29/10/2004 - 19:27 Redação InfoGuerra

Nada menos do que três novas variantes do worm Bagle foram detectadas hoje por empresas antivírus. Duas delas, Bagle.AT e Bagle.AU, consideradas de médio risco pela F-Secure e epla Trend Micro, espalham-se rapidamente pela Internet. A terceira variante, Bagle.AV, está classificada como de baixo risco e ainda não existem relatórios sobre sua atuação.

As mensagens que contêm as variantes AT e AU chegam com um remetente aleatório e normalmente forjado. O campo de assunto pode apresentar textos como “Re: Hello”, “Re: Hi”, “Re: Thank you!” ou “Re: Thanks :)”. Já o corpo da mensagem mostra apenas o símbolo “:))”, amplamente usado pelos internautas para indicar um sorriso.

Os e-mails contêm um anexo com os nomes “Price” ou “Joke”, cuja extensão pode ser COM, CPL, EXE ou SCR. Quando executado, o worm cria uma chave no registro do Windows para que possa entrar em atividade cada vez que o sistema for iniciado.

Assim como nas versões anteriores, a praga procura endereços de e-mail em arquivos com extensões específicas e evita endereços que contenham determinadas características. Em seguida, cria dois arquivos com os nomes “wingo.exeopen” e “ wingo.exeopenopen” na pasta Windows\System, usados para propagar o worm.

Para se espalhar via compartilhamento de redes, vasculha o disco rígido da máquina infectada em busca de pastas que tenham a partícula "shar" no nome. Depois disso, o worm faz cópias de si mesmo, com nomes diversos, em todos os arquivos que encontrar nestas pastas.

O Bagle.AT também tenta se conectar a diversos sites para baixar componentes maliciosos e tem a capacidade de finalizar processos associados a vários programas antivírus. Além disso, apaga entradas de registro associadas a variantes do Netsky, caso a máquina já esteja
infectada por este worm. As variants do Bagle afetam os sistemas Windows 95, 98, ME, NT, 2000 e XP.

De acordo com a F-Secure, o Bagle.AT foi programado para cessar sua atividade em 26 de abril de 2006. No dia anterior, é automaticamente desinstalado do sistema infectado e sua chave de inicialização no registro do Windows é suprimida.

A variante batizada como Bagle.AV possivelmente é apenas um teste, segundo a F-Secure. De acordo com informações no blog da empresa, “essa variante captura os endereços de e-mail da pasta C:\EMAILS, em vez de procurar em outros arquivos no HD, como fazem as outras variantes à solta”.

Leia também:

Nova variante do Bagle tenta baixar imagens JPG

Nova variante do Bagle traz trojan associado

Brasil é o terceiro país mais atingido pelo novo Bagle

Brasil é o terceiro país mais atingido pelo novo Bagle

Bagle volta a atacar em duas novas versões

Nova versão do Bagle já se espalha na Ásia

Vírus Bagle ganha 7 novas versões

Worm Bagle finge ser um teste e se espalha com rapidez

29/10/2004 - 17:20 Redação InfoGuerra

Em virtude de mudanças na organização dos chats do portal Terra, o bate-papo sobre spam com Renata Cicilini Teixeira, programado para as 19h30 de hoje, dia 29 de outubro, acontecerá em outra data a ser confirmada oportunamente. Mais informações sobre os chats podem ser encontradas aqui. Pedimos desculpas pelo imprevisto e agradecemos a compreensão.

28/10/2004 - 18:16 Redação InfoGuerra

Foi detectada uma nova variante do worm Zafi, programada para lançar ataques de negação de serviço contra o site do primeiro-ministro da Hungria e o das empresas Google e Microsoft. De acordo com a Sophos, o Zafi.C pode ter origem política. O motivo seria a posse do milionário Ferenc Gyurcsany ao cargo de primeiro-ministro da Hungria, no início de outubro.

O Zafi.C envia mensagens com arquivos infectados em diferentes idiomas. Para prender a atenção do usuário e fazer com que execute o anexo, as mensagens podem conter textos com apelos emocionais para auxiliar uma criança doente, ou um convite para encontros amorosos, entre outros.

Os anexos sempre contêm dupla extensão. Um exemplo seria o arquivo de nome “message.doc”, seguido de vários espaços em branco e finalizando com uma outra extensão, que pode ser .SCR ou .EXE.

Assim que executado, o worm faz uma cópia de si mesmo como “svchost.com” para a pasta System do diretório Windows, e cria uma entrada no registro para ser executado toda vez que o sistema operacional for iniciado.

Como seu antecessor, coleta endereços de e-mail em vários tipos de arquivos na máquina da vítima e envia mensagens contaminadas com endereço de remetente forjado, usando um mecanismo próprio para isso. Também desativa programas antivírus instalados na máquina.

Em setembro, pelo quarto mês consecutivo, o Zafi.B, de origem húngara, ocupou o primeiro lugar na lista das pragas que mais afetaram os computadores em todo o mundo, de acordo com dados da Sophos.

Leia também:

Zafi-B e Netsky-P são os piores vírus pelo quarto mês

Zafi-B ataca firewalls e antivírus e em vários idiomas

27/10/2004 - 11:23 Redação InfoGuerra

O site da prefeitura de Parauapebas, no Pará, local onde se formou uma das principais quadrilhas de golpes via Internet, virou cenário de protesto digital. A página principal do site foi desfigurada ontem para manifestar a reprovação contra algumas notícias a respeito da Operação Cavalo de Tróia II, nas quais os estelionatários presos foram chamados de “hackers”.

Conforme cópia do ataque registrada pelo site Zone-H, o defacer (desfigurador de sites) identificado como Priv8, integrante de um grupo de nome Mirror Team, define os fraudadores como “karas (sic) com pouco conhecimento de informática”, que apenas “fizeram a ultilização (sic) de um soft...”.

O texto, com inúmeros erros de português, critica os veículos que têm chamado criminosos comuns de hackers. Um dos trechos do protesto chega a citar o título "Parauapebas - Capital dos Hackers”, referindo-se, provavelmente, a uma reportagem de nome semelhante, exibida no último domingo pelo programa “Fantástico”.

No final, o desfigurador se dirige ao administrador do sistema atacado, tentando justificar seu ato, e aproveita para pedir emprego. O site da prefeitura de Parauapebas já voltou ao normal.

