet Services Application Programming Interface), que só pode ser acessada via servidores IIS 5.0
Uma requisição de impressão, especialmente preparada para explorar a vulnerabilidade (um exploit), pode abrir as portas do sistema. A partir desse momento, um hacker pode assumir total controle da máquina.
Assim que um bug (falha de programação) é descoberto, um exploit pode ser rapidamente desenvolvido. Na verdade, a própria constatação do bug já supõe a existência de comandos que foram capazes de explorá-lo. Basta aperfeiçoar tais comandos. Foi o que aconteceu no caso do Windows 2000.
Há dias já se encontra facilmente na Internet um programa escrito em linguagem C, capaz de explorar a falha do Windows 2000 rodando em servidores IIS 5.0. Felizmente, sua correção também está disponível. Mas parece que os sites continuam subestimando a capacidade de garotos com muito tempo livre e disposição para pichar suas páginas.
Leia também:
Microsoft é vítima da própria vulnerabilidade
Falha no Windows 2000 deixa o sistema completamente vulnerável
| Noticias |
Hackers invadem site da Folha de São Paulo
7/5/2001 - 10:19 Giordani Rodrigues
O grupo hacker brasileiro InSaNiTy ZiNe c0rp. invadiu, ontem, um dos sites do jornal Folha de São Paulo. O endereço atacado — Folhainvest em Ação — transformou-se em painel de críticas ao que foi chamado de “nova escola”. O grupo refere-se aos vários desfiguradores de páginas surgidos nos últimos tempos.
Em um texto em inglês, podia-se ler coisas como: “não digam que vocês são hackers, vocês não são hackers, são apenas um monte de pré-script kiddies”. O termo designa pessoas que aprendem a usar programas prontos (scripts) para invadir sistemas.
Comentando sua ausência da cena hacker (“vocês sentiram saudades? Acho que não”) o IZ c0rp., como também é chamado, disse que voltou justamente por causa das coisas que os “novos garotos” estão fazendo. No final, o grupo afirmou estar trazendo a “velha escola” de volta e escreveu: “Deus salve os verdadeiros script kiddies”.
O Folhainvest em Ação é um concurso promovido pelo caderno de investimentos da Folha de São Paulo e pela Bolsa de Valores de São Paulo (Bovespa). Os participantes recebem um capital fictício de R$ 100 mil para aplicar em ações e os melhores colocados têm direito a prêmios, incluindo uma viagem aos Estados Unidos para conhecer as bolsas Nasdaq e de Nova Iorque. No momento, o site está fora do ar.
Informações de sites especializados dão conta de que o sistema invadido roda Windows 2000 e servidor IIS/5.0, o que faz supor que a Folha foi mais uma das vítimas da brecha de segurança encontrada neste conjunto no começo do mês. De lá para cá, verificou-se uma onda de ataques explorando a vulnerabilidade (leia matéria).
O IZ c0rp. já é bastante conhecido no submundo da Internet brasiliera. Em seu “histórico”, constam desfigurações de sites como o do MST, Symantec, HP e das filiais nacionais da Microsoft, Network Associates e McAfee. Para ver o espelho do ataque ao Folhainvest em Ação, registrado pelo site Alldas, clique aqui.
| Noticias |
Descoberta outra falha no servidor IIS 5.0
7/5/2001 - 6:17 Giordani Rodrigues
Neste final de semana, o consultor de segurança búlgaro Georgi Guninski lançou mais um de seus alertas sobre falhas em produtos da Microsoft. Ele descobriu que é possível reiniciar remotamente todos os serviços relacionados ao servidor IIS 5.0 usando requisições especialmente preparadas para tal. Se as requisições forem repetidas, podem causar sérios danos no desempenho do servidor.
O problema se encontra no serviço Web-DAV (Web-based Distributed Authoring and Versioning), um conjunto de extensões do HTTP (Hypertext Transfer Protocol), que permite a manipulação de arquivos em um servidor Web. Em sua página, Guninski apresenta uma demonstração de como explorar a vulnerabilidade usando uma requisição que contém um código malicioso.
A atual falha é o desdobramento de uma outra com características semelhantes, também descoberta pelo búlgaro, em março. Guninski considera o problema como de médio risco e afirma que alertou a Microsoft no dia primeiro deste mês.
A recomendação que ele faz para “talvez” ajudar a evitar o bug é desabilitar as extensões do Web-DAV. “Embora eu não recomende o uso do IIS na Internet”, completa.
No começo do mês, a própria Microsoft admitiu a existência de uma falha grave que pode afetar os servidores IIS 5.0 rodando sob o Windows 2000. O bug pode dar a um hacker total controle do sistema.
Leia também:
Microsoft é vítima da própria vulnerabilidade
Falha no Windows 2000 deixa o sistema completamente vulnerável
Protocolo UDP provoca "Denial of Service" no Windows
Falha no Windows Media Player permite total acesso ao PC
| Noticias |
Falso site da Casa Branca sofre falsa invasão de hackers
6/5/2001 - 5:46 Giordani Rodrigues
 |
| Noticias |
Microsoft é vítima da própria vulnerabilidade
4/5/2001 - 11:54 Giordani Rodrigues
 |
| Noticias |
Fundação Vanzolini comenta invasão a seu site
4/5/2001 - 10:58 Giordani Rodrigues
Há poucos dias, o site da Fundação Vanzolini, que possui um programa de defesa da privacidade, foi alvo do ataque de hackers. No dia em que InfoGuerra publicou a notícia, não conseguiu obter um pronunciamento oficial da instituição, o que aconteceu posteriormente.
O administrador do Programa Selo de Privacidade Online, Carlos Cabral, admitiu o ataque, mas ressaltou: “o site invadido foi o da Fundação Vanzolini (institucional) e não o site Programa Selo de Privacidade OnLine, que possui precauções de segurança especiais”.
Sonia Pessôa, que trabalha com Cabral, complementou dizendo que “o ataque de um hacker, alterando a home page de um site, não significa que ele teve acesso aos dados pessoais dos usuários deste site. Nosso Programa cuida da privacidade dos dados pessoais do internauta”.
O Programa Selo de Privacidade Online é mantido pela Fundação Carlos Alberto Vanzolini, ligada à escola Politécnica da USP. Os sites participantes do programa, após auditoria técnica, devem aderir aos requisitos normativos e adquirir a licença para o uso do Selo de Privacidade no site. O selo serve como símbolo de confiança e proteção dos usuários.
De acordo com Sonia, a iniciativa foi elaborada com base nos serviços da BBBonline e da TRUSTe americanas, e baseada em princípios de organizações internacionais de defesa da privacidade, como Online Privacy Alliance, Eletronic Privacy Information Center (EPIC), Eletronic Frontier Foundation (EFF).
Adicionalmente, o programa abrange as Diretivas Européias de Proteção de Dados, que estão sendo discutidas e implantadas nos sites americanos por meio do Acordo Safe Harbor (Federal Trade Commission do Senado Americano e Parlamento Europeu).
Leia também:
Hackers atacam fundação brasileira de defesa da privacidade
| Noticias |
Falha no Windows 2000 deixa o sistema completamente vulnerável
4/5/2001 - 8:13 Giordani Rodrigues
A Microsoft publicou um alerta sobre uma grave falha de segurança no Windows 2000 que pode deixar o sistema completamente vulnerável ao ataque de hackers. A empresa afirma que o problema só ocorre quando o sistema está rodando servidores IIS 5.0 e recomenda a todos os usuários desses produtos que façam a correção, já disponível, com a máxima urgência.
A brecha no Windows 2000 ocorre no protocolo IPP (Internet Printing Protocol), que controla a impressão de documentos através da Internet. O serviço é uma conveniência indubitável. Por exemplo, usando o protocolo IPP, um viajante poderia mandar, pela Internet, um trabalho para ser impresso na rede de sua empresa e ainda verificar se a impressão foi completada sem erros.
Tal protocolo é implementado no Windows 2000 por uma extensão chamada ISAPI (Internet Services Application Programming Interface), que só pode ser acessada via servidores IIS 5.0. E é justamente aí que reside a falha.
A extensão ISAPI contém uma vulnerabilidade que não foi checada anteriormente. Uma requisição de impressão, especialmente preparada para explorar tal vulnerabilidade (um exploit), pode abrir as portas do sistema. A Microsoft admite que o bug pode dar a um usuário mal-intencionado total controle do servidor. Dessa forma, ele poderia executar praticamente qualquer ação de sua escolha.
InfoGuerra entrou em contato com a assessoria de imprensa da Microsoft Brasil, que enviou um comunicado com instruções sobre como evitar o problema. Veja abaixo alguns trechos do comunicado:
“No dia 1º de maio, a Microsoft emitiu o Boletim de Segurança MS01-023 notificando os clientes sobre a vulnerabilidade e instruindo-os a instalar o patch (correção) de segurança. O boletim foi enviado para mais de 130 mil assinantes da lista de e-mail de segurança da Microsoft e também foi postado publicamente em http://www.microsoft.com/brasil/windows2000”.
“A Microsoft aconselha enfaticamente todos os clientes afetados a aplicar o patch imediatamente. Se não puderem aplicar o patch, eles deverão seguir as instruções alternativas dadas no boletim. A vulnerabilidade afeta apenas o IIS 5.0. O IIS 4.0 não está afetado, e os clientes que o utilizam não precisam fazer nada.”
“Os clientes do IIS 5.0 não estão correndo risco se removeram a capacidade Impressão na Internet de seus servidores. A lista de checagem de segurança do IIS 5.0 recomenda que isso seja feito, e o template de segurança fornecido na lista de checagem a retira. A ferramenta Lockdown Tool do IIS 5.0 também retira a capacidade, a menos que o usuário opte explicitamente por conservá-la.”
A brecha no Windows 2000 foi descoberta por Riley Hassel, um técnico da eEye Digital Security. A informação foi publicada no site da empresa no dia 1o de maio e comunicada à Microsoft, que confirmou o problema.
A correção foi disponibilizada em seguida e pode ser baixada em http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321. O Boletim de Segurança, em inglês, contendo ricos detalhes sobre o bug, está disponível em http://www.microsoft.com/technet/security/bulletin/MS01-023.asp.
| Noticias |
Hackers brasileiros invadem site britânico da Microsoft
3/5/2001 - 20:01 Giordani Rodrigues
O grupo hacker brasileiro Prime Suspectz não dá descanso à Microsoft. Depois de ter invadido os sites da companhia na Grécia e na Nova Zelândia, fez o mesmo com o site britânico. O endereço www.microsoft.co.uk foi desfigurado no final da tarde de hoje e o trabalho dos hackers ainda pode ser visto.
Em vez de frases ironizando a segurança do sistema ou imagens da bandeira brasileira, o grupo escreveu apenas “Prime Suspectz owned Microsoft again!!!”. O endereço invadido apenas redireciona o internauta para outro — www.microsoft.com/uk/default.asp. É possível, portanto, que muita gente não perceba a traquinagem e o site continue assim por algum tempo.
O Prime Suspectz fez o mesmo com o site corporativo da NEC, nos Estados Unidos. Quem entrar agora no endereço www.nec.com irá perceber que na parte inferior da página principal está escrito “prime suspectz owned nec!!”. A companhia é um importante fabricante de produtos das áreas de telefonia e computadores.
Caso os sites tenham voltado ao normal, as imagens podem ser vistas nos espelhos registrados pelo Alldas. Clique nos links abaixo para acessá-los:
Microsoft
Nec
Atualização - 20h45: A saga Prime Suspectz x Microsoft continua. Minutos depois de InfoGuerra ter publicado a notícia acima, o site Alldas registrou mais dois endereços da companhia invadidos pelos mesmos piratas digitais. São os sites da Microsoft do México e da Arábia Saudita. Nestes, as desfigurações foram completas. Durante pouco tempo foi possível ver os sites alterados, mas no momento ambos estão fora do ar. Os espelhos podem ser vistos abaixo:
Microsoft México
Microsoft Arábia Saudita
Leia também:
Site da Microsoft é novamente invadido
Microsoft da Nova Zelândia é invadida por hackers brasileiros
Hackers invadem sites da Microsoft
| Noticias |
Vírus Magistr foi o que mais atacou em abril
2/5/2001 - 18:45 Giordani Rodrigues
Como é de hábito a cada início de mês, a companhia britânica Sophos divulgou hoje o ranking dos dez vírus que mais atacaram no mês anterior. “A lista dos dez mais de abril é dominada pelo worm Magistr”, disse Graham Cluley, consultor sênior de tecnologia da empresa.
“Este vírus é particularmente notável porque contém seu próprio cliente SMTP (protocolo para envio de mensagens), portanto não depende do Outlook ou de outros programas de e-mail para se espalhar. Depende, porém, de que os usuários o abram. Então a mensagem para os usuários é simples — não abram anexos não solicitados”, alerta.
Abril também é o mês em que o vírus Chernobyl (CIH) ataca. Todo ano, no dia 26 de abril, aniversário do acidente nuclear de mesmo nome, o vírus tenta sobrescrever os dados do disco rígido de computadores infectados e apagar a BIOS dos sistemas. Descoberto em 1998, causou significativos danos ainda em 1999 e 2000.
Este ano, seus ataques foram registrados em menor quantidade. Assim mesmo, muitas pessoas não tomaram as devidas precauções para atualizar seus programas antivírus e foram atingidas, de acordo com a empresa. O Chernobyl fica em estado latente no computador da vítima, até ser ativado em uma data específica.
A Sophos relata a descoberta de 1288 novos vírus em abril, o que eleva o número de pragas conhecidas para mais de 63 mil. Confira, abaixo, a tabela da empresa com os dez mais do mês:
 |
| Noticias |
Crackers desfiguram mais de 200 sites brasileiros
2/5/2001 - 11:24 Giordani Rodrigues
 |
| Noticias |
Empresa oferece US$ 1 milhão a hackers
1/5/2001 - 22:09 Giordani Rodrigues
Perto do que uma empresa está oferecendo para que hackers quebrem a segurança de seu sistema, os últimos concursos do gênero parecem “fichinha”. A Saafnet International, uma nova companhia da Colúmbia Britânica, no Canadá, pretende pôr à prova um hardware de sua fabricação chamado AlphaShield. Quem conseguir passar pela barreira oferecida pelo produto será contemplado com nada menos do que US$ 1 milhão, segundo o site do jornal canadense The Globe and Mail.
O AlphaShield é colocado entre um computador e um modem, interrompendo a conexão intermitentemente. Ele foi designado principalmente para os usuários de conexões de banda larga, como DSL e cabo, que se expõem mais aos riscos de invasão porque podem permanecer conectados por várias horas ou dias.
As constantes interrupções causadas pelo produto evitariam os ataques de hackers, que não teriam tempo suficiente para suas ações. Segundo Vikashi Sami, de 24 anos, fundador da Saafnet, com o uso do AlphaShield as portas do computador ficam sempre fechadas e só são abertas quando o usuário clica no mouse ou faz requisições de informações da rede.