O termo hacker originalmente se referia a programadores ou entusiastas da computação talentosos, e não a criminosos ou pessoas que invadem sistemas. O sentido da palavra começou a ser deturpado principalmente a partir da década de 1980, por influência de reportagens da imprensa norte-americana e de filmes produzidos por Hollywood. Por causa disso, os verdadeiros hackers criaram o termo “cracker” para se referir a pessoas que usam seu talento em informática para o mal.

A Operação Cavalo de Tróia II, realizada pela Polícia Federal na semana passada, teve como objetivo desmantelar uma quadrilha especializada em golpes pela Internet. Mais de 60 prisões foram feitas nos estados do Pará, Tocantins, Maranhão e Ceará. O nome da operação policial provém do método usado pelos golpistas, que enviavam falsos e-mails em nome de instituições bancárias e outras empresas conhecidas, contendo links para programas espiões, também
conhecidos como trojans ou cavalos-de-tróia.

Leia também:

Presos 23 acusados de aplicar golpes pela Internet

Perito da PF fala sobre os crimes pela Internet

26/10/2004 - 14:38 Redação InfoGuerra

Várias brechas de segurança foram encontradas em serviços do Google, uma das empresas mais populares da Internet. Duas das falhas poderiam ser usadas para a prática de fraudes eletrônicas. Uma terceira, descoberta no serviço de e-mail Gmail, pode revelar a lista de contatos do assinante.

Uma das falhas, descoberta pelo jornalista italiano Salvatore Aranzulla, afeta o recém-lançado aplicativo Google Desktop. Divulgada ontem pelo site Netcraft, a vulnerabilidade permite que um atacante modifique o conteúdo de páginas de busca injetando scripts (pequenos programas) hospedados em servidores externos. O ataque, do tipo cross site scripting, possibilita enganar usuários do aplicativo e obter suas informações privadas. Aranzulla também publicou exemplos de exploração da falha.

O atual bug no Google Desktop é similar a outra vulnerabilidade, reportada anteriomente pelo pesquisador Jim Ley. Segundo ele, o Google tomou providências para a correção da falha, mas ainda deixou algumas brechas de segurança.

Outro problema, descoberto e também divulgado pelo Netcraft, foi detectado no endereço googlesite.google.com, que hospedava um aplicativo usado para fazer buscas dentro do site do Google. A vulnerabilidade permitia que um usuário mal-intencionado inserisse falso conteúdo no site e poderia ser usada para ataques de phishing. Uma simulação de página fraudulenta pode ser vista aqui. O Google já reparou a falha.

No entanto, ao verificar o reparo, Netcraft descobriu um outro erro, que coloca à mostra fragmentos de código-fonte, estruturas de arquivos e aplicações lógicas do sistema usado pelo Google. Este problema também já foi reportado à empresa.

Mais uma brecha de segurança encontrada no serviço de e-mail Gmail permitiria que usuários locais tivessem acesso a lista de contatos de um assinante do serviço. Conforme o site Googlemania.com, quando um usuário usa Gmail, alguns arquivos temporários do tipo Javascript ficam armazenados no diretório “Arquivos Temporários de Internet” e um deles contém a lista de todos os seus contatos. Tais arquivos poderiam ser copiados por qualquer outro usuário que tenha acesso à mesma máquina e, posteriormente, abertos em um editor de textos, como o Notepad.

Como a brecha de segurança ainda não foi corrigida, o Googlemania.com sugere que os usuários não usem o Gmail em ambientes de múltiplos usuários.

26/10/2004 - 14:36 Redação InfoGuerra

Usuários da distribuição Linux Red Hat estão sendo alvo de um e-mail fraudulento distribuído pela Internet. A mensagem comunica a publicação de uma suposta correção do sistema operacional, mas trata-se, no entanto, de mais um phishing scam. Ao ser executado, o arquivo permite que terceiros assumam o controle da máquina afetada.

Conforme o site NetCraft, o scam usa o domínio “fedora-redhat.com”, registrado no sábado passado e criado especialmente para esse golpe. A mensagem comunica os usuários que a falsa correção fileutils-1.0.6.patch.tar.gz (68349c219d941209af8f7c968b89d622) está disponível para download e deve ser instalada. Na verdade, os arquivos contêm um código malicioso projetado para comprometer o sistema.

A falsa correção não explora uma vulnerabilidade no sistema para ser executada automaticamente. Em vez disso, depende da interação do usuário, que deve instalá-la como "root" (administrador da máquina).

O golpe representa um passo a mais nos ataques de phishing, que até agora visavam principalmente usuários do sistema Windows. Apesar disso, a falsa mensagem apresentava evidências comuns deste tipo de ataque, como erros de ortografia, entre os quais o próprio nome da Red Hat, que foi escrito como uma palavra única.

No site Slashdot foram postadas muitas mensagens ironizando estes erros. No entanto, é provável que os golpes continuem ocorrendo e se tornem mais sofisticados com o tempo.

A Red Hat emitiu um comunicado oficial aos seus clientes, alertando sobre o e-mail fraudulento. “As mensagens oficiais da equipe de segurança Red Hat nunca são emitidas sem solicitação prévia. O envio sempre parte do endereço secalert@redhat.com e as mensagens contêm a chave de assinatura digital GPG”, esclarece a empresa.

No Brasil, o Centro de Atendimento a Incidentes de Segurança (CAIS) também emitiu um alerta sobre o golpe, contendo detalhes da instalação do arquivo malicioso.

25/10/2004 - 16:09 Redação InfoGuerra

Foi descoberto um novo worm que tem como alvo o sistema operacional Mac OS X. De acordo com a Sophos, o worm Renepo, também conhecido como “Opener” (a mesma palavra, escrita ao contrário), tenta desabilitar os softwares de segurança instalados na máquina do usuário e permitir o acesso remoto de terceiros.

Ao ser executado, o Renepo faz uma cópia de si mesmo para o diretório local (/System/Library/StartupItems) e para todas as outras unidades montadas, incluindo outros computadores em rede. A praga também permite o acesso total aos elementos do StartupItems e desabilita o firewall do Mac OS X e outras soluções de segurança.

O worm cria a pasta "/.info" para armazenar todas as informações capturadas, como senhas e configuração do sistema afetado. Para ocultar sua presença, desabilita os comandos de “accounting e logging”.

De acordo com Graham Cluley, consultor sênior de tecnologia da Sophos, “o Renepo faz tantas mudanças nos sistemas de segurança que o computador, uma vez infectado, tem poucas chances de proteção".

Apesar de não ter constatado ainda nenhuma ocorrência de ataque do vírus, a Sophos alerta os usuários de Macintosh para ficarem atentos.

25/10/2004 - 15:53 Redação InfoGuerra

O número de spams originados no Brasil e reportados ao NBSO (Grupo de Resposta a Incidentes para a Internet Brasileira) no terceiro trimestre de 2004 ficou um pouco acima das denúncias registradas no trimestre anterior. Em ambos os casos, porém, este número foi superior a um milhão de reclamações.

Conforme o relatório do grupo, o número total de spams denunciados de julho a setembro de 2004 foi de 1.173.182, contra 1.158.575 de abril a junho. As reclamações concentram-se nas categorias de Spamvertised Website e Open Proxy.

Spamvertised Website indica que um endereço de site da Web foi mencionado em uma mensagem considerada spam. Normalmente tais endereços possuem relação direta com o conteúdo das mensagens não solicitadas. Já a categoria Open Proxy refere-se ao uso de servidores de e-mail mal configurados, usados para o envio de spam anonimamente.

De julho a setembro, houve um aumento considerável no número de notificações de Spamvertised Website. Foram 504.385 reclamações contra 347.770 recebidas no segundo trimestre deste ano. No entanto, observou-se uma queda no número de notificações de Open Relay (0,01%) e Open Proxy (6,29%) no último trimestre, em relação ao anterior.

Uma situação de Open Relay ocorre quando um servidor de e-mails processa uma mensagem em que nem o remetente nem o destinatário são usuários locais deste servidor. Segundo o NBSO, os spammers geralmente usam servidores que permitem essa operação para entregar milhares de mensagens não solicitadas para outros sites na Internet.

Parte das denúncias coletadas pelo NBSO provêm do serviço SpamCop, que oferece uma ferramenta para a análise automatizada dos spams e envia as reclamações aos endereços cadastrados pelos provedores para combater os abusos de seus clientes. As outras denuncias provêm de diferentes fontes, incluindo reclamações enviadas diretamente pelos destinatários das mensagens.

Leia também:

Crescem relatos de incidentes de segurança no Brasil

25/10/2004 - 15:52 Redação InfoGuerra

O número de notificações de ataques pela Internet no Brasil no último trimestre cresceu em relação ao período anterior. De acordo com relatório do NBSO (Grupo de Resposta a Incidentes para a Internet Brasileira), de julho a setembro de 2004 foram 17.850 notificações recebidas, contra 16.736 de abril a junho, um aumento de aproximadamente 6,7%.

Nas estatísticas do último trimestre, a maior parte dos incidentes reportados teve origem no Brasil (25,7%), seguido de perto pelos Estados Unidos (25,27%). Coréia do Sul, China e Taiwan vêm em seguida, somando, juntos, aproximadamente mais 25% dos relatos de incidentes.

Os worms foram responsáveis por 61% das notificações recebidas pelo grupo. O número de incidência em julho foi de 4.336, apresentando queda em agosto (3.221) e setembro (2.997). No trimestre anterior ocorreu o oposto: houve 2.496 incidências em abril, chegando a 3.752 no mês de junho.

Conforme o relatório, foram denunciados 982 incidentes associados a fraudes pela Internet. Um aumento de 75% em relação ao trimestre anterior e 650% em relação ao mesmo período de 2003.

Também houve um aumento de notificações de scans (rastreamentos) na porta TCP 22. Segundo o NBSO, esse aumento está associado com a utilização de ferramentas para realização de ataques de força bruta contra o protocolo SSH (Secure Shell), com tentativas de diversos logins e senhas.

No entanto, mantiveram-se constantes os scans por múltiplas portas, realizados por worms, bots e ferramentas automatizadas. Tais ataques normalmente envolvem combinações de portas TCP. No último período, as mais visadas foram as portas 1080 (13 %) e a 21 (10%).

O NBSO também publicou um relatório com as estatísticas sobre spam no Brasil.

Leia também:

Reclamações sobre spam no Brasil ultrapassam 1 milhão por trimestre

22/10/2004 - 18:00 Redação InfoGuerra

Foram descobertas várias vulnerabilidades, algumas com graves conseqüências, que atingem múltiplos navegadores, inclusive alguns dos mais populares atualmente. Elas podem ser exploradas remotamente para capturar informações sensíveis, causar negação de serviço e emitir caixas de diálogo falsificadas, dependo do navegador. Ainda não estão disponíveis correções para os problemas.

Uma brecha de segurança detectada na característica de tabulação de alguns navegadores pode ser explorada remotamente por meio de sites maliciosos para emitir caixas de diálogo falsificadas. Em alguns dos navegadores, como Mozilla, Firefox e Netscape, também é possível obter informações sensíveis do sistema.

Os problemas atingem os softwares Mozilla versão 1.73; Firefox 0.10.1; Netscape 7.2; Camino 0.8; Konkeror 3.2.2-6 e Opera 7.54.

De acordo com a empresa de segurança Secunia, quando um usuário está com múltiplas abas abertas do navegador, uma que esteja inativa poderia lançar uma caixa de diálogo que seria vista mesmo que o usuário estivesse em uma janela diferente. Como conseqüência, um atacante remoto poderia falsificar funções no site apresentado na aba ativa.

Um cenário possível para a exploração desta falha seria a de um site malicioso que lança uma caixa de diálogo na janela ativa do site legítimo de um banco, solicitando alguma ação do usuário (inserir sua senha bancária, por exemplo). Tal informação seria imediatamente enviada para o site malicioso que produziu a caixa de diálogo. A Secunia publicou uma demonstração de exploração desta vulnerabilidade, simulando uma ação maliciosa no site do Citibank.

Outra vulnerabilidade se refere a formulários especialmente elaborados, criados por uma aba inativa, mas que podem ganhar foco em outra aba. Como conseqüência, um usuário desatento poderia digitar informações solicitadas no formulário de um site legítimo, sem perceber que tais informações estão sendo enviadas para um site malicioso. Para este caso, uma outra demonstração também está disponível, usando como modelo o site do Citibank.

Como ainda não existem correções disponíveis, a Secunia aconselha os usuários a desabilitarem a função Javascript dos navegadores, ou evitar acessar sites confiáveis e duvidosos ao mesmo tempo.