O concurso deverá ser lançado em julho ou agosto e terá a duração de cinco dias. Os candidatos deverão visitar o site da companhia e verificar o número IP do sistema a ser invadido. Para provar que conseguiu invadir o sistema e levar a bolada de US$ 1 milhão, o hacker precisa roubar uma senha ou um código pré-registrado pela empresa.
Leia também:
LSD compromete segurança de sistemas
Empresa desafia hackers a invadirem seu sistema
| Noticias |
Novo cavalo de Tróia rouba as senhas do PC
1/5/2001 - 19:10 Giordani Rodrigues
Um novo trojan horse (cavalo de Tróia), capaz de roubar as senhas armazenadas no PC, foi descoberto hoje pela Sophos. A praga recebeu o nome de Troj/Unite-C, é originário da Rússia e possui a característica de ser configurável. A empresa afirma que já recebeu vários relatos de contaminação pelo trojan.
O nome do arquivo que carrega o Troj/Unite-C é uma das opções de configuração, por isso pode mudar de acordo com a vontade do usuário mal-intencionado que o envia. Quando executado, este arquivo pode copiar a si mesmo para a pasta Windows\System e adicionar uma nova chave ao Registro, contendo o caminho que leva até ele.
O trojan pode permanecer residente na memória e monitorar o sistema, ou simplesmente ser executado quando se reinicia o computador. Em qualquer caso, ele irá estabelecer uma conexão através da porta TCP (Protocolo de Controle de Transmissão) e enviar as informações roubadas por esta via.
A Sophos já possui atualização para detectar o Troj/Unite-C. Quem possui o antivírus da empresa pode baixá-la em http://www.sophos.com/downloads/ide/unite-c.ide.
Como este cavalo de Tróia é configurável, não se pode prever o nome que o arquivo que o contém irá receber. Portanto, a melhor forma de evitá-lo é seguir as regras de navegação segura. Nunca abra arquivos que você desconhece, anexados em mensagens de e-mail ou enviados de outra forma.
| Noticias |
Vírus usa "foto" de Jennifer Lopez e variante do Chernobyl
31/5/2001 - 0:00 Giordani Rodrigues
Que tal receber, por e-mail, uma foto da atriz Jennifer Lopez nua? Não seria uma má idéia, não fosse um pequeno detalhe: não há foto alguma na mensagem, e sim um vírus, o VBS/Lovelet-CM. O vírus é uma estranha variante do I Love You carregando uma variante de outra conhecida (e perigosa) praga, o Chernobyl.
O e-mail com o VBS/Lovelet-CM traz um arquivo anexado, chamado JENNIFERLOPEZ_NAKED.JPG.vbs. A linha de assunto exibe o texto “Where are you?” (onde está você?). No corpo da mensagem lê-se: “This is my pic in the beach!” (esta é minha foto na praia!).
Caso o usuário abra o anexo, todos discos locais e de rede são rastreados e os arquivos com extensões VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2 e MP3 são sobrescritos com o código do vírus.
Depois disso, são criadas duas chaves no Registro do Windows, que possibilitam que o vírus seja enviado para todos os endereços cadastrados no catálogo do Outlook. Uma das chaves, HotKey_Current_User\software\JENNIFERLOPEZ_NAKED, traz um texto com a informação de que a praga foi criada na Argélia.
Finalmente, o VBS/Lovelet-CM descarrega e roda no computador da vítima uma variante do W95/CIH, também chamado de Chernobyl, vírus altamente destrutivo. Segundo a Sophos, tal variante é detectada pelo seu antivírus como W95/CIH-10xx. O programa também já possui atualização para o VBS/Lovelet-CM, que está sendo considerado de baixo risco.
| Noticias |
Vírus invade rede do Departamento de Defesa dos EUA
31/5/2001 - 0:00 Giordani Rodrigues
O site do Defense Technical Information Center (DTIC), pertencente ao Departamento de Defesa dos Estados Unidos, foi atingido ontem pelo sadmind/IIS, um vírus do tipo worm que afeta servidores Solaris e IIS. O vírus explora falhas antigas dos dois sistemas e desfigura sites que estejam rodando nas máquinas vulneráveis.
O sadmind/IIS compromete inicialmente um servidor Solaris, transformando-o em base para novos ataques. A partir dessa máquina, passa a desfigurar páginas hospedadas em servidores Windows NT. Depois de invadir 2 mil endereços, desfigura a página do próprio servidor em que está localizado. A mensagem deixada nos sites traz palavrões contra os EUA e o grupo PoizonB0x.
Segundo um comentário da equipe do Attrition.org, o DTIC é descrito como “o instrumento central do Departamento de Defesa no provimento e auxílio de troca de informação técnica e científica, que faz parte da Defense Information Systems Agency (DISA)”. A ação do vírus no site do DTIC foi registrado pelo Alldas.de e pode ser vista aqui.
Leia também:
Novo vírus sadmind/IIS desfigura mais de 8 mil páginas
Notícias confundem vírus com hacker
| Noticias |
Criança-vegetal invade site da USP
30/5/2001 - 20:08 Giordani Rodrigues
|
| Noticias |
Grandes companhias são enganadas por falsas notícias
29/5/2001 - 21:01 Giordani Rodrigues
A rapidez e o baixo custo de comunicação oferecidos pela Internet têm gerado não só um infindável número de boatos eletrônicos repassados entre usuários crédulos. Grandes companhias também têm divulgado falsas notícias, as quais são vendidas como se fossem verdadeiras. Nas últimas semanas, sites como Yahoo, The Register, IDG News Service, The Standad Industry e outros foram apanhados por “histórias da carochinha”.
No dia 15, o Yahoo noticiou que a Microsoft tinha admitido a existência de uma senha secreta em seus servidores IIS. A informação foi dada como uma descoberta recente. Além de não ser verdadeira, já tinha sido divulgada há mais de um ano (!) pelo Wall Street Journal.
O fato obrigou a Microsoft a publicar uma nota em seu site desmentindo a informação e apontando o que de real existe na história: uma vulnerabilidade do IIS, que não tem nada a ver com senhas secretas. A empresa também solicitou que o Yahoo retirasse a notícia do ar, no que foi atendida. Mas a página com o espaço vazio ainda pode ser vista.
Na primeira semana de maio, o site britânico The Register divulgou a história de que a BBC fora vítima de um hacker, o qual teria postado no site da conhecida agência uma falsa notícia sobre a morte de uma artista pop. Depois disso, a informação saiu no IDG News Service, The Standard Industry, SecurityNewsPortal e alguns outros.
Tudo não passou de um trote. Na época, InfoGuerra entrou em contato com a repórter de The Register, que admitiu que tinha sido enganada por um velho truque da Internet e havia cometido um erro básico em jornalismo: recebeu a informação de uma fonte e divulgou-a sem checar com outras. Posteriormente, The Standard Industry, um dos divulgadores do boato, esclareceu-o.
Alguém forjou uma página da BBC, usando um artifício do protocolo hipertexto para autenticação de senhas em sites protegidos. O diferencial é o sinal de arroba que normalmente passa a fazer parte do endereço, algo como http://nome_do_usuario:senha@www.nome_do_site.com. Aproveitando-se desse artifício, é possível criar uma falsa página, colocando-a no lugar do nome do usuário e utilizando o endereço de um site verdadeiro.
O truque pode ser visto numa hilariante página fictícia da própria BBC, que anuncia, com fotos, a trágica morte do coelho da Páscoa. Clique em http://news.bbc.co.uk!articles@3276960428/hi/english/uk/newsid/123456.htm para acessá-la (usuários de Mac devem clicar aqui).
Outro exemplo semelhante é o de uma página falsificada da CNN contando a história de um obscuro homem chamado Coby Santos, convidado para fazer parte do próximo filme de James Bond, ao lado de figurões como Pierce Brosnan, Anthony Hopkins e Catherine Zeta-Jones. A página foi criada em fevereiro deste ano e ainda está no ar. Clique aqui para vê-la.
No ano passado, um grupo humorístico espalhou o boato de que havia sido criado um servidor alimentado por batatas. Vários sites importantes caíram na pegadinha e publicaram a história. O site brasileiro Magnet, que teve a dignidade de se admitir entre os enganados, possui a matéria.
Como se vê, é muito fácil forjar notícias utilizando recursos tecnológicos trazidos pela Internet. E as empresas de comunicação, sempre ávidas por novidades, muitas vezes “vendem o peixe como lhes foi passado”. Já que a Internet facilita o acesso à informação, é aconselhável usá-la também para checar as notícias, antes de divulgá-las.
Notícia relacionada:
Notícias confundem vírus com hacker
| Noticias |
Notícias confundem vírus com hacker
29/5/2001 - 20:28 Giordani Rodrigues
Na semana passada, o site Bloomberg News publicou uma notícia informando que o Banco Nacional das Filipinas foi invadido por um hacker. O incidente foi relacionado à recente “guerra cibernética” entre grupos chineses e americanos. Pelas características do ataque, no entanto, o que foi classificado como hacker provavelmente não passou de um vírus.
A notícia afirma que a mensagem deixada no site do banco amaldiçoava os Estados Unidos e o grupo PoizonB0x. E é justamente uma mensagem semelhante que o worm sadmind/IIS, descoberto no começo deste mês, deixa nos sites que desfigura.
O sadmind/IIS explora vulnerabilidades dos servidores Solaris, da Sun, e IIS, da Microsoft. Uma de suas ações é alterar as páginas index.html hospedadas nestes servidores, substituindo-as por outra com a mensagem “fuck USA Government fuck PoizonB0x contact:sysadmcn@yahoo.com.cn”.
Recentemente, a equipe do Attrition.org recebeu uma lista com mais de 8 mil endereços que teriam sido atacados pelo vírus. Uma cópia de como fica um site desfigurado pelo sadmind/IIS pode ser vista aqui.
Há poucos dias, um usuário do site brasileiro Insecurenet postou uma notícia afirmando que os hackers chineses estavam se vingando do PoizonB0x, que invadiu centenas de sites com sufixo .cn durante o mês de abril. Outro engano por causa do vírus.
No ano passado, a Bloomberg teve problemas depois de divulgar uma falsa notícia de queda das ações da empresa Emulex, que atua no ramo de fibras óticas. O boato foi criado por um hacker, que posteriormente foi preso. InfoGuerra fez contato com a Bloomberg para esclarecer a questão do Banco Nacional das Filipinas, mas não obteve resposta.
Leia também:
Novo vírus sadmind/IIS desfigura mais de 8 mil páginas
| Noticias |
Militares americanos censuram registro de invasões a seus sites
28/5/2001 - 0:09 Giordani Rodrigues
Como não podem evitar que grupos hackers desfigurem seus sites, a Marinha, Exército e Aeronáutica dos Estados Unidos estão tentando evitar que as invasões sejam divulgadas. A acusação partiu do site alemão Alldas.de, especializado em registrar imagens de páginas desfiguradas.
De acordo com uma nota publicada no Alldas na quarta-feira, o número IP (Internet Protocol) do seu servidor está sendo filtrado pelos sites americanos cujos endereços terminam em .mil, que identificam os domínios militares. “A razão para isso é provavelmente minimizar o embaraçoso fato de que as forças militares dos Estados Unidos não conseguem manter seus computadores seguros”, diz o texto.
No sábado, InfoGuerra entrou em contato com a equipe de Alldas e solicitou maiores detalhes. Segundo Fredrik Ostergren, responsável pela assessoria de imprensa do site, foi possível acessar alguns endereços *.navy.mil neste dia. “Mas este não era o caso alguns dias atrás. Tive problemas em conectar os seguintes hosts agora: lrae.abm.rda.hq.navy.mil, www.acq-ref.navy.mil, www.army.mil”, explicou.
“Um repórter do Wall Street Journal contatou o Exército e a Marinha dos EUA e depois disso parece que eles amenizaram um pouco o filtro, mas eu posso dizer com certeza que ainda estamos sendo filtrados por alguns endereços, como www.army.mil”, afirmou Ostergen.
Não é a primeira vez que os Estados Unidos censuram o acesso a seus sites. Recentemente, os brasileiros foram proibidos de entrar em certas páginas do governo americano devido ao grande número de ataques de grupos hackers nacionais.
Quem tentar acessar, a partir do Brasil, o endereço http://www.iv.state.ia.us, por exemplo, encontrará a seguinte mensagem, em inglês: “Proibido: endereço IP rejeitado. Este erro é causado quando o servidor tem uma lista de endereços IP que não têm permissão para acessar o site, e o endereço IP que você está usando está na lista”.
O site pertence ao governo do estado de Iowa e, em março deste ano, foi invadido duas vezes. Numa delas, por um grupo chamado W3ll, que deixou alguns nomes escritos em português na página.
| Noticias |
Novo ataque de crackers obriga Bansicredi a suspender serviços
25/5/2001 - 19:21 Giordani Rodrigues
O cracker Phrozen_Byte, sentindo-se desafiado pelas respostas que o Bansicredi deu em relação à invasão de sua rede há poucos dias, resolveu provar que o sistema continua vulnerável. Novamente penetrou no site do banco e roubou mais extratos de clientes. A nova invasão levou o banco a tomar uma atitude drástica: a suspensão dos serviços de Internet Banking.
“O Bansicredi resolveu tirar o Internet Banking do ar por respeito aos seus clientes, que não podem ter seus dados devassados dessa maneira”, informou a assessoria de imprensa do banco. “A empresa irá antecipar grandes investimentos em segurança, que já estavam previstos, e só depois disso irá restabelecer o serviço”.
O banco informou ainda que o seu sistema de Internet Banking era operado por várias empresas coligadas e não era totalmente online. Parte do movimento diário era consolidado à noite, depois do balanço das transações financeiras. Com o novo sistema, as operações serão online e centralizadas.
O serviço já está fora de operação. Quem acessá-lo neste momento, a partir do endereço www.bansicredi.com.br, irá encontrar a seguinte mensagem: “Sistema temporariamente fora do ar. Favor entrar em contato com a agência SICREDI ou BANSICREDI de seu relacionamento”.
De acordo com a assessoria da empresa, o gerente de tecnologia, José Volmar Machado, credita as invasões ao protocolo FTP (File Transfer Protocol), que serve para transferência de arquivos na Internet. Aparentemente, foram as declarações de Machado à imprensa que incitaram o pirata ao novo ataque.
O gerente disse que, pela forma como a rede estava estruturada, Phrozen_Byte não poderia ter acesso a senhas, muito menos fazer transferência de valores. Afirmou também que contrataria o cracker, caso ele provasse que poderia invadir o novo sistema de transações online que o banco pretende lançar.
Hoje pela manhã, Phrozen_Byte enviou um e-mail com mais 20 extratos de correntistas anexados à mensagem. Os documentos são datados de 23 e 24 de maio. Entre os dados roubados constam os de empresas de transportes, de advogados, de segurança e o de outra prefeitura.