Também foram divulgadas várias vulnerabilidades relacionadas com o tratamento do código HTML, que atingem quatro navegadores: Mozilla, Opera, Links e Lynx. Conforme boletins divulgados pela SecurityTracker, ao serem exploradas remotamente, as falhas podem provocar ataques de negação de serviço (DoS).

O hacker Michael Zalewski reportou que determinados formatos e seqüências de tags HTML, dependendo no navegador usado, podem provocar uma negação do serviço quando carregadas. A exploração poderia ser feita por um usuário remoto, que criaria uma página HTML especialmente preparada para essa finalidade.

De acordo com o boletim, no Mozilla, por exemplo, os comandos TEXTAREA, INPUT, FRAMESET e IMG seguidos de um NUL e caracteres adicionais provocará o DoS.

A SecuryTracker divulgou alguns exemplos de exploração das vulnerabilidades nos quatro navegadores.

22/10/2004 - 17:23 Redação InfoGuerra

Foi descoberta uma vulnerabilidade no tratamento de arquivos compactados com extensão ZIP, que afeta diversos programas antivírus, como os distribuídos pelas empresas McAfee, Computer Associates, Kaspersky, Sophos, Eset e RAV. A exploração bem-sucedida permite que atacantes remotos insiram códigos maliciosos dentro de um arquivo comprimido, sem que sejam detectados pelo programa de proteção.

De acordo com um alerta da SecuriTeam, o problema existe especificamente na análise estrutural dos cabeçalhos de arquivos .ZIP. Esse formato armazena as informações de arquivos compactados em duas posições ― local e global.

O cabeçalho local fica antes dos dados comprimidos de cada arquivo e o global, na extremidade do arquivo .zip. O problema, confirmado no programa Winzip e no Microsoft Compressed Folders, permite modificar o tamanho descompactado dos arquivos nas duas posições dos cabeçalhos sem que sua funcionalidade seja afetada. Assim, um atacante poderia comprimir um código malicioso e impedir que fosse detectado por algum software antivírus.

Como a maioria dos antivírus efetua uma varredura em arquivos comprimidos, uma falsa detecção pode levar os usuários a descompactar normalmente um arquivo previamente preparado, sem imaginar que contenha um código malicioso.

A McAfee já publicou uma atualização de seu antivírus que previne o problema. A Computer Associates também já identificou a brecha de segurança com a ajuda da iDefense e as correções estão disponíveis.

Conforme a SecuriTeam, a Kaspersky comunicou que a correção do problema estará disponível no próximo pacote de atualização, que deverá ser lançado ainda neste mês.

A versão 3.87.0 do antivírus distribuído pela Sophos já possui a correção e pode ser instalada por meio do sistema de atualização automática. Para os sistemas operacionais Windows 95, 98 e Me a correção será feita com o lançamento da nova versão do produto, no final deste mês.

De acordo com o alerta, as últimas versões dos programas antivírus oferecidos pelas empresas Panda, Symantec, Trend Micro e BitDefender não apresentam o problema.

22/10/2004 - 16:39 Redação InfoGuerra

A Oracle promove, na próxima semana, o Oracle OpenWorld América Latina, composto por um congresso e uma feira de produtos com mais de 50 parceiros da América Latina. O evento ocorre de 26 a 28 de outubro, no Transamérica Expo Center, em São Paulo.

Serão apresentadas 120 seções durante os três dias de evento. Os quatro setores da economia (finanças, manufatura, telecomunicações e governo) contarão com palestras especificamente voltadas a seus principais desafios de negócio. Já está confirmada a presença de Charles Philips, presidente da Oracle Corporation, na abertura da conferência.

Entre os participantes, 28 clientes do Brasil tiveram suas presenças confirmadas e falarão sobre suas experiências na implantação da tecnologia e aplicativos Oracle. Entre eles, Editora Abril, Petrobras, Del Monte, Visanet, Brasil Telecom, Telefônica e Ministério da Agricultura. Estarão presentes também delegações do Chile, Argentina, Colômbia, México e Equador.

No pavilhão de exposições, a Oracle terá ainda um Demoground, uma área de 150 metros quadrados na qual os gurus de desenvolvimento da empresa apresentarão ao público as suas soluções, tirando dúvidas e recebendo sugestões.

No dia 27, será realizado um fórum de debates com parceiros de solução ― Independent Software Vendors (ISVs) ―, no qual serão discutidas as novas tendências do setor. O último dia do evento será dedicado a ações voltadas ao treinamento do público universitário.

As inscrições ainda estão abertas. Todas as palestras do congresso contarão com o serviço de tradução simultânea português/espanhol. Outras informações podem ser obtidas no site da Oracle ou pelo telefone 0800-707-1840.

21/10/2004 - 18:05 Redação InfoGuerra

Duas novas brechas de segurança no navegador Internet Explorer 6 foram relatadas pela empresa Secunia. Consideradas "altamente críticas", as falhas podem comprometer o sistema ao permitir que terceiros acessem remotamente os recursos locais e ainda contornem uma característica de segurança no Windows XP com o Service Pack 2 (SP2) instalado.

Conforme o boletim da Secunia, uma das vulnerabilidades, descobertas e reportadas pelo hacker http-equiv, é variante de uma brecha de segurança já divulgada em agosto de 2004.

A falha é causada por um problema de validação no comando “arrastar e soltar” (drag and drop) durante a transferência de arquivos da Internet para recursos locais. Os arquivos podem ser de imagens válidas ou de multimídia com código HTML embutido. O bug pode ser explorado por meio de um site malicioso e pode permitir a execução de um código arbitrário na zona “Computador Local”. De acordo com a empresa de segurança, o sistema Windows XP SP2 não permite a execução de controles Active X na zona “Computador Local".

A segunda vulnerabilidade está em um erro de limitação da zona de segurança. Um controle de ajuda HTML poderia ser inserido em um site que contenha referência a um arquivo índice (.hhk) especialmente preparado e, assim, executar um documento HTML local.

A falha também contorna a característica de bloqueio de segurança na zona Computador Local em sistemas Windows XP que tenham o SP2 instalados.

Caso as duas vulnerabilidades sejam exploradas em combinação com um comportamento inadequado em que o modelo ActiveX Data Object (ADO) possa escrever arquivos arbitrários, o sistema da vítima poderá ser comprometido. O problema foi confirmado em máquinas que rodem sistemas Windows atualizados, incluindo o XP com SP2, e o navegador Internet Explorer 6.0 instalado.

Como ainda não existe correção disponíveil, a Secunia aconselha os usuários a desativarem a opção Active Scripting do Internet Explorer, ou utilizarem navegadores alternativos.

Leia também:

Nova falha no IE permite execução remota de arquivos

20/10/2004 - 9:50 Redação InfoGuerra

Três vulnerabilidades foram detectadas no dispositivo 3Com OfficeConnect ADSL Wireless 11g Firewall Router (Modelo 3CRWE754G72-A), que combina funções de modem ADSL, roteador, ponto de acesso para conexões wireless e firewall. De acordo com alerta da SecurityTracker, ao serem exploradas, as falhas de segurança podem permitir que um usuário remoto conduza um ataque do tipo cross-site scripting (XSS) contra o administrador e também seqüestre uma sessão administrativa. A correção já está disponível.

Um dos problemas, descobertos pelo hacker Cyrille Barthelemy, ocorrem porque o firewall não filtra o código HTML dos pedidos de DHCP (Dynamic Host Configuration Protocol) antes de indicar a informação na interface administrativa do dispositivo. Dessaa forma, um atacante remoto poderia enviar um pedido especialmente preparado para que scripts sejam executados assim que o navegador do administrador acesse os registros armazenados. O ataque permitiria alcançar os cookies armazenados no navegador do administrador, incluindo os que contêm os dados de autenticação, caso estivessem associados com o local de instalação do software vulnerável.

Outro bug detectado permite que terceiros se conectem remotamente com a interface de gerência para obter o endereço IP (Internet Protocol) de qualquer administrador que esteja com uma sessão ativa no momento do ataque. Conseqüentemente, o endereço IP poderia ser falsificado e a conexão seqüestrada.

Uma terceira falha de segurança possibilita que um usuário remoto autenticado ou com habilidade de seqüestro de uma sessão administrativa acesse um arquivo binário de configuração para obter a senha do administrador, a chave de segurança WEP (Wired Equivalent Privacy) e sua senha.

A atualização do software defeituoso pode ser feita diretamente no site da 3Com.

19/10/2004 - 20:58 Redação InfoGuerra

O proprietário do provedor Mindnet, do Rio de Janeiro, empresa onde foram hospedadas páginas falsas de um golpe que visava conseguir informações privadas de clientes de vários bancos brasileiros, entrou em contato com InfoGuerra para esclarecer o ocorrido. Conforme Álvaro Carneiro, uma pessoa se cadastrou na empresa com dados falsos, efetuou o pagamento da primeira mensalidade de hospedagem e publicou as páginas fraudulentas.

O golpe, aplicado por e-mail, mostrava uma falsa mensagem em nome do Banco Central (veja cópia aqui) e alegava que os clientes do Banco do Brasil, Bradesco, Itaú e Caixa Econômica Federal, que utilizam os serviços online destas instituições financeiras, deveriam se recadastrar, caso contrário, as transações financeiras efetuadas via Internet seriam bloqueadas.

O e-mail indicava uma lista com seis falsos links para os supostos formulários de recadastramento. Aparentemente, os endereços eram legítimos, porém estavam direcionados a páginas do domínio mindnet.com.br.

Quando a mensagem fraudulenta chegou ao conhecimento de InfoGuerra, os falsos links hospedados na Mindnet estranhamente estavam sendo redirecionados para o site da Polícia Federal, mas tentavam acessar páginas inexistentes e o internauta que clicasse nos endereços receberia mensagens de erro. “Fui eu que fiz o redirecionamento para o site da Polícia Federal, para tentar ajudar as pessoas vítimas do golpe", esclarece o proprietário da Mindnet. "Foi a única coisa que julguei ser útil a fazer com o endereço que foi contratado como hospedagem”.

Carneiro disse que achou pior tirar tudo do ar e não colocar nada no lugar, como se o golpe tivesse sito descoberto e as páginas "arrancadas". "Esta foi a primeira vez que passamos por este tipo de situação e, pelo que vi, redirecionar o golpe para a Polícia Federal não foi boa idéia”, lamentou.

O empresário afirma que, até a ocorrência deste episódio, a Mindnet fornecia hospedagem de sites sem a exigência de que o contratante possuísse domínio próprio. “Quando a pessoa não tinha um domínio, usava o nosso, como no caso desse cadastro fraudulento, que pediu para usar o login 'cadastro'. O endereço fornecido ao assinante ― www.mindnet.com.br/~cadastro ― associou o nome da nossa empresa com essa fraude”, queixa-se Carneiro. Depois do ocorrido, a opção de hospedagem sem domínio próprio foi excluída, segundo ele.

Carneiro acha que sua empresa também pode ser considerada como vítima do golpe, já que, segundo afirma, tem recebido dezenas de ameaças por e-mail, e o espisódio gerou uma má repercussão ao serviço de hospedagem oferecido por sua empresa. "Isso foi prejudicial a nós, que deixamos de fazer algumas assinaturas, foi prejudicial a alguns usuários, que agora só podem ter hospedagem com domínio próprio, e prejudicial às pessoas que foram ludibriadas", conclui.

Leia também:

Golpe por atacado atinge clientes de vários bancos

19/10/2004 - 14:17 Redação InfoGuerra

A oferta de consultas online gratuitas no banco de dados do Serasa é uma das mais recentes artimanhas usadas em golpes de phishing envolvendo o nome da empresa. O e-mail induz o usuário a fazer o download de um arquivo executável, possivelmente para roubar senhas e outras informações privadas.

A mensagem, em formato HTML com a logomarca da empresa, chega com um endereço falso de remetente e com o assunto “Consultas gratuitas do SERASA”. O falso texto alega que “por tempo limitado, a Serasa disponibiliza um novo Serviço Gratuito de consultas as informações de crédito via Internet, para todas as pessoas e empresas do Brasil” (os erros gramaticais foram mantidos).

Para que a consulta seja efetuada, os golpistas indicam dois links, um para pessoa física e outro para jurídica, porém ambos remetem ao endereço http://ssl30.webspace4free.biz/serasa.exe. O mesmo endereço foi inserido no e-mail como referência aos postos de atendimento do Serasa.