No e-mail, o cracker escreveu respostas às declarações de José Volmar: “eles me contratariam caso eu provassse que eu poderia entrar no sistema deles que está por vir, se eles querem isso melhor pelo menos que eles me façam algumas perguntas de como proteger o servidor deles, porque se da próxima vez que eu visitar o servidor do Bansicredi e conseguir ter acesso total novamente, eu juro que online, aquele servidor não vai ficar”.
Em relação à afirmação de acesso restrito, ele escreve: “se eles acham que eu somente tive acesso ao arquivos-texto, continuem com o servidor do jeito que está e depois sofram as conseqüências por não terem me escutado”.
Leia também:
Crackers roubam dados de clientes de banco
| Boatos |
Falso vírus brasileiro usa o nome do McDonald’s
25/5/2001 - 17:55 Giordani Rodrigues
Ao que parece, o Brasil está-se especializando em criar boatos eletrônicos e disseminá-los pelo mundo. Depois do Sulfnbk.exe, que já chegou a vários países, incluindo os Estados Unidos, agora é a vez do Macmebig, uma mensagem de alerta de um falso vírus que usa o nome da rede de lanchonetes McDonald’s.
O hoax (boato) possui todas as características de seus similares e até se aproveita de uma história antiga, também falsa, que “denunciava” que o McDonald’s estava usando carne geneticamente modificada para fazer seus hambúrgueres.
O Macmebig seria um arquivo de proteção de tela que, ao ser executado, exibe a mensagem "eat a big mac and go to hell" (coma um big mac e vá para o inferno). É claro que ele destrói todos os dados do disco rígido e ainda não tem vacina. O hoax foi reportado hoje pelo site uruguaio Video Soft e, há dois dias, pelo site argentino VirusAtack!, que creditam sua origem ao Brasil. Veja o texto da mensagem:
Essa informação veio da Microsoft
Por favor, transmita-a para qualquer pessoa que você conhece e acessa a Internet.
Você pode receber um protetor de telas da Macdonalds, aparentemente inofensivo, intitulado "Macmebig". Se você vier a recebê-lo - NÃO ABRA O ARQUIVO SOB NENHUMA CIRCUNSTÂNCIA - mas delete-o imediatamente.
Se você abrir esse arquivo aparecerá a mensagem em seu monitor "eat a big mac and go to hell" em seguida PERDERÁ TUDO QUE TIVER EM SEU PC e a pessoa que o enviou terá acesso ao seu nome, e-mail e password. Trata-se de um novo vírus que começou a circular ontem pela manhã.
PRECISAMOS FAZER TUDO QUE FOR POSSÍVEL PARA DETER ESSE VÍRUS.
A AOL já confirmou sua periculosidade e os Softs Anti-Vírus não estão aptos a destrui-lo.
O Vírus foi criado por um hacker que acusa a multinacional macdonald's de utilizar mutações genéticas para fabricar a carne utilizada nos seus hamburgers.
COPIE ESTE E-MAIL PARA TODOS OS SEUS AMIGOS
Um falso vírus clássico: periculosidade exagerada, incapacidade de ser eliminado pelos programas antivírus (o que não existe), alerta com muitas frases em letras maiúsculas, uso do nome de empresas conhecidas para dar credibilidade à mentira e, finalmente, o velho pedido de se enviar a mensagem a todos os conhecidos.
Não precisa nem dizer que a melhor coisa a se fazer é ignorar a mensagem. Melhor ainda é apagá-la. Só uma pergunta: alguém já viu a AOL ou a Microsoft fornecendo alerta de vírus?
Leia também:
Sulfnbk.exe: antes um boato, agora uma falsa verdade
Falso vírus induz usuário a apagar arquivo do Windows
Pega na mentira
| Noticias |
Interpol publica manual de combate ao cibercrime
25/5/2001 - 14:40 Giordani Rodrigues
A Interpol (International Criminal Police Organization) acaba de lançar um manual com métodos de segurança e prevenção ao crime de Tecnologia da Informação. O documento descreve o que deve ter um sistema protegido contra o cibercrime e o que fazer em caso de uma invasão.
Com informações como controle de entradas, registro de arquivos, cópias de segurança, firewalls, sistema de deteção de intrusão e outras, o manual pretende servir como uma introdução para que investigadores possam lidar com a crescente ameaça às redes de computadores.
O manual lista as perguntas que um investigador deve fazer e os dados que deve coletar depois que um incidente de segurança ocorre. Pelas suas características, o documento acaba servindo também para que as empresas possam otimizar seus relatórios e tornar uma investigação mais simples.
“Mesmo que você tenha instalado um firewall e um sistema de detecção de intrusão, alguém tem de tomar conta de um incidente quando ele ocorre (não ‘se’ ele ocorre, pois isto irá acontecer mais cedo ou mais tarde)”, alerta um trecho do documento.
E aconselha: “estar bem preparado é a melhor forma de lidar com um incidente. É muito importante permanecer calmo e não entrar em pânico. É muito valioso ter um formulário especial para registrar incidentes”. O texto integral pode ser acessado online, clicando aqui. Também está disponível em CD-ROM.
| Dicas |
Onde encontrar proteção gratuita contra vírus
25/5/2001 - 9:40 Giordani Rodrigues
(Atualizado em 15/06/2002) - Muita gente escreve perguntando onde encontrar programas gratuitos contra vírus ou onde testar seus arquivos contra as pragas virtuais. Considerando também que, de acordo com a última enquete InfoGuerra, quase um quarto das pessoas não tem antivírus, aqui vão algumas dicas:
Onde baixar programas antivírus gratuitos:
AVG: software da empresa tcheca Grisoft. Oferece proteção completa para arquivos, e-mail, memória e setor de boot da máquina. As atualizações podem ser feitas de modo automático a partir da própria interface do programa. http://www.grisoft.com
BitDefender: atual nome comercial dos produtos anteriormente chamados de AVX (AntiVirus eXpert), da empresa romena SOFTWIN. Possui versões freeware e beta de antivírus para MS-DOS, Windows, Linux, e para programas de mensagens instantâneas, como ICQ, Yahoo Messenger, MSN Mesenger, e outros. Também oferece software gratuito para proteção de computadores do tipo Palm. http://www.bitdefender.com
F-PROT: programa em DOS da empresa finlandesa F-Secure, para uso pessoal. ftp://ftp.f-secure.com/anti-virus/free
Onde testar arquivos:
InfoGuerra: Nosso site possui um verificador online gratuito, fruto de uma parceria com a Maple Informática, representante excluivo no Brasil da Command AntiVirus. A ferramenta não desinfecta os arquivos que estiverem contaminados, mas serve para detectar se sua máquina possui pragas virtuais. O fato de ser totalmente em português é uma real vantagem, pois poucos antivírus de porte oferecem opção semelhante neste idioma. http://www.infoguerra.com.br/cod/cod
Em português: o site MyNetis.com oferece soluções de verificação e desinfecção de arquivos contaminados por vírus gratuitamente, por e-mail e também online. Por e-mail as alternativas são maiores, mas a opção requer o preenchimento de um cadastro. Leia o regulamento antes de se cadastrar, para saber como seus dados serão utilizados. Em português e espanhol. http://www.mynetis.com
Em inglês: a gama de serviços disponíveis em inglês é muito maior e garante uma proteção mais abrangente. Várias companhias antivírus possuem testes online, mas só alguns destes também eliminam os vírus. Os serviços normalmente utilizam controles ActiveX, que são instalados no computador a ser examinado e são capazes de executar várias tarefas. Por isso, se você já possui algum antivírus instalado, é recomendável desabilitá-lo no momento do teste, para evitar que os controles ActiveX sejam interpretados como algum código malicioso.
Os serviços antivírus online possuem a vantagem de estar constantemente atualizados. A desvantagem é que, dependendo da velocidade de seu modem, a instalação e execução dos testes pode demorar vários minutos. Caso algum cadastro seja requerido, recomenda-se ler o regulamento.
Abaixo estão indicadas as páginas onde, além de fazer uma verificação completa de seu sistema, você também poderá eliminar os vírus:
Trend Micro (PC-cillin): http://housecall.antivirus.com
A Trend Micro também oferece soluções para produtos específicos:
Para testar mensagens do Outlook: http://www.antivirus.com/free_tools/smo
Para testar mensagens do Microsoft Exchange: http://housecall.antivirus.com/smex_housecall
Para testar dispositivos wireless (Palm, Epoc e Pocket PC): http://www.antivirus.com/free_tools/wireless
Para testar se seu antivírus está funcionando corretamente: http://www.antivirus.com/vinfo/testfiles
Panda Software: clique em http://www.pandasoftware.com e escolha a opção Panda ActiveScan.
BitDefender: http://www.bitdefender.com/scan/index.html
Você também poderá fazer um rastreamento gratuito de seu micro, porém sem a possibilidade de eliminar os vírus, nos seguintes links:
Network Associates (McAfee): http://www.mcafee.com/myapps/vso
Symantec (Norton AntiVirus): http://security2.norton.com/us/continue_vc.asp?scantype=2&venid=sym&langid=us
Command AntiVirus: http://www.commandondemand.com/cod/index.cfm
Para remoção de alguns vírus específicos e bastante difundidos, como Magistr, Anna Kournikova, MTX, Hybris (Branca de Neve pornô), Navidad, I Love You, Chernobyl e outros, clique em:
Symantec: http://www.symantec.com/avcenter/tools.list.html
Central Command: http://www.centralcommand.com/removal_tools.html
Outros links:
TheFreeSite.com: programas e serviços gratuitos de várias categorias. A página com links para antivírus gratuitos está em http://www.thefreesite.com/Free_Software/Anti_virus_freeware/index.html
F-Script: programa da F-Secure específico para detectar e desinfectar vírus que utilizam scripts, como VBS, JS, HTML, etc. ftp://ftp.f-secure.com/anti-virus/tools/old/f-script.zip
Outras ferramentas: vários programas para detecção e desinfecção de vírus específicos, também da F-Secure. ftp://ftp.f-secure.com/anti-virus/tools
| Noticias |
Crackers roubam dados de clientes de banco
23/5/2001 - 15:45 Giordani Rodrigues
O cracker que se identifica por Phrozen_Byte voltou a atacar. Desta vez, ele e o grupo ao qual se integrou, o Data Cha0s, entraram na rede do Banco Cooperativo Sicredi (Bansicredi) e roubaram informações de conta corrente de clientes. O cracker afirma que teve acesso a 150 contas e, para provar o que diz, fez o que já é hábito seu: enviou os dados, por e-mail, para a imprensa.
Na mensagem, remetida na semana passada, constam os extratos de cerca de 50 correntistas, datados de 15 e 16 de maio. A maior parte das contas é de pessoas jurídicas, entre as quais estão a Unimed de Cruz Alta e prefeitura de Lagoão, ambas no Rio Grande do Sul, Fox Distribuidora de Petróleo, em Curitiba, e Associação Comercial e Industrial de Maringá, no Paraná.
“Esse banco prometia uma estrutura segura, com firewall, https, segurança, etc. Infelizmente não sei onde”, escreveu Phrozen_Byte. “Mais uma vez tive o controle do banco, podendo transferir quaisquer quantias”. O cracker ainda sugere que o banco faça um recadastramento das contas e troque as senhas, “para a própria segurança das cooperativas e das empresas que depositam seu dinheiro ali”.
O Bansicredi foi inaugurado em 1996 pelo Sistema de Crédito Cooperativo do Rio Grande do Sul (Sicredi), para dar suporte financeiro às cooperativas daquele estado. Mais tarde, as cooperativas do Paraná, Mato Grosso e Mato Grosso do Sul também se uniram ao sistema. Hoje, o Bansicredi possui agências nestes quatro estados e está autorizado a operar com recursos do crédito rural.
Foram feitos vários contatos com o Bansicredi, o primeiro deles na quinta-feira, dia 17. O banco prometeu dar uma posição oficial sobre o caso, mas não o fez.
Phrozen_Byte foi o mesmo que atacou a HP Store, em abril, e roubou dados de clientes da empresa. A invasão foi confirmada pela HP. No final de abril, ele e o grupo Data Cha0s também invadiram mais dois bancos, o Banco do Estado do Maranhão e o Banco de La República, do Peru.
O site do La República foi desfigurado. A invasão foi registrada por Alldas.de e pode ser vista aqui. O cracker também alega que roubou arquivos de movimentação financeira do banco, entre os quais os de clientes como Bell South e Bell South Distribuidora. Segundo ele, não houve nenhum tipo de transação bancária. Em outras palavras, não foi transferido nenhum dinheiro das contas.
No caso do Banco do Estado do Maranhão, não houve desfiguração, mas foram roubados e distribuídos esquemas de estruturação dos programas que administram as contas correntes e a criptografia de duas chaves de segurança do sistema.
Hoje, um site ligado à rede bancária, o do Sindicato dos Bancários de São Paulo, também foi invadido e desfigurado pelo hacker ReFLuX. O espelho pode ser visto aqui.
Atualização: Logo após a divulgação dessa notícia recebemos um e-mail do Bansicredi, informando que é impossível fazer transferência de valores utilizando a estrutura do site. A mensagem, em nome de Clairton Walter, sem identificação funcional, também ameaçava InfoGuerra com os rigores da lei e proibia a divulgação da invasão à rede do banco. Além disso, exigia a imediata suspensão da notícia, caso ela já tivesse sido publicada. Leia, abaixo, a íntegra da mensagem:
----- Original Message -----
From: "Clairton Walter - SICREDI Serviços" clairton@sicredi.com.br
To: editor@infoguerra.com.br
Sent: Wednesday, May 23, 2001 5:17 PM
Subject: Resposta ao editor da Infoguerra
Porto Alegre, 23 de maio de 2001.
Ilmo. Sr.
Giordani Rodrigues
Editor
Prezado Senhor,
Tendo em vista o e-mail recebido, informamos que estamos apurando as evidências levantadas, sendo que fica rigorosamente proibido, sob as penas da lei, a veiculação/difusão, sob qualquer forma, de informação a respeito do assunto. Caso tenha veiculado/difundido, solicitamos a imediata suspensão/interrupção, sob pena das responsabilidades legais decorrentes de tal ato.
Por fim, noticiamos que, pela estrutura do site, é impossível a realização de quaisquer transferências de valores.
Atenciosamente,
BANSICREDI
InfoGuerra tem a informar que não aceita tentativas de coerção dessa espécie e que a notícia continuará no ar. Desde que recebemos o e-mail informando sobre a invasão, nossa atitude se manteve ética, como sempre.
O cracker enviou sua mensagem no final da tarde de quarta-feira, dia 16, não só para InfoGuerra, como para outros importantes órgãos de comunicação brasileiros, conforme o cabeçalho do e-mail.
Entramos em contato com o banco no dia seguinte, enviamos o e-mail com os arquivos roubados e pedimos esclarecimentos à empresa, antes da divulgação da notícia. Na sexta-feira, dia 18, recebemos uma ligação da assessoria de imprensa do banco informando que naquele mesmo dia seria divulgada a posição oficial do Bansicredi, o que não aconteceu.
Enviamos novo e-mail pedindo que se esclarecesse a situação e ligamos novamente na segunda-feira, dia 21. Obtivemos a resposta de que, no mais tardar, na terça-feira a resposta viria. Como nada aconteceu, divulgamos a informação.
As ameaças, portanto, são infundadas. A matéria foi produzida com correção e não há motivos para suspender sua publicação.
Leia também:
Cracker rouba dados de clientes da HP
HP confirma invasão de hackers em seu site
| Noticias |
Falha no Word abre brecha para vírus
22/5/2001 - 21:36 Giordani Rodrigues
A Microsoft divulgou ontem o seu 28º boletim de segurança deste ano, alertando para uma falha no editor de textos Word, que permite a execução arbitrária de macros nas versões 97, 98 e 2000 para PC e 98 e 2001 para Mac. As macros são comandos que automatizam tarefas e são largamente exploradas para espalhar vírus.
Segundo a Microsoft, o problema só atinge documentos com a extensão RTF (Rich Text Format), disponível no Word. Outras extensões, como .DOC, não seriam afetadas. A falha permite executar uma macro embutida em um modelo de documento (template), isto é, arquivos com extensão .DOT. Enviando um link para este arquivo em um documento RTF, a macro poderá ser rodada automaticamente quando o documento for aberto.
Isto acontece mesmo com o Word habilitado para avisar sobre a existência de macros em arquivos. O artifício faz com que nenhum aviso seja dado. A macro pode executar, assim, qualquer tarefa que o próprio usuário também possa. Isto inclui desabilitar o alerta de segurança do programa, deixando o micro vulnerável a vírus ou outras ações posteriores.
Documentos RTF são bastante utilizados, pois podem ser abertos por vários programas. Por enquanto, a correção só está disponível para as versões 97 e 2000 em inglês. Para acessá-la, bem como maiores detalhes, clique em http://www.microsoft.com/technet/security/bulletin/ms01-028.asp. A correção (patch) para outras versões deve ser disponibilizada em breve.
| Sobre |
InfoGuerra é indicado para o Top Cadê?
21/5/2001 - 16:14 Redação InfoGuerra
A equipe editorial do Cadê?, o mais conhecido sistema de busca brasileiro, escolheu o site InfoGuerra para participar do Top 3 na categoria Informática do concurso Top Cadê?. O objetivo do concurso é destacar os melhores sites da Internet Brasil.
Os profissionais do Cadê? selecionam os sites participantes segundo alguns critérios, como quantidade e relevância das informações apresentadas no site, serviços prestados, ferramentas oferecidas aos internautas, design, estilo inovador, etc.
A cada semana, são indicados três sites por categoria. No final de cada mês, tem início a votação do público, que poderá indicar os melhores de cada uma das 16 categorias daquele mês. E no final do ano, será escolhido o grande vencedor de cada categoria.
Portanto, leitor de InfoGuerra, você que aprecia o nosso site, prepare-se para votar a partir do início de junho. Desta forma, poderemos oferecer cada vez mais aos nossos visitantes.
InfoGuerra agradece à equipe do Cadê? pela indicação — uma prova de reconhecimento pelo trabalho que temos feito e um estímulo a mais para aprimorá-lo. Para acessar a categoria Informática do Top Cadê?, conhecer o regulamento do concurso e obter outras informações, clique em http://www.topcade.com.br/topinformatica.shtm.
| Noticias |
Attrition.org não vai mais registrar desfigurações de sites
21/5/2001 - 12:47 Giordani Rodrigues
O Attrition.org, um dos primeiros e o mais conhecido site de registro de páginas desfiguradas da Web, não vai mais produzir seus famosos mirrors. A decisão foi comunicada hoje pela manhã por meio de uma nota publicada no site.
Há uma semana, já não se via novos espelhos da equipe. O último registro que consta na área destinada para tal, entre as muitas seções do site, é do dia 13 de maio — uma página da Universidade de Cambridge. Por causa disso, os rumores de que seus servidores estavam sendo vítimas de hackers começaram a circular.
O site belga SecurityWatch publicou uma nota na última sexta-feira especulando que o Attrition estaria sob uma onda de ataques de negação de serviço (DoS). Em contato por e-mail com InfoGuerra, Brian Martin, um dos integrantes da equipe do Attrition, também conhecido como Jericho ou Cult_Hero, comentou sobre texto do SecurityWatch: “Por que um site iria postar aquele lixo sem ao menos nos perguntar o que aconteceu? Aquilo é fofoca de tablóide, não notícia”.
E o que aconteceu, afinal? Segundo o que foi publicado, a seção de mirrors, que começou como um hobby, foi consumindo cada vez mais tempo e recursos da equipe, a ponto de se tornar um obstáculo para a atualização das outras seções e um fardo para os integrantes.
“No último mês, experimentamos dias em que fizemos o espelho de mais de 100 Web sites, mais do que o triplo do total de 1995 e 1996 juntos. Supõe-se que um ‘hobby’ seja agradável. Manter os mirrors tem se tornado uma obrigação ingrata”, diz um trecho da nota.
Os rumores sobre os ataques também não são de todo infundados. A equipe admite que nos últimos dois anos sofreu massivos ataques DoS por causa da ignorância de desfiguradores e de vítimas das desfigurações, o que pôs o sistema fora do ar mais de uma vez. “Por isso, os mirrors não serão mais mantidos. Nós servimos o nosso tempo”.
Há poucos dias, o site esteve inacessível por algum tempo e a explicação dada foram erros no drive que roda os arquivos mais importantes e ataques DoS.
O Attrition, no entanto, continuará existindo. O tempo que era dedicado aos espelhos será usado para a publicação freqüente de notícias e atualização de outras seções, garantem seus integrantes. As próprias estatísticas sobre desfigurações continuarão a ser divulgadas.
Para tanto, foi feito um acordo com o site alemão Alldas.de, pelo qual as duas equipes trocarão informações. O resultado desse acordo já começou a aparecer. Desde sexta-feira, o Attrition já enviou duas notícias aos assinantes de suas listas utilizando espelhos do Alldas.
A primeira refere-se a mais uma invasão ao site da Microsoft, desta vez o da Romênia, levada a cabo no dia 18 pelo grupo Pentaguard. A outra foi uma série de desfigurações, ocorrida no fim de semana, contra seis sites militares americanos, incluindo um pertecente ao Ministério da Defesa. O grupo PoizonB0x foi o responsável pelos ataques.
Os espelhos podem ser vistos nos links abaixo:
Microsoft Romênia
Lista completa de ataques do grupo PoizonB0x
Leia também:
Ataques põem site Attrition.org fora do ar
| Noticias |
Site do Flamengo é invadido
20/5/2001 - 17:27 Giordani Rodrigues
O Flamengo começou mal a decisão do campeonato carioca de futebol. Além de ter perdido o primeiro jogo para o Vasco, por 2 a 1, ainda teve o seu site oficial desfigurado. Identificado como Morfeu, o invasor não fez críticas ao time. Aparentemente só quis “mostrar serviço”.
A página principal do site foi substituída por outra com fundo branco e letras pretas. “Ei FLAMENGUISTAS, Morfeu esteve aqui... hahahhaa...”, foi o que ele escreveu, além de ter mandado saudações a vários amigos seus.
A desfiguração ocorreu na tarde de hoje, antes do jogo. No momento, o site está fora do ar. O espelho da invasão foi registrado por Alldas.de e pode ser visto aqui.
| Boatos |
Sulfnbk.exe: antes um boato, agora uma falsa verdade
18/5/2001 - 17:49 Giordani Rodrigues
“Uma mentira contada mil vezes, torna-se verdade”. Esta frase é atribuída a Joseph Goebbels, mentor da propaganda nazista, mas se aplica bastante bem a um recente hoax (boato eletrônico) surgido no Brasil há pouco mais de um mês.
Primeiro as pessoas começaram a disseminar um e-mail que dizia que um arquivo do Windows, o Sulfnbk.exe, era um vírus. Muita gente o deletou de suas máquinas acreditando na mentira. Agora, depois que a história já foi esclarecida, ela volta com ares ainda mais críveis: os programas de proteção têm realmente detectado um vírus no arquivo Sulfnbk.exe, que chega em mensagens de e-mail.
Portanto, o tempo mostrou que o arquivo é realmente maligno, certo? Errado! O Sulfnbk.exe não é e nunca será um vírus (a não ser que alguém se aproveite da história e crie um com esse nome). O que está acontecendo é que o arquivo está sendo contaminado principalmente pelo vírus Magistr.A, que infecta, entre outros arquivos, os executáveis.
O Magistr.A também tem a capacidade de enviar tais arquivos por e-mail, daí a confusão que isso tem gerado. O Sulfnbk.exe fica no diretório C:\Windows\Command e, até meia hora atrás, ainda não possuía a capacidade de sair por aí passeando em mensagens de e-mail.
Por isso, se você o receber como anexo, faça uma coisa bem simples: jogue-o na lixeira do seu micro. Caso contrário, correrá o risco de ser infectado, não por ele, mas pelo Magistr.A, que o contaminou e o enviou.
A história do Sulfnbk.exe, que teve origem no Brasil, já correu mundo. Esta semana, a especialista em vírus Mary Landesman, do site About.com, reportou a existência do boato nos Estados Unidos e publicou um artigo sobre ele. O boato também chegou aos países de língua espanhola e sua conexão com o o verdadeiro vírus já foi estabelecida pelo site uruguaio Video Soft.
A Symantec, produtora do Norton Antívirus, que já havia publicado uma nota sobre o boato, atualizou-a há três dias: “Esta mensagem em particular é um hoax. No entanto, o arquivo que é mencionado no hoax, Sulfnbk.exe, é um utilitário do Microsoft Windows usado para restaurar nomes de arquivos longos e, como todo arquivo .exe, pode ser infectado por um vírus que tem como alvo os arquivos executáveis”.
Se uma você acha que uma única empresa não é suficiente, veja os alertas da McAfee e da Maple Informática, representante do Command AntiVirus no Brasil (que por sinal, cita o artigo já publicado em InfoGuerra).
Na área destinada aos comentários de tal artigo, um leitor escreveu o seguinte: “Acho que a notícia tem um fundo de verdade sim pois recebi um e-mail com o arquivo anexado com o nome de sulfnbk.exe e passei o anti-virus e o mesmo o detectou como um virus chamado W32/Magistr@MM. Acho que a notícia espalhada pela internet seria sobre este arquivo que esta sendo enviado por email para varias pessoas e não o arquivo de sistema do Windows”.
Como se vê, a história toda pode trazer bastante confusão. À propósito, a atribuição da frase citada no início deste texto a Goebbels também pode ser um mero boato. Aparentemente, o autor foi um filósofo grego e a frase original era assim: “Uma mentira contada seis vezes, torna-se verdade”.
Desde a época dos antigos gregos, passando por Goebbels, as coisas já evoluíram bastante. Com a Internet, uma mentira pode ser contada não seis, nem mil, mas milhões de vezes em apenas um dia.
Atualização (24/05/2001): O site de segurança SecurityPortal.com e a empresa russa Kaspersky também divulgaram suas versões sobre o Sulfnbk.exe e sua ligação com o Magistr.A. O SecurityPortal classificou o hoax como uma mensagem bem intencionada de alerta sobre vírus, porém pobremente construída. A Kaspersky cita um ditado: "A estrada para o inferno é pavimentada com boas intenções". Clique nos links correspontendes para acessar os artigos.
Leia também:
Falso vírus induz usuário a apagar arquivo do Windows
Novo vírus julga e condena o usuário
Vírus Magistr foi o que mais atacou em abril
| Noticias |
Hackers invadem site do STF e protestam contra apagão
18/5/2001 - 8:01 Giordani Rodrigues
|
| Noticias |
Maioria dos usuários atualiza os antivírus semanalmente
18/5/2001 - 3:39 Redação InfoGuerra
A enquete InfoGuerra, feita durante o último mês, revelou que 57,2% dos leitores do site atualizam seus programas antivírus pelo menos uma vez por semana. No total, foram obtidas 510 respostas à pergunta “Quanto tempo faz que você atualizou seu antivírus?”. Destas, 292 foram para a opção “Até uma semana”.
Em segundo lugar, com 108 respostas (21,2%), veio a opção “Não tenho antivírus”. Somado à alternativa “Nunca atualizei”, que obteve 33 respostas (6,5%), este número salta para 141 (27,7%). As outras alternativas foram as seguintes:
Até um mês: 53 respostas (10,4%).
Até três meses ou mais: 24 respostas (4,7%).
Análise: O elevado número de pessoas que informaram atualizar semanalmente seus programas de proteção contra vírus é animador. É de se esperar que o público que acessa um site sobre segurança esteja mais bem informado sobre os riscos de pragas virtuais e tenha maiores cuidados com relação à proteção de suas máquinas.
Por outro lado, considerando este mesmo público, o número de pessoas que não possuem antivírus também se mostrou elevado. Se somarmos com os que nunca atualizaram seus programas, teremos quase 30% das respostas. Deve-se lembrar que um antivírus não atualizado só oferece proteção contra os vírus mais antigos. E todo dia surgem novas ameaças.
Alguns especialistas aconselham que se faça uma atualização a cada dois dias, ou mesmo diariamente. O problema é que nem todos os fabricantes dos programas oferecem essa possibilidade. Portanto, atualizações semanais já são uma boa medida.
Acima de um mês, o perigo aumenta consideravelmente. Basta lembrar que, de acordo com a empresa britânica Sophos, foram descobertos 1288 novos vírus apenas no mês de abril (leia notícia). A grosso modo, pode-se considerar que cerca de 60% dos leitores de InfoGuerra estão bem protegidos, enquanto os outros 40% possuem pouca ou nenhuma proteção contra os vírus mais recentes.
Próxima enquete
Estamos lançando hoje uma nova enquete, com a pergunta “A imprensa deve divulgar ataques de hackers?”. O tema tem gerado discussão no Brasil, um país que, apesar de ser o campeão de desfigurações no mundo, ainda tem bastante a aprender quando o assunto é segurança de sistemas. Veremos qual será o resultado.
| Noticias |
Novas variantes do vírus Homepage se espalham pelo mundo
17/5/2001 - 16:31 Giordani Rodrigues
Se o vírus Homepage apelava para a pornografia para enganar os usuários, sua nova variante, o Mawanella, usa um apelo político com o mesmo fim. Detectado nas primeiras horas de hoje, as principais empresas antivírus estão dando o alerta de que a praga também está se espalhando com velocidade pelo mundo.
A MessageLabs, empresa britânica especializada em monitorar mensagens de e-mail em busca de vírus, já detectou 1.285 cópias do vírus até agora. O primeiro exemplar veio do Sri-Lanka, país do sudeste asiático. A maior concentração de casos constatados pela empresa vem da Inglaterra e em seguida da Holanda.