O domínio webspace4free.biz pertence a um serviço gratuito de hospedagem de sites localizado nos estados Unidos. A página que armazenava o arquivo “serasa.exe” já se encontrava indisponível no momento em que este texto estava sendo escrito, por isso não foi possível analisá-lo. O modus operandi dos golpistas, no entanto, é semelhante a vários outros ataques desse tipo e, provavelmente, o arquivo era um trojan para roubar senhas bancárias dos internautas mais desatentos.

A empresa de análises e informações para decisões de crédito, cujo nome vem sendo usado em vários ataques desse tipo nos últimos meses, inseriu um comunicado na página inicial de seu site, intitulado “Cuidado com e-mails impróprios". O texto do comunicado alerta: "A Serasa não envia e-mails para notificação ou verificação de pendências financeiras. Ao receber, delete imediatamente essas mensagens”.

Leia também:

Falso e-mail do Bradesco tenta capturar dados bancários

Supostos problemas com CPF são isca para scam

19/10/2004 - 13:34 Redação InfoGuerra

Nas próximas semanas, os internautas brasileiros terão oportunidade de conversar ao vivo com vários especialistas sobre o tema spam, em uma série de chats intitulada "Spam: limites da liberdade, informação e da privacidade". A iniciativa é da advogada Eliane Saldan, consultora jurídica de InfoGuerra, com o apoio do site de segurança e do portal Terra, que disponibilizará a tecnologia para a realização dos bate-papos. A primeira convidada será Renata Cicilini Teixeira, que conversará com os internautas no dia 29 de outubro, às 19h30.

Renata Cicilini Teixeira é bacharel e mestre em Ciências da Computação pela USP de São Carlos, ex-pesquisadora do Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP) e atualmente trabalha na área de Segurança da Informação no Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPqD).

Recentemente, lançou o livro “Combatendo o Spam” pela Editora Novatec, voltado a usuários e administradores dos serviços de e-mail. O livro demonstra como combater o spam de forma racional e, assim, reduzir o tempo gasto com a limpeza diária da caixa de e-mails e minimizar os prejuízos e os problemas de segurança acarretados.

Para as próximas edições, já está confirmada a presença de Amaro Moares e Silva Neto, advogado paulistano, autor dos livros "Privacidade na Internet, um enfoque jurídico" (Edipro, 2001) e "emails indesejados à luz do direito brasileiro" (Quartier Latin, 2002), que falará sobre os principais projetos legislativos referentes ao spam.

Cid Torquato, diretor-executivo da Camara-e.net, é outra presença confirmada. Ele é integrante do Comitê Brasil Antispam, responsável pela elaboração do Código de Ética Anti-Spam.

Élcio Ricardo de Carvalho, perito da Polícia Federal, também já confirmou presença. No chat para o qual foi convidado, ele deverá abordar principalmente os spams relacionados com os golpes de phishing scam.

As datas e horários dos próximos bate-papos serão divulgados oportunamente.

De acordo com recentes pesquisas realizadas pela Sophos, o Brasil já é considerado o quarto maior produtor de spam, perdendo apenas para os Estados Unidos, Coréia e China. As mensagens de marketing não solicitadas representam mais de 50% do tráfego de e-mail e esse número tende a aumentar no próximo ano. Para a empresa, além de ofender e distrair a atenção dos usuários, os spams também consomem tempo e recursos valiosos, resultando numa perda significativa de receita corporativa.

Leia tembém:

Como denunciar domínios de spammers com dados falsos

Brasil é a quarto maior produtor de spam no mundo

18/10/2004 - 14:54 Redação InfoGuerra

Um suposto vídeo feito na casa do astro Michael Jackson contendo imagens de abuso sexual de um garoto está sendo oferecido pela Internet. Porém, a Sophos adverte que o arquivo é, na realidade, um cavalo-de-tróia.

De acordo com o comunicado da empresa de antivírus, milhares de mensagens foram postadas em listas online incentivando os usuários a rodarem o arquivo.

As mensagens, em inglês, têm como assunto “Michael Jackson Home Movie Horror” (Horror em filme caseiro de Michael Jackson) e afirma que as supostas imagens podem colocar o cantor “atrás das grades” por um longo tempo, já que mostrariam claramente atos "não naturais" praticados com um garoto.

Trata-se de mais uma tentativa para contaminar as máquinas dos usuários com o trojan Hackarmy. Na semana passada, a isca foi o jogador de futebol David Beckham, cujo nome constava em mensagens oferecendo imagens do atleta num suposto caso amoroso.

Conhecido como Troj/Hackarmy-A, Back/Hackarmy.I, Back/Amasso.A, Win32/Amasso.A e Troj/Amasso.A, dependendo da empresa antivírus, a primeira aparição do cavalo-de-tróia foi em junho de 2004. A praga cria um proxy IRC na máquina infectada e abre uma porta traseira (backdoor), que permite a um atacante remoto assumir o controle da máquina afetada.

Por meio do Hackarmy-A , um atacante pode apagar arquivos do sistema infectado, descarregar e executar qualquer arquivo, desconectar a máquina da Internet, finalizar qualquer processo ativo na memória, iniciar ou finalizar um canal de IRC e roubar informações do sistema.

Ao ser executado o trojan cria os arquivos zonelockup.exe, win32server.scr ou win32server.exe no c:\windows\system. Também cria uma chave de entrada no registro do Windows para que seja executado cada vez que o sistema for iniciado.

A Sophos lembra que Michael Jackson é apenas a mais recente celebridade usada como isca em mensagens contendo programas maliciosos. Astros como Avril Lavigne, Anna Kournikova, Julia Roberts, Jennifer Lopez, Britney Spears e as estrelas da série americana “Sex and the City” também foram citados anteriormente para a disseminação de tais programas. Nomes de líderes políticos, como Margaret Thatcher, Ronald Reagan, Bill Clinton, George W. Bush também foram usados em tentativas de ludibriar os usuários. Nem mesmo personagens de desenhos animados, como Pikachu, ou Kyle, de South Park, escaparam do truque.

15/10/2004 - 20:40 Redação InfoGuerra

Um único golpe de phishing tenta ludibriar clientes de quatro bancos brasileiros e usa como atrativo uma falsa decisão do Banco Central (BC). A intenção aparente dos fraudadores é obter dados confidenciais de clientes de instituições financeiras como Banco do Brasil, Bradesco, Itaú e Caixa Econômica Federal por meio de um falso e-mail.