Já a empresa finlandesa F-Secure encontrou vários casos de infecção nos Estados Unidos, logo após a meia noite de hoje. Depois disso, o vírus foi detectado na Ásia, Austrália e Europa, mas principalmente no norte da Europa e nos países escandinavos.
O Mawanella, também conhecido por VBS/VBSWG-Z, é mais um dos vírus criados com o auxílio do programa VBS Worm Generator (VBSWG), responsável pela geração do Homepage e do Anna Kournikova, entre outros. O programa foi produzido pelo argentino [K], que se isenta de responsabilidade pelo uso que outros usuários fazem de sua ferramenta.
Como seus antecessores, o Mawanella chega anexado em uma mensagem de e-mail e tem a capacidade de congestionar os servidores de correio eletrônico. A mensagem tem as seguintes características:
Assunto: Mawanella
Corpo: Mawanella is one of the Sri Lanka's Muslim Village
Anexo: Mawanella.vbs
Caso o arquivo anexado seja executado, o vírus dá início à distribuição em massa de cópias de si mesmo a todos os endereços registrados no catálogo do Outlook. Segundo a Trend Micro, depois que as cópias são enviadas, ou se o usuário não tiver o Outlook instalado, o vírus apresenta as seguintes caixas de mensagem:
|
|
| Noticias |
Hackers brasileiros invadem sites da Ford e Ferrari
17/5/2001 - 12:50 Giordani Rodrigues
|
| Noticias |
Nova variante do vírus I Love You destrói arquivos
16/5/2001 - 20:32 Giordani Rodrigues
A Sophos lançou hoje o alerta para a descoberta de uma nova variante do famigerado vírus I Love You. Ao contrário deste, no entanto, o VBS/LoveLet-CL, como foi chamado, não apenas tem a capacidade de congestionar servidores, como também de destruir arquivos.
O VBS/LoveLet-CL é um vírus do tipo worm, ou seja, que utiliza recursos de rede para se espalhar. Ele chega em um e-mail com as seguintes características:
Assunto: !!!
Corpo da mensagem: :-) MuCuX...
Arquivo anexado: echelon.vbs
Caso seja executado, o vírus faz duas cópias de si mesmo com os nomes command.vbs e WinVXD.vbs. Estes arquivos são executados toda vez que o computador é iniciado. Caso o usuário possua o Outlook, a praga se auto-envia para todos os contatos da lista de endereços.
Depois de instalado, o vírus procura nos drives locais e de rede por todos os arquivos que tenham as extensões VBS, VBE, JS, JSE, CSS, WSH, SCT e HTA. Estes arquivos são sobrescritos com o código do vírus e suas extensões são renomeadas para .VBS.
Os arquivos gráficos JPG ou JPEG também são sobrescritos pelo worm, que adiciona a extensão VBS aos nomes originais. Um arquivo com o nome Imagem.JPG passa a se chamar Imagem.JPG.VBS. O mesmo acontece com os arquivos musicais com extensões MP2 e MP3 que, além disso, têm seus atributos mudados para tornarem-se “ocultos”.
Se o PC possuir o programa de bate-papo mIRC instalado, o worm irá descarregar um script que fará com que ele seja enviado através de canais de chat do IRC (Internet Relay Chat).
O vírus contém um grande número de comentários em seu código, os quais não são mostrados. A Sophos levanta a hipótese de que estes comentários serviriam para sobrecarregar o sistema Echelon de monitorização de comunicações, o que permitiria que a praga se espalhasse. O VBS/LoveLet-CL está sendo considerado de baixo risco.
| Noticias |
Microsoft lança pacote de correções para o IIS
16/5/2001 - 17:30 Giordani Rodrigues
A Microsoft lançou um “pacotaço” que corrige falhas presentes nas versões 4.0 e 5.0 de seu servidor Information Internet Services (IIS). O pacote inclui correções para três vulnerabilidades recentemente descobertas e acumula todas as correções lançadas até hoje para o IIS/5.0 e todas para o IIS/4.0 a partir do Service Pack 5 para Windows NT 4.0.
As três falhas descobertas há pouco tempo permitem que códigos sejam executados arbitrariamente na máquina afetada, ataques Denial of Service (DoS) possam ser implementados contra serviços de FTP (File Transfer Protocol) e informações de contas Guest (visitante) possam ser reveladas, também por meio de ataques ao serviços FTP.
A primeira vulnerabilidade é especialmente grave, tanto que sua descrição foi parar no site do Computer Emergency Response Team (CERT). Descoberto em março pela equipe do NSFocus, o bug se encontra em uma checagem supérflua feita pelo IIS em programas CGI (Common Gateway Interface).
Quando um programa CGI executável é carregado, o IIS decodifica o nome do arquivo duas vezes, mas só aplica uma checagem de segurança na primeira vez. Se os resultados da segunda checagem se referirem a um nome de arquivo válido, o servidor irá permitir o acesso desse arquivo ao sistema, mesmo que isto não devesse acontecer.
As listas de discussões sobre bugs já dispõem de programas que exploram esta vulnerabilidade (exploits), portanto é recomendável que a correção seja aplicada o quanto antes. Ela está disponível a partir do endereço http://www.microsoft.com/technet/security/bulletin/ms01-026.asp.
Leia também:
Descoberta outra falha no servidor IIS 5.0
| Noticias |
Brasileiros atacam site do Citibank na Bélgica
16/5/2001 - 12:33 Giordani Rodrigues
Na tarde de ontem, o grupo Brazil Hackers Sabotage (BHS) penetrou no site do Citibank da Bélgica. Além de ter desfigurado a página principal, o grupo insinuou ter acessado outras informações do banco. Como prova, deixou um endereço que conteria arquivos do banco de dados do site.
Depois de ironizar a segurança do sistema (“Isso era pra ser seguro por se tratar de um banco? Ou vocês tão de sacanagem?”), os hackers escreveram: “Vou dá a vocês um pouquinho do que eu tenho ;] Vocês, visitantes do site, podem fazer o download de um mdb http://www.citibank.be/citibank.mdb Ah.. vocês querem mais? Invade ai e pega ;]”.
Os primeiros registros de atividade do grupo BHS, segundo o site alemão Alldas.de, são de pouco mais de dois meses atrás. De lá para cá, os hackers já invadiram quase duas centenas de sites, sem contar os ataques em massa, em que um servidor dá acesso a vários domínios. Em abril, o grupo invadiu três endereços da loja virtual da Xuxa e disse que queria conhecer o camarim da apresentadora.
De acordo com sites especializados, o Citibank belga utiliza servidores Microsoft IIS/4.0 e sistema operacional NT4/Windows 98. As páginas já estão restabelecidas. O espelho da invasão pode ser visto aqui.
Leia também:
Hackers invadem site da Xuxa
| Noticias |
InfoGuerra "passa a perna" em Info Exame
15/5/2001 - 19:36 Giordani Rodrigues
Deve estar faltando inspiração na redação de Info Exame. Nos últimos dias, a versão online da revista, apesar de ter sido escolhida como melhor site de informática no concurso iBest deste ano, vem sistematicamente publicando, com atraso de um ou dois dias, notícias publicadas em primeira mão por InfoGuerra.
Veja a lista abaixo, com os títulos, datas e links para as matérias:
Falso site da Casa Branca sofre falsa invasão de hackers - InfoGuerra - 6/5/2001
Suposto site hackeado da Casa Branca é apenas paródia - Info Exame - 8/5/2001
***
Hackers fazem a festa com o Windows 2000 - InfoGuerra - 7/5/2001
Windows 2000 cresce na lista de alvo dos hackers - Info Exame - 9/5/2001
***
Usuários da McAfee acusam Sophos de distribuir vírus - InfoGuerra - 9/5/2001
Sophos diz que McAfee a acusou de distribuir vírus - Info Exame - 10/5/2001
***
Ataques põem site Attrition.org fora do ar - InfoGuerra - 10/5/2001
Falhas e ataques DoS deixaram Attrition.org fora do ar - Info Exame - 11/05/2001
***
Garoto suspenso por invadir computador da escola comete suicídio – InfoGuerra –14/05/2001
Hacker de 13 anos se suicida nos EUA – Info Exame – 15/05/2001
Todas as matérias da Info Exame saíram sob a assinatura da mesma repórter. Vale lembrar que as pautas acima publicadas em InfoGuerra não são fruto de press releases (textos prontos enviados por assessorias de imprensa), o que justificaria a “coincidência”. Pelo contrário, apesar de estarem disponíveis para quem se interessar por pesquisá-las, ainda não haviam sido publicadas no Brasil.
Não é a primeira vez que isto acontece. Só para lembrar um fato marcante, em 5 janeiro deste ano, o site Attrition.org divulgou uma pesquisa sobre o crescimento das desfigurações de sites no mundo, em que o Brasil aparecia em primeiro lugar.
Como InfoGuerra estava em recesso nessa época, a notícia só pôde ser publicada no dia 15. Não é que, por uma enorme coincidência, no dia 16 a Info Exame também publicou a pesquisa, mesmo ela estando disponível desde o começo do mês? A partir desse dia, dezenas de outros sites e jornais fizeram o mesmo.
Além de ficar sabendo dos fatos antes dos outros, o leitor de InfoGuerra tem uma outra vantagem: não é exposto a erros crassos de português. Na matéria sobre os ataques ao Windows 2000, a repórter de Info Exame começou o texto assim: “Daqui a pouco, se a coisa manter o ritmo...”. Clique no link acima e confira, mas faça isso rápido, antes que o texto seja corrigido.
Se a coisa mantiver esse ritmo, a editora Abril vai precisar reciclar sua equipe. Independentemente disso, continue lendo InfoGuerra, o site que sabe conjugar o subjuntivo dos verbos.
| Noticias |
Garoto suspenso por invadir computador da escola comete suicídio
14/5/2001 - 12:54 Giordani Rodrigues
Um garoto americano de 13 anos cometeu suicídio poucas horas depois de saber que havia recebido uma suspensão escolar, sob a acusação de ter penetrado nos computadores do colégio em que estudava. O fato aconteceu no dia 4 de maio e foi noticiado ontem pelo jornal “The Times”, de Trenton, New Jersey.
O adolescente Shinjan Majumder, cuja família emigrou da Índia para os Estados Unidos há 25 anos, enforcou-se em sua casa. Ele estudava na Grover Middle School, no distrito de West Windsor, New Jersey.
Próximo ao meio-dia do dia 4, seu pai, Jayanta Majumder, encontrou-se com o diretor da escola, que informou que Shinjan havia sido suspenso por dias 10 dias. A causa: ele havia “hackeado” o sistema de informática da escola. Não se sabe exatamente o que ele fez.
Após o encontro, Jayanta levou seu filho para casa e foi para o trabalho. Ele conta que meia hora depois disso ainda falou com Shinjan pelo telefone, mas várias chamadas posteriores não foram atendidas. Preocupado, foi para casa e encontrou o filho enforcado.
A mãe do garoto, Rita, disse ter achado um bilhete em que ele escreveu que preferia morrer a ir para a cadeia. Segundo Jayanta, o diretor do colégio, Steve Mayer, teria dito a seu filho que ele poderia ser preso por seus atos.
No entanto, o superintendente distrital John Fitzsimons alega que não foi isso que aconteceu. Segundo Fitzsimons, o diretor teria falado que, se Shinjan fosse um adulto, invadir um computador poderia ser considerado um crime.
Shinjan Majunder era um adolescente talentoso, faixa preta de Tae Kwon Do, que se destacava em natação, tocava violino na orquestra da escola e planejava estudar informática como seu irmão mais velho, Rangan, de 20 anos.
A notícia de sua morte foi parar no site geek Slashdot e transformou-se em uma acalorada discussão. “Dez dias é um pouco extremo para este tipo de violação. Na nossa escola, o máximo é cinco dias e você tem de fazer algo muito sério para isso. Um garoto estava criando vírus nas aulas de ciências da computação e eu acho que ele só pegou três dias”, escreveu um dos comentaristas no site.
| Dicas |
Aprenda a esconder endereços de e-mail
13/5/2001 - 18:24 Giordani Rodrigues
Quantas vezes você já recebeu e-mails com uma lista enorme de destinatários, incluindo seu próprio endereço? Muitas vezes, certamente. E quantas vezes você já mandou uma mesma mensagem para uma grande quantidade de pessoas? É provável que já tenha feito isso também. A facilidade de se enviar uma correspondência para dezenas de pessoas ao mesmo tempo, em diferentes lugares do planeta, é um avanço indubitável das comunicações em tempos de Internet. Mas expor os endereços de todo mundo, além de uma indiscrição, é um convite a que spammers utilizem estas informações para suas atividades escusas.
Os programas de e-mail, incluindo os serviços gratuitos, vêm com uma opção para que os endereços de múltiplos destinatários fiquem ocultos uns dos outros. É a opção “cco” (cópia de cortesia oculta), em português, ou bcc (blind courtesy copy), em inglês. Basta escrever os endereços neste campo para que eles não sejam apresentados abertamente. A maioria das pessoas, porém, ou não sabe para que serve esta opção, ou se esquece dela e só usa o campo “cc”, que deixa as informações à mostra.
Se a opção “cco” não estiver aparecendo em seu programa de e-mail, siga as instruções abaixo. Elas servem para o Outlook Express, da Microsoft, que certamente é o mais usado, mas usuários de outros aplicativos podem adaptá-las aos comandos equivalentes.
1- Abra o Outlook Express
2- Clique em nova mensagem
3- Clique em exibir
4- Selecione a opção “Todos os cabeçalhos”
Pronto, a partir de então o campo “cco” ficará sempre disponível. Quando quiser enviar uma mesma mensagem para vários destinatários diferentes, basta colocar todos os endereços neste campo. A não ser que, por algum motivo, você queira que as outras pessoas saibam para quem o e-mail está sendo remetido.
| Noticias |
Cracker invade site do Arquivo Nacional
13/5/2001 - 10:46 Giordani Rodrigues
Na madrugada de hoje, um cracker identificado por V13TN4M1T4 (Vietnamita) invadiu e desfigurou o site do Arquivo Nacional. A página principal, em tom azul-esverdeado, com o menu do site e a inscrição “Presidência da República Federativa do Brasil”, foi substituída por outra com fundo branco e a mensagem , em letras pretas, “ESTÁ PÁGINA FOI HACKEADA POR [-V13TN4M1T4-]” (sic).
Aparentemente, o vândalo não fez mais nada, pois as outras páginas continuam acessíveis. O Arquivo Nacional é um órgão integrante da Casa Civil da Presidência da República que reúne um acervo que vai do século XVI aos dias atuais.
Criada em 1838, a instituição guarda mais de 50 quilômetros de documentos textuais, mais de um milhão de fotografias, 55 mil mapas e plantas, 13 mil discos e fitas audiomagnéticas, 12 mil filmes e fitas de vídeo. Os documentos provêm de órgãos e entidades do poder público, de instituições privadas e de particulares.