Apresentando vários erros de digitação, o e-mail fraudulento traz o assunto “Banco Centra do Brasil” (assim mesmo, sem o "l" de Central). A mensagem, datada de 13 de outubro, em nome do BC, alega que alguns bancos são obrigados a recadastrar os clientes que utilizam seus serviços online, caso contrário, as transações financeiras efetuadas via Internet serão bloqueadas.

Os golpistas ainda alertam que “Clientes não recadastrados terão todos seus seviços via Internet cancelados, inclusive talões de cheques, finaciamentos e outros”.

Para maior ênfase e também intimidar os usuários, a mensagem ameaça: "Caso seja cancelado os serviços por FALTA de recadastramento, o cliente pagará uma multa de R$ 122,42 (cento e vinte e dois reais e quarenta e dois centavos)”.

Logo abaixo, os fraudadores indicam uma lista com seis falsos links para os supostos formulários de recadastramento. Os links mostram endereços legítimos das entidades financeiras, mas apontando o mouse sobre eles é possível ver na barra de status que todos estão direcionados a páginas do domínio mindnet.com.br, uma empresa de informática estabelecida em Niterói, no Rio de Janeiro.

Mas o mais estranho é que, quando se clica nestes links, cada um dos endereços mindnet.com.br é redirecionado para o site da Polícia Federal.

Como exemplo, o endreço http://www.bancodobrasil.com.br, que indica o falso formulário do Banco do Brasil, aponta para http://www.mindnet.com.br/~cadastro/recadastramento/bancocentral/bb/bb.htm, mas quando se clica neste link o navegador tenta abrir a página http://www.dpf.gov.br/recadastramento/bancocentral/bb/bb.htm, que contém uma mensagem de erro, seguida da informação: "Microsoft-IIS/5.0 Server at www.dpf.gov.br Port 80".

Endereços mais simples, como http://www.mindnet.com.br/~cadastro/, abrem a página inicial do Departamento de Polícia Federal.

InfoGuerra não conseguiu fazer contato com a empresa Mindnet e com a assessoria da PF para saber o que estava havendo. A assessoria do Banco Central disse que a instituição não tinha se manifestado oficialmente e não possuía mais detalhes sobre o caso. Uma cópia da mensagem fraudulenta pode ser vista aqui.

Leia também:

Supostas dívidas com Fininvest são isca para golpe

Falso e-mail do Bradesco tenta capturar dados bancários

Brecha em site de banco possibilita ataque de phishing

14/10/2004 - 17:13 Redação InfoGuerra

O Banco do Nordeste do Brasil (BNB) anunciou a realização de um encontro internacional sobre Segurança da Informação com a presença de cerca de 150 delegados de vários países. O evento ocorrerá entre os dias 18 e 22 de outubro, em Fortaleza, no Ceará.

No encontro, um grupo de trabalho sobre técnicas de Segurança da Tecnologia da Informação debaterá a norma internacional ISO/IEC 17799. No Brasil, o grupo de trabalho é representado pela Associação Brasileira de Normas Técnicas (ABNT).

Paralelamente ao evento, haverá um seminário sobre Segurança da Informação, no dia 22, a partir das 8h30. Nele serão apresentadas vivências e práticas das empresas brasileiras certificadas pela norma BS 7799-2, além de benefícios e ganhos empresariais decorrentes da implantação do Sistema de Gestão de Segurança da Informação (SGSI).

O seminário abordará temas como o “BNB e a Segurança da Informação”, “Normas ISO/IEC 17799 e BS 7799-2”, “Segurança da Informação para Gerenciamento dos Riscos do Negócio”, “Retorno sobre o Investimento (ROI) em Segurança da Informação” e “Experiências Empresarias na Implantação da Certificação BS 7799-2”.

Os eventos serão realizados no centro de treinamento do BNB, na Av. Paranjana, 5700, no bairro Passaré.

Errata: A data correta do evento é de 18 a 22 de outubro, e não de 18 a 22 de novembro, como foi originalmente publicada na nota acima. A informação já está retificada no texto.

14/10/2004 - 16:49 Redação InfoGuerra

A mais recente versão do Netsky, detectada pelas empresas antivírus no início da semana, chega em mensagens com textos em português. Hoje, a avaliação de risco associado ao Netsky.AF já foi elevada de baixa para média pela McAfee, devido à sua rápida disseminação. Desde ontem, a Redação InfoGuerra tem recebido várias mensagens contaminadas por essa variante.

Também batizado como Netsky.B1, I-Worm.NetSky.b, Win32/Netsky.B1, W32.Netsky.AD@mm, Win32.Netsky.AE, Win32.Netsky.AE!ZIP, W32/Netsky.ag@MM, Netsky.AE, dependendo da empresa antivírus, o worm chega por e-mail com assuntos e mensagens variáveis, que procuram aguçar a curiosidade dos usuários brasileiros.

Com falsos endereços de remetentes, as mensagens trazem como assunto uma extensa lista de frases, como “Abra rapido isso!!!!”, "estou doente veja!!!”, “algo a mais”, “AmaVoce”, “amor me liga”, entre outras.

O corpo da mensagem, também em português, pode ser igual ao campo de assunto ou então oferecer algo que seja de interesse à vítima, como “promocao de viajens de fim de ano”, “Proposta de emprego!!” e “sua conta bancaria zerada”, entre outros textos.

O e-mail contém um arquivo que pode ser compactado (.ZIP) ou ter extensões .BAT, .DOC, .SCR e .EXE. A praga faz uma cópia de si mesma para as pastas compartilhadas de todos os diretórios disponíveis, o que permite que também se espalhe por meio de redes locais e do tipo P2P, usada para troca de arquivos pela Internet.

Conforme o alerta da F-Secure, ao ser executado pelo usuário, uma caixa de diálogo é aberta e tem como título “Fail” (Falha) e a mensagem "File Corrupted replace this!!” (arquivo corrompido, substitua-o) e, logo abaixo, um botão de OK para a permissão.

Em seguida, copia-se para o diretório %WinDir% com nomes variáveis como “MsnMsgrs.exe”, “banco!.zip”, “bingos!.zip” e “carros!.zip”, entre outros. O worm também cria uma chave no registro para assegurar que entre em atividade assim que o sistema seja iniciado.