Possui também uma biblioteca especializada nas áreas de história, arquivologia, ciência da informação, direito administrativo e administração pública, estimada em 28 mil volumes, além de um acervo com cerca de 5 mil obras raras.
O site do Arquivo Nacional disponibiliza resumos do seu acervo, venda de documentos e publicações virtuais. O sistema roda Windows NT e servidor IIS 4.0, velhos conhecidos dos crackers. O ataque de hoje serve como um alerta às autoridades de que o sistema está vulnerável.
Até o momento em que esta notícia foi publicada, o site continuava alterado. De qualquer forma, o espelho da invasão foi registrado por Attrition.org e pode ser visto aqui.
| Noticias |
Vírus traiçoeiro finge ser alerta da Symantec
12/5/2001 - 19:10 Giordani Rodrigues
Como se já não bastassem todos os e-mails sobre falsos vírus, agora o internauta tem de lidar com um alerta sobre um falso vírus que é, ele próprio, um vírus. Trata-se do VBS/Hard-A, que chega em uma mensagem de e-mail fazendo-se passar por um aviso da Symantec, produtora do Norton Antivírus. Segundo a empresa britânica Sophos, que hoje publicou informações sobre a praga, já foram relatados vários casos de infecção pelo VBS/Hard-A.
O e-mail dá a entender que foi repassado por outros usuários, pois vem com uma lista de endereços e a sigla “FW”, de “Forward”, comum em mensagens que são enviadas de uma pessoa para outra. Na linha de assunto está escrito "FW: Symantec Anti-Virus Warning" (FW: Aviso da Symantec Antivírus). O corpo da mensagem possui as seguintes características:
----- Original Message -----
From: warning@symantec.com
To: supervisor@av.net ;
security@softtools.com ;
mark_fyston@storess.net ; directorcut@ufp.com ;
pjeterov@goldenhit.org ;
kim_di_yung@freeland.ch ;
james.heart@macrosoft.com
Subject: FW: Symantec Anti-Virus Warning
Hello,
There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!
Symantec has first noticed it on April 04, 2001.
The attached file is a description of the worm and how to
protect your pc against it.
With regards,
F. Jones
Symantec senior developer
Ou seja, um aviso, assinado por um suposto funcionário da Symantec, de que há um novo worm na rede, muito perigoso e espalhando-se rapidamente. A empresa o teria descoberto no dia 4 de abril. A mensagem também afirma que a descrição sobre o worm, bem como a forma de se proteger, fazem parte do arquivo anexado.
O nome do arquivo é “www.symantec.com.vbs” e, é claro, nele está escondido o vírus. O usuário que acreditar na história e clicar no anexo abrirá um arquivo em forma de página HTML similar a uma página de informações da Symantec. O texto descreve um worm inexistente de nome VBS.AmericanHistoryX_II@mm.
O vírus então descarrega no drive C um arquivo Visual Basic Script de nome www.symantec_send.vbs e muda o registro para ser rodado quando o Windows for reiniciado. A chave de registro alterada está localizada em Hot_Key_Current_User\Software\Microsoft\Windows\CurrentVersion\Run.
Feito isso, o VBS/Hard-A envia uma cópia de si mesmo a todos os contatos da lista de endereços do Outlook. No dia 24 de novembro, ele apresenta uma mensagem com o seguinte texto:
Don't look surprised!
It is only a warning about your stupidity
Take care!
(Não fique surpreso! É apenas um alerta sobre sua estupidez. Tome cuidado!)
O esquema é ardiloso e pode enganar muita gente. Novamente, a orientação é simples: não abra arquivos anexados, a menos que você tenha certeza do que se trata. Para saber como identificar as extensões duplas, que escondem arquivos perigosos, leia esta dica.
| Noticias |
FBI paga para receber informações erradas
11/5/2001 - 18:03 Giordani Rodrigues
O FBI tem utilizado uma considerável soma de dinheiro para reunir informações pessoais dos cidadãos americanos, compradas de empresas privadas. Além das questões éticas que isso implica, há ainda o agravante de que muitas destas informações contêm erros, o que pode trazer sérias conseqüências às pessoas afetadas. As conclusões são de Richard Smith, Chief Technology Officer da Privacy Foundation, organização de defesa da privacidade.
Hoje, ele publicou uma descrição de como seu próprio dossiê contém mais informações erradas do que corretas. O dossiê foi comprado da ChoicePoint Inc., empresa privada para a qual o FBI pagou US$ 8 milhões no ano passado para obter dados privados de praticamente todos os adultos dos Estados Unidos.
A ChoicePoint prepara os dossiês cruzando informações de números de cartões da previdência social com relatórios de crédito, documentos de taxas urbanas, arquivos judiciais, etc. Após ter pago US$ 20 por cada dossiê, Smith recebeu um pacote com mais de 60 páginas contendo informações suas e de sua mulher.
Nas primeiras páginas, ele constatou que a companhia de cartão de crédito havia fornecido seu endereço atual e os dois anteriores. A prefeitura da cidade forneceu dados sobre sua casa: quando ele a comprou, quanto pagou pelo imóvel e que taxas de propriedade estão incluídas. “Eles tinham até a metragem da minha casa, o que eu estava curioso para saber desde que nos mudamos”, comentou ironicamente.
À medida que avançava no relatório, as coisas foram ficando mais esquisitas. Smith descobriu, assustado, que estava morto desde 1976 e que tinha se envolvido em mais de 30 pequenos negócios ao redor do país. Também soube que tinha sido casado com uma mulher chamada Mary.
O dossiê não encontrou antecedentes criminais em seu nome no Estado do Texas, onde mora, mas sugere que se procurasse informações criminais sobre “Ricky Smith” e Rickie Smith”, “porque houve certos caras maus na cadeia com esses nomes”, diz Smith. Os erros continuam em relação à sua mulher e às suas duas filhas.
Depois de ter constatado tantos equívocos, Smith resolveu pedir para ser retirado do banco de dados da empresa. Mais uma surpresa: descobriu que não podia. “Eles escolhem ter um relacionamento com você, mas você não tem nenhuma escolha em seu relacionamento com eles”.
A justificativa da ChoicePoint é simples: as referências são usadas por agências governamentais e por negócios legítimos para identificar e localizar indivíduos, a fim de tornar a sociedade um lugar mais seguro. A exclusão de pessoas dos bancos de dados traria efeitos adversos no fornecimento de informações de qualidade.
Além de fornecer dossiês ao FBI, a ChoicePoint ajuda empresas na condução de pesquisas sobre seus empregados, investigações de fraudes e exames de apólices de seguro. Um erro nestes casos pode trazer graves conseqüências às vidas das pessoas.
Preocupado com isso, Richard Smith chega a uma conclusão relevante: “Eu não quero me complicar simplesmente porque um estranho que é listado em meu dossiê faz algo errado. Também me deixa curioso qual informação a meu respeito é colocada erroneamente no dossiê de pessoas com nomes similares ao meu”.
Sem opção, Smith fez a única coisa que estava a seu alcance: assinalou os erros presentes nos relatórios da sua família e enviou-os à ChoicePoint para que fossem corrigidos.
| Noticias |
Novo vírus sadmind/IIS desfigura mais de 8 mil páginas
11/5/2001 - 13:43 Giordani Rodrigues
Na última terça-feira, dia 8, a equipe do Attrition.org recebeu um e-mail contendo uma lista de 8.836 endereços IP (Internet Protocol) que teriam sido vítimas do sadmind/IIS, um novo vírus do tipo worm descoberto esta semana. Ele ataca servidores Solaris e IIS, alterando páginas Web. Pelas conclusões do Attrition, todos os endereços foram desfigurados pelo worm.
O sadmind/IIS worm explora vulnerabilidades conhecidas há bastante tempo, tanto nos servidores Solaris, da Sun Microsystems, quanto no IIS (Internet Information Services), da Microsoft. Ao encontrar um servidor Solaris vulnerável, ele se espalha para outras máquinas que utilizam o sistema. A partir daí, instala um programa que procura e ataca servidores IIS com falhas, desfigurando as páginas index.html de sites hospedados nestes servidores.
Depois de desfigurar 2 mil sistemas IIS, o worm faz o mesmo no servidor Solaris em que estiver instalado. As páginas modificadas apresentam a mensagem “fuck USA Government fuck PoizonB0x contact:sysadmcn@yahoo.com.cn”. O CERT Coordination Center publicou uma análise da ação do worm, com links para as correções das falhas.
O fato de o sadmind/IIS apresentar impropérios contra o governo americano e o grupo hacker PoizonB0x nas páginas atacadas, além de mostrar um e-mail com domínio .cn, sugere que o worm é mais um desdobramento da briga entre hackers chineses e americanos, desencadeada recentemente. O grupo PoizonB0x, que já declarou não ser americano, desfigurou centenas de sites chineses nas últimas semanas.
A equipe do Attrition, apesar de só ter conseguido converter uma parte dos endereços IP em sites propriamente, acredita que todos foram comprometidos e desfigurados. A lista dos endereços analisados pode ser encontrada aqui. Vários ainda estão alterados. Um exemplo de como ficam as páginas desfiguradas pelo worm pode ser visto aqui.
| Noticias |
Homepage atinge o Brasil e já é o vírus mais ativo no mundo
10/5/2001 - 22:03 Giordani Rodrigues
O Homepage, praga descoberta há apenas dois dias, já é, de longe, o vírus mais ativo no mundo, no momento. A Trend Micro, que possui uma ferramenta de rastreamento online de vírus chamada House Call, contabilizou 46 mil máquinas infectadas mundialmente pelo vírus, nas últimas 24 horas. Na América Latina, este número é de cerca de 6 mil computadores.
Para se ter uma idéia, de acordo com os mesmos dados, foram encontradas 557 máquinas infectadas pelo segundo vírus mais ativo no mundo nas últimas 24 horas, o Hybris, ou Branca de Neve Pornô. Na América do Sul, o segundo lugar pertence ao Marker, com 126 computadores infectados.
Segundo Hernán Armbruster, diretor de operações da Trend Micro para a América Latina, o Brasil responde por cerca de metade dos números de infecções de vírus na região, o que significa que o país teve pelo menos 3 mil computadores infectados nas últimas 24 horas.
É bom lembrar que estes são apenas os cálculos da Trend Micro referentes aos usuários que utilizaram a sua ferramenta House Call. Portanto, os números totais são bem maiores. Mesmo assim, Armbruster acredita que a proliferação do Homepage tem sido menor do que a dos primeiros dias do Anna Kournikova, em fevereiro.
“Na próxima segunda-feira, estes números deverão estar bem mais equilibrados. Os usuários normalmente demoram em torno de um dia até começarem a tomar providências depois que um vírus de alto risco surge. Três dias depois, os efeitos já começam a se apagar”, concluiu.
O principal efeito do Homepage é enviar uma cópia de si mesmo a todos os endereços da lista do Outlook. Este tipo de situação causa perdas financeiras para as empresas. “Em clientes corporativos, quando vírus dessa natureza começam a se espalhar, os servidores de e-mail caem. Ou então são desligados”, disse Hernán Armbruster. Ele acha, no entanto, que ainda é cedo para se medir o prejuízo causado pelo vírus.
O vírus utiliza comandos de Visual Basic Script (VBS) para infectar as máquinas. Ele foi criado com a ferramenta chamada VBS Worm Generator, inventada pelo argentino [K] e usada pelo holandês “OnTheFly” para produzir o vírus Kournikova. O Homepage, porém, já foi criado com a versão 2.0 da ferramenta, lançada há pouco tempo por [K], enquanto o Kournikova foi gerado pela versão 1.5.
O Homepage tenta enganar os usuários abrindo uma entre quatro páginas pornográficas. A revista Wired publicou em seu site uma reportagem dizendo que recebeu um e-mail de três adolescentes holandeses que alegam ter criado a praga para fazer a visitação a tais sites aumentar. Se isto for verdade, eles se deram mal.
Quem teve a curiosidade de visitar os sites percebeu que, na manhã de ontem, eles estavam online. No final da tarde, porém, com a disseminação da notícia sobre o vírus, todos os quatro endereços já tinham sido retirados da rede.
Os endereços são http://hardcore.pornbillboard.net/shannon/1.htm, http://members.nbci.com/_XMCM/prinzje/1.htm, http://www2.sexcropolis.com/amateur/sheila/1.htm e http://sheila.issexy.tv/1.htm.
Para saber mais detalhes sobre o Homepage, clique aqui. Dicas de como se proteger desta e de outras pragas semelhantes podem ser encontradas aqui.
Leia também:
Entrevista com [K], criador do kit que gerou o vírus Kournikova
Poderoso kit para criação de vírus é retirado da Internet
Programa que criou vírus Kournikova ganha nova versão
| Dicas |
Previna-se contra o vírus Homepage e outras pragas de VBS
10/5/2001 - 10:58 Giordani Rodrigues
Um bom número de vírus surgidos nos últimos tempos aproveita-se de certas comodidades utilizadas por produtos da Microsoft que, se devidamente exploradas, podem abrir brechas de segurança em seu computador. Uma delas é o Visual Basic Script (VBS), um conjunto de comandos que automatizam tarefas, a exemplo das macros, utilizadas pelo Word e que também servem para a proliferação de pragas virtuais.
Impedir que tais comandos sejam executados, no entanto, é bastante simples e previne a ação de vírus de VBS como I Love You, Anna Kournikova, Kakworm e o recente Homepage, que começou a se espalhar rapidamente pelo mundo há menos de dois dias.
Basta desabilitar a função Windows Scripting Host (WSH) de sua máquina. Como o próprio nome sugere, esta é a função que o Windows utiliza para rodar scripts, incluindo o VBS. O WSH vem instalado como padrão em várias configurações do Windows e, a menos que você faça um uso específico de sua máquina, desabilitá-lo não irá interferir no desempenho do PC. Pelo contrário, pode poupar grandes dores de cabeça.
As seguintes instruções, traduzidas do site da Sophos, explicam como está instalada e como desabilitar a função Windows Scripting Host de seu sistema. As explicações são para versões em língua portuguesa. Para versões em outras línguas, basta seguir as opções equivalentes. Tenha em mente que a atualização de produtos como Windows, Internet Explorer e outros pode anular os procedimentos descritos.
Windows 98:
A função WSH está instalada se você optou pela instalação padrão do Windows 98, se possui o Internet Explorer 5, ou baixou o WSH do site da Microsoft. Nestes casos, faça o seguinte para desabilitar a função:
1. Selecione Iniciar|Configurações|Painel de Controle.
2. Clique em “Adicionar/Remover programas”.
3. Abra a caixa de diálogo “Instalação do Windows” e dê um duplo clique em “Acessórios”
4. Procure por “Windows Scripting Host” e desmarque essa opção.
5. Clique “OK” até voltar à área de trabalho.
Windows 95:
A função WSH está instalada se você possui o Internet Explorer 5, ou se baixou o WSH do site da Microsoft. Para impedir que scripts com a extensão .VBS sejam executados, faça o seguinte:
1. Na Área de Trabalho, ou utilizando o Windows Explorer, clique com o botão direito do mouse em “Meu Computador”.
2. Selecione “Abrir”
3. Na janela que aparecerá, clique em “Exibir” e selecione “Opções”
4. Clique em “Tipos de Arquivos”.
5. Procure por “Arquivo VBScript” na lista de arquivos (se você não conseguir encontar este tipo de arquivo, significa que sua máquina está segura e você não precisa fazer mais nada).
6. Clique no botão “Remover”.
7. Se for pedida a confirmação da remoção, clique em “Sim”.
Windows NT 4.0:
A função WSH está instalada se você possui o Internet Explorer 5, ou se baixou o WSH do site da Microsoft.
Para desabilitar a função, faça o seguinte:
1. Entre como Administrador.
2. Na área de trabalho ou utilizando o Windows Explorer, clique com o botão direito do mouse em “Meu Computador”.
3. Selecione a opção “Abrir”.
4. Na janela “Meu Computador”, abra o menu “Exibir” e selecione “Opções”.
5. Abra a etiqueta “Tipos de arquivos”.
6. Procure por “Arquivo VBScript” (se você não encontrar, sua máquina está segura e você não precisa fazer mais nada).
7. Clique no botão “Remover”.
8. Se você vir uma caixa de diálogo pedindo para confirmar a remoção, clique em “Sim”.
Windows 2000 e Windows 98 ME:
A função WSH está instalada como padrão. Para evitar que scripts com a extensão .VBS sejam rodados, faça o seguinte:
1. Entre como Administrador.
2. Na área de trabalho ou utilizando o Windows Explorer, clique com o botão direito do mouse em “Meu Computador”.
3. Selecione a opção “Abrir”.
4. Na janela “Meu Computador”, abra o menu “Ferramentas” e selecione “Opções de Pasta”.
5. Abra a etiqueta “Tipos de arquivos”.
6. Procure por “Arquivo VBScript” (se você não encontrar, sua máquina está segura e você não precisa fazer mais nada).
7. Clique no botão “Apagar”.
8. Se você vir uma caixa de diálogo pedindo para confirmar a remoção, clique em “Sim”.
Outro artifício que os criadores de vírus de VBS utilizam é esconder a verdadeira extensão dos arquivos maliciosos anexados às mensagens. Para isso, utilizam extensões duplas, como TXT.VBS, TXT.JPG e, no caso do Homepage, HTML.VBS. O Windows tem como padrão não reconhecer a segunda extensão, exibindo somente a primeira extensão dos arquivos conhecidos, junto com o ícone correspondente daquele formato.
Isto também pode ser evitado e InfoGuerra já publicou tal dica na época do vírus Anna Kournikova. Clique aqui para acessá-la.
| Noticias |
Ataques põem site Attrition.org fora do ar
10/5/2001 - 8:09 Giordani Rodrigues
O quê? Hackers derrubaram o servidor do site Attrition.org, o mais conhecido repositório de páginas “hackeadas” do mundo? Não exatamente. Não foram hackers de verdade. Estes têm coisas mais “importantes” com que se preocupar. Mas um bando de script kiddies (garotos que atacam usando programas prontos) conseguiu deixar o site inacessível por algum tempo, ontem.
Brian Martin, também conhecido por Jericho, um dos integrantes da equipe do Attrition, publicou uma nota explicando os motivos pelos quais o site permaneceu fora do ar. Segundo ele, a causa principal foram erros, já corrigidos, no drive que roda os arquivos mais importantes do site. Em seguida, vieram os script kiddies, que congestionaram o servidor com ataques de negação de serviço (DoS).
“Além do flood (grande fluxo de dados) normal, a quantidade de script kiddies fracassados rodando exploits (programas que exploram vulnerabilidades) para NT contra nossos servidores é incrível. Deixe-me dar uma dica a vocês, garotos. ESTE É UM SISTEMA LINUX RODANDO APACHE. Tentem usar exploits adequados contra nós, por favor. Quando as crianças crescerem ou seus pais os colocarem no ônibus para a escola de primeiro grau, certamente isto irá acabar”, escreveu, irônico.
Jericho devia estar realmente zangado, pois avisou que qualquer e-mail reclamando da queda do servidor seria “muito provavelmente recebido com hostilidade”. “Creia em mim, você irá viver se não conseguir ver a última desfiguração”.
Ele garante que, dadas as condições dos velhos computadores que a equipe utiliza, seu trabalho já está bom demais. Para provar, publica estatísticas mostrando quanto tempo as máquinas têm ficado ligadas sem interrupção.
No final, manda um aviso aos desfiguradores de sites: “não nos escrevam queixando-se de que nós perdemos seu último ‘trabalhinho manual’. E daí? É a mesma baboseira sem sentido de ontem, de anteontem e do dia anterior”. Uau!
| Noticias |
Vírus pornográfico se espalha rapidamente pela Internet
9/5/2001 - 10:51 Giordani Rodrigues
Desde ontem à noite, várias empresas antivírus estão lançando alertas sobre o aparecimento de uma nova praga virtual que está se espalhando rapidamente pelo mundo. Trata-se do VBSWG.X, também chamado de Homepage, um vírus do tipo worm que utiliza conhecidas técnicas para convencer o usuário a executá-lo.
O Homepage chega anexado a uma mensagem de e-mail e tenta enganar quem o recebe abrindo páginas pornográficas. O vírus foi criado com a ferramenta VBS Worm Generator, a mesma usada para produzir o Anna Kournikova, que infectou milhares de computadores em fevereiro deste ano.
O Homepage só consegue se espalhar pelo Outlook. O e-mail que o carrega chega com a palavra “Homepage” no campo do assunto. O corpo da mensagem traz a frase “You've got to see this page! It's really cool ;O)” (Você tem de ver essa página! É realmente legal). Como anexo, o arquivo “HOMEPAGE.HTML.VBS”.
Caso a vítima execute o arquivo, o vírus deixa uma cópia de si mesmo no diretório Windows com o nome HOMEPAGE.HTML.VBS. Em seguida, revisa o registro do sistema e envia uma mensagem infectada a todos os endereços do catálogo do Outlook.
Depois de enviar as mensagens, o Homepage tenta acessar quatro páginas páginas pornográficas na Internet: http://hardcore.pornbillboard.net/shannon/1.htm, http://members.nbci.com/_XMCM/prinzje/1.htm, http://www2.sexcropolis.com/amateur/sheila/1.htm e http://sheila.issexy.tv/1.htm.
Após todo o “trabalho sujo”, o vírus ainda procura por mensagens com o assunto “Homepage”. Caso encontre, ele apaga a mensagem para evitar ser detectado.
Logo após ter sido detectado, o vírus começou a se espalhar com grande velocidade. A Trend Micro, que o classificou inicialmente como de médio risco, já o pôs na categoria de alto risco. Mikko Hyppönen, gerente da F-Secure, comenta: “Os primeiros relatos indicam que este vírus está se espalhando mais rápido do que muitos dos maiores vírus que nós vimos no último ano. Mais rápido até do que o Anna Kournikova.”
A MessageLabs, que monitora e-mails em busca de vírus, relata a detecção de cerca de 100 mensagens infectadas por minuto, o que equivale à velocidade de propagação do I Love You, em maio do ano passado. Das 16h30 de ontem até as 6 horas da manhã de hoje (horários de Brasília), a empresa já detectou cerca de 5 mil mensagens contaminadas.
“Este novo vírus Homepage sem dúvida está se espalhando tão rapidamente quanto o I Love You no ano passado. O fato de nós estarmos observando acima de 100 cópias do vírus a cada minuto mostra que as companhias não têm atualizado seus antivírus”, afirmou Mark Sunner, Chief Technology Officer da Message Labs.
A primeira cópia do vírus interceptada pela companhia proveio da Holanda, mas a maioria das mensagens contaminadas está vindo da Austrália, até agora.
O Homepage não é um vírus destrutivo, isto é, não apaga arquivos. Mas sua capacidade de envio de mensagens em massa pode congestionar servidores e gerar altas somas em prejuízo.
| Noticias |
Usuários da McAfee acusam Sophos de distribuir vírus
9/5/2001 - 1:00 Giordani Rodrigues
A empresa britânica Sophos, uma das principais produtoras de antivírus do mundo, publicou em seu site, hoje, uma nota perturbadora com o título “McAfee acusa falsamente Sophos de distribuir vírus”. O texto afirma que os usuários da empresa americana estavam acusando a Sophos de enviar, junto com seu alerta sobre o novo vírus VBS/VBSWG-X, também chamado de Homepage, o próprio vírus.
No entanto, tudo não passou de um grave engano. “A McAfee confirmou à Sophos que algumas versões do seu produto têm a tendência de dar um falso alarme para descrições de vírus inteiramente inocentes (por exemplo, descrições que usam a expressão VBSWG e citam um nome de arquivo com dupla extensão)”, diz um trecho da nota.
Por causa disso, alguns usuários do programa da McAfee que também recebem e-mails com alertas da Sophos foram enganados e se assustaram, gerando a confusão.
A empresa britância, é claro, faz questão de assegurar que não enviou nenhum vírus e sugere aos usuários da concorrente que procurem ajuda com o suporte técnico da Network Associates, corporação que abrange a McAfee. Segundo a mesma nota, este problema deverá ser corrigido com os arquivos de atualização 4138 DAT do programa.
| Noticias |
Outro site da Microsoft é invadido
9/5/2001 - 0:00 Giordani Rodrigues
Os brasileiros do grupo Prime Suspectz resolveram fazer “carreira” em cima da Microsoft. Ontem, invadiram mais um site da companhia, dessa vez um endereço do domínio corporativo — http://streamer.microsoft.com.
Os hackers deixaram a já conhecida bandeira brasileira em tom verde-neon com sua marca e indagações à Microsoft.
“Onde está a segurança?”, perguntaram, em inglês. O difícil foi entender o resto do texto, mas é qualquer coisa assim: “Agora foi a vez da Microsoft.com, que fabrica os servidores IIS. Windows 2000+IIS 5.0, uma mistura perfeita, como vocês podem ver”.
O grupo refere-se certamente à recente falha descoberta no Windows 2000 rodando em servidores IIS 5.0. Dezenas de sites de grandes corporações com essa configuração, incluindo a própria Microsoft, estão sendo desfigurados.
Há poucos dias, o Prime Suspectz já havia invadido as filiais da gigante do software no Reino Unido, México e Arábia Saudita, além da seção de esportes da MSNBC, uma associação entre a Microsoft e a NBC. No final de semana, desfigurou o site do McDonald’s na Argentina, que também usa Windows 2000/IIS 5.0.
De acordo com o site Attrition, esta é a décima vez que se registra um endereço da Microsoft invadido, desde outubro de 1999. A lista completa, com exceção deste último site, está em http://www.attrition.org/security/commentary/microsoft0503.html.
Nesta página, a equipe do Attrition também faz uma correção. O endereço www.microsoft.com.gr, que também foi desfigurado pelo Prime Suspectz e em seguida pelo grupo WOH, não pertence à Microsoft da Grécia, como foi divulgado. Apesar de ser redirecionado ao site da companhia naquele país, posteriormente descobriu-se que está registrado em nome de um grego. Para ver o espelho do ataque de ontem, clique aqui.
| Noticias |
Hackers fazem a festa com o Windows 2000
7/5/2001 - 14:06 Giordani Rodrigues
Você tem um site na Internet rodando Windows 2000 em servidor IIS 5.0? Pois faça agora a atualização de segurança para estes produtos. Desde que foi anunciada, no dia primeiro de maio, uma grave vulnerabilidade que afeta o conjunto, os hackers têm feito a festa invadindo sites que o utilizam.
Segundo o Attrition.org, que registra desfigurações de hackers em todo o mundo, os ataques ao Windows 2000 cresceram vertiginosamente. Apenas nesta primeira semana de maio, já houve 185 casos de invasões deste sistema, mais do que em todo o mês de abril, que teve 157 ocorrências. Coincidência? Provavelmente não.
Vistos por outro ângulo, os números são ainda mais impressionantes. De agosto de 1999 até hoje (7 de maio), as invasões de Windows 2000 ocupam a quinta posição, com 5,81% dos casos. Se considerarmos apenas os primeiros sete dias de maio, este número sobe para 26,02%, ocupando o segundo lugar.
Perde apenas para o imbatível Windows NT, que tem 56,4% de desfigurações, ou 401 ocorrências. Levando-se em conta que o Windows 2000 é um sistema relativamente novo — só começou a aparecer nas estatísticas do Attrition em fevereiro de 2000 —, os números tornam-se ainda mais contundentes.
A falha de segurança do sistema ocorre no protocolo IPP (Internet Printing Protocol), que controla a impressão de documentos através da Internet. Tal protocolo é implementado no Windows 2000 por uma extensão chamada ISAPI (Internet Services Application Programming Interface), que só pode ser acessada via servidores IIS 5.0
Uma requisição de impressão, especialmente preparada para explorar a vulnerabilidade (um exploit), pode abrir as portas do sistema. A partir desse momento, um hacker pode assumir total controle da máquina.
Assim que um bug (falha de programação) é descoberto, um exploit pode ser rapidamente desenvolvido. Na verdade, a própria constatação do bug já supõe a existência de comandos que foram capazes de explorá-lo. Basta aperfeiçoar tais comandos. Foi o que aconteceu no caso do Windows 2000.
Há dias já se encontra facilmente na Internet um programa escrito em linguagem C, capaz de explorar a falha do Windows 2000 rodando em servidores IIS 5.0. Felizmente, sua correção também está disponível. Mas parece que os sites continuam subestimando a capacidade de garotos com muito tempo livre e disposição para pichar suas páginas.
Leia também:
Microsoft é vítima da própria vulnerabilidade
Falha no Windows 2000 deixa o sistema completamente vulnerável
| Noticias |
Hackers invadem site da Folha de São Paulo
7/5/2001 - 10:19 Giordani Rodrigues
O grupo hacker brasileiro InSaNiTy ZiNe c0rp. invadiu, ontem, um dos sites do jornal Folha de São Paulo. O endereço atacado — Folhainvest em Ação — transformou-se em painel de críticas ao que foi chamado de “nova escola”. O grupo refere-se aos vários desfiguradores de páginas surgidos nos últimos tempos.
Em um texto em inglês, podia-se ler coisas como: “não digam que vocês são hackers, vocês não são hackers, são apenas um monte de pré-script kiddies”. O termo designa pessoas que aprendem a usar programas prontos (scripts) para invadir sistemas.
Comentando sua ausência da cena hacker (“vocês sentiram saudades? Acho que não”) o IZ c0rp., como também é chamado, disse que voltou justamente por causa das coisas que os “novos garotos” estão fazendo. No final, o grupo afirmou estar trazendo a “velha escola” de volta e escreveu: “Deus salve os verdadeiros script kiddies”.
O Folhainvest em Ação é um concurso promovido pelo caderno de investimentos da Folha de São Paulo e pela Bolsa de Valores de São Paulo (Bovespa). Os participantes recebem um capital fictício de R$ 100 mil para aplicar em ações e os melhores colocados têm direito a prêmios, incluindo uma viagem aos Estados Unidos para conhecer as bolsas Nasdaq e de Nova Iorque. No momento, o site está fora do ar.
Informações de sites especializados dão conta de que o sistema invadido roda Windows 2000 e servidor IIS/5.0, o que faz supor que a Folha foi mais uma das vítimas da brecha de segurança encontrada neste conjunto no começo do mês. De lá para cá, verificou-se uma onda de ataques explorando a vulnerabilidade (leia matéria).
O IZ c0rp. já é bastante conhecido no submundo da Internet brasiliera. Em seu “histórico”, constam desfigurações de sites como o do MST, Symantec, HP e das filiais nacionais da Microsoft, Network Associates e McAfee. Para ver o espelho do ataque ao Folhainvest em Ação, registrado pelo site Alldas, clique aqui.
| Noticias |
Descoberta outra falha no servidor IIS 5.0
7/5/2001 - 6:17 Giordani Rodrigues
Neste final de semana, o consultor de segurança búlgaro Georgi Guninski lançou mais um de seus alertas sobre falhas em produtos da Microsoft. Ele descobriu que é possível reiniciar remotamente todos os serviços relacionados ao servidor IIS 5.0 usando requisições especialmente preparadas para tal. Se as requisições forem repetidas, podem causar sérios danos no desempenho do servidor.
O problema se encontra no serviço Web-DAV (Web-based Distributed Authoring and Versioning), um conjunto de extensões do HTTP (Hypertext Transfer Protocol), que permite a manipulação de arquivos em um servidor Web. Em sua página, Guninski apresenta uma demonstração de como explorar a vulnerabilidade usando uma requisição que contém um código malicioso.
A atual falha é o desdobramento de uma outra com características semelhantes, também descoberta pelo búlgaro, em março. Guninski considera o problema como de médio risco e afirma que alertou a Microsoft no dia primeiro deste mês.
A recomendação que ele faz para “talvez” ajudar a evitar o bug é desabilitar as extensões do Web-DAV. “Embora eu não recomende o uso do IIS na Internet”, completa.
No começo do mês, a própria Microsoft admitiu a existência de uma falha grave que pode afetar os servidores IIS 5.0 rodando sob o Windows 2000. O bug pode dar a um hacker total controle do sistema.
Leia também:
Microsoft é vítima da própria vulnerabilidade
Falha no Windows 2000 deixa o sistema completamente vulnerável
Protocolo UDP provoca "Denial of Service" no Windows
Falha no Windows Media Player permite total acesso ao PC
| Noticias |
Falso site da Casa Branca sofre falsa invasão de hackers
6/5/2001 - 5:46 Giordani Rodrigues
|
| Noticias |
Microsoft é vítima da própria vulnerabilidade
4/5/2001 - 11:54 Giordani Rodrigues
|
| Noticias |
Fundação Vanzolini comenta invasão a seu site
4/5/2001 - 10:58 Giordani Rodrigues
Há poucos dias, o site da Fundação Vanzolini, que possui um programa de defesa da privacidade, foi alvo do ataque de hackers. No dia em que InfoGuerra publicou a notícia, não conseguiu obter um pronunciamento oficial da instituição, o que aconteceu posteriormente.
O administrador do Programa Selo de Privacidade Online, Carlos Cabral, admitiu o ataque, mas ressaltou: “o site invadido foi o da Fundação Vanzolini (institucional) e não o site Programa Selo de Privacidade OnLine, que possui precauções de segurança especiais”.
Sonia Pessôa, que trabalha com Cabral, complementou dizendo que “o ataque de um hacker, alterando a home page de um site, não significa que ele teve acesso aos dados pessoais dos usuários deste site. Nosso Programa cuida da privacidade dos dados pessoais do internauta”.
O Programa Selo de Privacidade Online é mantido pela Fundação Carlos Alberto Vanzolini, ligada à escola Politécnica da USP. Os sites participantes do programa, após auditoria técnica, devem aderir aos requisitos normativos e adquirir a licença para o uso do Selo de Privacidade no site. O selo serve como símbolo de confiança e proteção dos usuários.
De acordo com Sonia, a iniciativa foi elaborada com base nos serviços da BBBonline e da TRUSTe americanas, e baseada em princípios de organizações internacionais de defesa da privacidade, como Online Privacy Alliance, Eletronic Privacy Information Center (EPIC), Eletronic Frontier Foundation (EFF).
Adicionalmente, o programa abrange as Diretivas Européias de Proteção de Dados, que estão sendo discutidas e implantadas nos sites americanos por meio do Acordo Safe Harbor (Federal Trade Commission do Senado Americano e Parlamento Europeu).
Leia também:
Hackers atacam fundação brasileira de defesa da privacidade
| Noticias |
Falha no Windows 2000 deixa o sistema completamente vulnerável
4/5/2001 - 8:13 Giordani Rodrigues
A Microsoft publicou um alerta sobre uma grave falha de segurança no Windows 2000 que pode deixar o sistema completamente vulnerável ao ataque de hackers. A empresa afirma que o problema só ocorre quando o sistema está rodando servidores IIS 5.0 e recomenda a todos os usuários desses produtos que façam a correção, já disponível, com a máxima urgência.
A brecha no Windows 2000 ocorre no protocolo IPP (Internet Printing Protocol), que controla a impressão de documentos através da Internet. O serviço é uma conveniência indubitável. Por exemplo, usando o protocolo IPP, um viajante poderia mandar, pela Internet, um trabalho para ser impresso na rede de sua empresa e ainda verificar se a impressão foi completada sem erros.
Tal protocolo é implementado no Windows 2000 por uma extensão chamada ISAPI (Internet Services Application Programming Interface), que só pode ser acessada via servidores IIS 5.0. E é justamente aí que reside a falha.
A extensão ISAPI contém uma vulnerabilidade que não foi checada anteriormente. Uma requisição de impressão, especialmente preparada para explorar tal vulnerabilidade (um exploit), pode abrir as portas do sistema. A Microsoft admite que o bug pode dar a um usuário mal-intencionado total controle do servidor. Dessa forma, ele poderia executar praticamente qualquer ação de sua escolha.
InfoGuerra entrou em contato com a assessoria de imprensa da Microsoft Brasil, que enviou um comunicado com instruções sobre como evitar o problema. Veja abaixo alguns trechos do comunicado:
“No dia 1º de maio, a Microsoft emitiu o Boletim de Segurança MS01-023 notificando os clientes sobre a vulnerabilidade e instruindo-os a instalar o patch (correção) de segurança. O boletim foi enviado para mais de 130 mil assinantes da lista de e-mail de segurança da Microsoft e também foi postado publicamente em http://www.microsoft.com/brasil/windows2000”.
“A Microsoft aconselha enfaticamente todos os clientes afetados a aplicar o patch imediatamente. Se não puderem aplicar o patch, eles deverão seguir as instruções alternativas dadas no boletim. A vulnerabilidade afeta apenas o IIS 5.0. O IIS 4.0 não está afetado, e os clientes que o utilizam não precisam fazer nada.”
“Os clientes do IIS 5.0 não estão correndo risco se removeram a capacidade Impressão na Internet de seus servidores. A lista de checagem de segurança do IIS 5.0 recomenda que isso seja feito, e o template de segurança fornecido na lista de checagem a retira. A ferramenta Lockdown Tool do IIS 5.0 também retira a capacidade, a menos que o usuário opte explicitamente por conservá-la.”
A brecha no Windows 2000 foi descoberta por Riley Hassel, um técnico da eEye Digital Security. A informação foi publicada no site da empresa no dia 1o de maio e comunicada à Microsoft, que confirmou o problema.
A correção foi disponibilizada em seguida e pode ser baixada em http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321. O Boletim de Segurança, em inglês, contendo ricos detalhes sobre o bug, está disponível em http://www.microsoft.com/technet/security/bulletin/MS01-023.asp.
| Noticias |
Hackers brasileiros invadem site britânico da Microsoft
3/5/2001 - 20:01 Giordani Rodrigues
O grupo hacker brasileiro Prime Suspectz não dá descanso à Microsoft. Depois de ter invadido os sites da companhia na Grécia e na Nova Zelândia, fez o mesmo com o site britânico. O endereço www.microsoft.co.uk foi desfigurado no final da tarde de hoje e o trabalho dos hackers ainda pode ser visto.
Em vez de frases ironizando a segurança do sistema ou imagens da bandeira brasileira, o grupo escreveu apenas “Prime Suspectz owned Microsoft again!!!”. O endereço invadido apenas redireciona o internauta para outro — www.microsoft.com/uk/default.asp. É possível, portanto, que muita gente não perceba a traquinagem e o site continue assim por algum tempo.
O Prime Suspectz fez o mesmo com o site corporativo da NEC, nos Estados Unidos. Quem entrar agora no endereço www.nec.com irá perceber que na parte inferior da página principal está escrito “prime suspectz owned nec!!”. A companhia é um importante fabricante de produtos das áreas de telefonia e computadores.
Caso os sites tenham voltado ao normal, as imagens podem ser vistas nos espelhos registrados pelo Alldas. Clique nos links abaixo para acessá-los:
Microsoft
Nec
Atualização - 20h45: A saga Prime Suspectz x Microsoft continua. Minutos depois de InfoGuerra ter publicado a notícia acima, o site Alldas registrou mais dois endereços da companhia invadidos pelos mesmos piratas digitais. São os sites da Microsoft do México e da Arábia Saudita. Nestes, as desfigurações foram completas. Durante pouco tempo foi possível ver os sites alterados, mas no momento ambos estão fora do ar. Os espelhos podem ser vistos abaixo:
Microsoft México
Microsoft Arábia Saudita
Leia também:
Site da Microsoft é novamente invadido
Microsoft da Nova Zelândia é invadida por hackers brasileiros
Hackers invadem sites da Microsoft
| Noticias |
Vírus Magistr foi o que mais atacou em abril
2/5/2001 - 18:45 Giordani Rodrigues
Como é de hábito a cada início de mês, a companhia britânica Sophos divulgou hoje o ranking dos dez vírus que mais atacaram no mês anterior. “A lista dos dez mais de abril é dominada pelo worm Magistr”, disse Graham Cluley, consultor sênior de tecnologia da empresa.
“Este vírus é particularmente notável porque contém seu próprio cliente SMTP (protocolo para envio de mensagens), portanto não depende do Outlook ou de outros programas de e-mail para se espalhar. Depende, porém, de que os usuários o abram. Então a mensagem para os usuários é simples — não abram anexos não solicitados”, alerta.
Abril também é o mês em que o vírus Chernobyl (CIH) ataca. Todo ano, no dia 26 de abril, aniversário do acidente nuclear de mesmo nome, o vírus tenta sobrescrever os dados do disco rígido de computadores infectados e apagar a BIOS dos sistemas. Descoberto em 1998, causou significativos danos ainda em 1999 e 2000.
Este ano, seus ataques foram registrados em menor quantidade. Assim mesmo, muitas pessoas não tomaram as devidas precauções para atualizar seus programas antivírus e foram atingidas, de acordo com a empresa. O Chernobyl fica em estado latente no computador da vítima, até ser ativado em uma data específica.
A Sophos relata a descoberta de 1288 novos vírus em abril, o que eleva o número de pragas conhecidas para mais de 63 mil. Confira, abaixo, a tabela da empresa com os dez mais do mês:
|
| Noticias |
Crackers desfiguram mais de 200 sites brasileiros
2/5/2001 - 11:24 Giordani Rodrigues
|
| Noticias |
Empresa oferece US$ 1 milhão a hackers
1/5/2001 - 22:09 Giordani Rodrigues
Perto do que uma empresa está oferecendo para que hackers quebrem a segurança de seu sistema, os últimos concursos do gênero parecem “fichinha”. A Saafnet International, uma nova companhia da Colúmbia Britânica, no Canadá, pretende pôr à prova um hardware de sua fabricação chamado AlphaShield. Quem conseguir passar pela barreira oferecida pelo produto será contemplado com nada menos do que US$ 1 milhão, segundo o site do jornal canadense The Globe and Mail.
O AlphaShield é colocado entre um computador e um modem, interrompendo a conexão intermitentemente. Ele foi designado principalmente para os usuários de conexões de banda larga, como DSL e cabo, que se expõem mais aos riscos de invasão porque podem permanecer conectados por várias horas ou dias.
As constantes interrupções causadas pelo produto evitariam os ataques de hackers, que não teriam tempo suficiente para suas ações. Segundo Vikashi Sami, de 24 anos, fundador da Saafnet, com o uso do AlphaShield as portas do computador ficam sempre fechadas e só são abertas quando o usuário clica no mouse ou faz requisições de informações da rede.
O concurso deverá ser lançado em julho ou agosto e terá a duração de cinco dias. Os candidatos deverão visitar o site da companhia e verificar o número IP do sistema a ser invadido. Para provar que conseguiu invadir o sistema e levar a bolada de US$ 1 milhão, o hacker precisa roubar uma senha ou um código pré-registrado pela empresa.
Leia também:
LSD compromete segurança de sistemas
Empresa desafia hackers a invadirem seu sistema
| Noticias |
Novo cavalo de Tróia rouba as senhas do PC
1/5/2001 - 19:10 Giordani Rodrigues
Um novo trojan horse (cavalo de Tróia), capaz de roubar as senhas armazenadas no PC, foi descoberto hoje pela Sophos. A praga recebeu o nome de Troj/Unite-C, é originário da Rússia e possui a característica de ser configurável. A empresa afirma que já recebeu vários relatos de contaminação pelo trojan.
O nome do arquivo que carrega o Troj/Unite-C é uma das opções de configuração, por isso pode mudar de acordo com a vontade do usuário mal-intencionado que o envia. Quando executado, este arquivo pode copiar a si mesmo para a pasta Windows\System e adicionar uma nova chave ao Registro, contendo o caminho que leva até ele.
O trojan pode permanecer residente na memória e monitorar o sistema, ou simplesmente ser executado quando se reinicia o computador. Em qualquer caso, ele irá estabelecer uma conexão através da porta TCP (Protocolo de Controle de Transmissão) e enviar as informações roubadas por esta via.
A Sophos já possui atualização para detectar o Troj/Unite-C. Quem possui o antivírus da empresa pode baixá-la em http://www.sophos.com/downloads/ide/unite-c.ide.
Como este cavalo de Tróia é configurável, não se pode prever o nome que o arquivo que o contém irá receber. Portanto, a melhor forma de evitá-lo é seguir as regras de navegação segura. Nunca abra arquivos que você desconhece, anexados em mensagens de e-mail ou enviados de outra forma.