Como suas versões anteriores, a praga ainda vasculha a máquina da vítima em busca de endereços eletrônicos de e-mail para enviar uma cópia de si mesmo a outros usuários.

Possivelmente, a nova variante seja o resultado de uma antiga divulgação do código do Netsky pela Internet, usado como estratégia para dificultar a identificação do autor original. O jovem alemão Sven Jaschan se declarou autor confesso dos worms Sasser e Netsky no primeiro semestre de 2004 e estaria atualmente em treinamento na empresa Securepoint para ser um programador de software de segurança.

Leia também:

Zafi-B e Netsky-P são os piores vírus pelo quarto mês

Autor de Sasser é contratado por empresa de segurança

14/10/2004 - 8:22 Redação InfoGuerra

A Internet Security Systems (ISS) promove a 11ª edição brasileira do SecurityDay, um ciclo de palestras e debates com a participação de especialistas em segurança de redes corporativas e Internet. O evento ocorre no dia 20 de outubro, no Rio de Janeiro, a partir das 8 horas.

O evento contará com a participação de Patrick Gray, diretor da equipe de respostas a incidentes de segurança X-Force, da ISS, que abordará o tema "Visão e Tendências de Segurança para 2005". A advogada Patrícia Peck, que atua na área de Direito da Informática, falará sobre o tópico "Segurança Legal da Informação: Privacidade e Prova Digital”.

Marcelo Bezerra, diretor técnico da ISS, debaterá sobre “Tecnologias Emergentes para Segurança da Informação” e José Eduardo Campos, chefe do conselho de segurança da Microsoft, abordará “A evolução da segurança na visão da Microsoft”. Também participam do SecurityDay Alex Wheeler, chefe de pesquisa da X-Force Atlanta, com “Inteligência X-Force” e Fábio Lopes, security officer do Banco BBM, com o tema “Implementando Segurança a Custo Reduzido”.

Realizado com palestras simultâneas, a edição será divida em três módulos: Executivo, que custará R$ 80,00, SecurityDay & X-Force (R$ 250,00) e Programa Técnico X-Force (R$ 300,00). O evento ocorrerá no Hotel Marriott Copacabana, na Avenida Atlântica, 2.600. Inscrições e outras informações estão disponíveis no site www.securityday.com.br.

13/10/2004 - 18:58 Redação InfoGuerra

A Microsoft lançou nesta terça-feira, dia 12, o pacote mensal de correções para seus produtos. Ao todo, foram corrigidas 22 novas vulnerabilidades em dez boletins de segurança, com sete deles contendo atualizações classificadas como críticas e os outros três com correções consideradas importantes.

O boletim MS04-038, um dos mais importantes, apresenta uma atualização cumulativa para o navegador Internet Explorer, nas versões 5.01, 5.5 e 6.0. Além de correções já publicadas anteriormente, o pacote corrige oito novas vulnerabilidades, sendo que cinco delas permitem a execução remota de códigos arbitrários. As outras três, ao serem exploradas, podem dar acesso a informações do sistema.

Estas vulnerabilidades afetam o Internet Explorer instalado nos sistemas Windows NT Server 4.0 SP6a; NT Server 4.0 Terminal Server Edition SP6; Windows XP, também com SP1 e XP SP2; Windows XP 64-Bit Edition SP1 e Version 2003; Windows 2003 Server e versão 64-Bit Edition; Windows 2000 SP3 e SP4; Windows 98, Second Edition (SE) e Windows Millennium Edition (ME).

Brechas de segurança nas implementações dos protocolos NTTP (MS04-036) e SMTP (MS04-035) também foram consideradas críticas e permitem a execução remota de códigos arbitrários. O problema detectado com o protocolo NTTP, usado para a distribuição de notícias em newsgroups na Internet, atinge o Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003, Exchange Server 2000 e 2003. Já a vulnerabilidade que atinge o SMTP, protocolo usado para transferência de mensagens de e-mail, está presente no Windows XP, Windows 2003 Server e Exchange Server 2003.

Também uma falha no Windows Shell (MS04-037) pode ser usada para a execução de códigos arbitrários no Windows NT 4.0, Windows 2000, Windows 2003 Server e Windows XP com SP1.

Possibilidades de execução remota de códigos também atingem as pastas compactadas em formato ZIP do Windows XP (MS04-034) e o programa Microsoft Excel (MS04-033), nas versões 2000, XP, 2003, 2001 e Excel v. X para Macintosh.

Uma atualização cumulativa para os sistemas Microsoft Windows NT 4.0, Windows 2000, Windows XP mesmo com o SP1 instalado e Windows 2003 Server foi publicada no boletim MS04-032. Também estão inclusas as correções de quatro vulnerabilidades críticas no Windows 2000, XP e 2003 Server.

Dentre os boletins classificados como importantes está o MS04-029. A correção elimina uma vulnerabilidade encontrada na biblioteca do protocolo RPC (Remote Procedure Call), usado para acesso remoto entre sistemas. Ao ser explorada, a brecha pode fornecer informações do sistema afetado e provocar uma negação de serviço (DoS). Terceiros podem fazer com que o sistema afetado pare de responder ou poderiam ler parcelas do índice ativo da memória. Afeta o Windows 2000, Windows XP também com SP2, Windows 2003 Server, Windows 98 e Windows ME.

O boletim MS04-030 corrige uma brecha de segurança no gestor de mensagens XML WebDav. Ao ser explorada, pode provocar um DoS e o sistema deixará de responder as requisições. Estão comprometidos os sistemas Windows 2000, Windows XP com SP1 e Windows 2003 Server.

Já o MS04-031 elimina uma falha no componente Network Dynamic Data Exchange (NetDDE), que permite a comunicação de dois aplicativos através de uma rede. A vulnerabilidade possibilita a execução remota de códigos maliciosos nos sistemas Windows 98, ME, NT 4.0, 2000, XP e 2003 Server.

Todas as atualizações podem ser feitas por meio do Windows Update.

11/10/2004 - 20:01 Redação InfoGuerra

A Microsoft confirmou a existência de uma vulnerabilidade que afeta seus servidores IIS com a tecnologia ASP.NET habilitada. Ao enviar uma URL especialmente formada, um atacante pode contornar o processo de autenticação no nível da aplicação, expondo dados e programas disponíveis no servidor vulnerável. Ainda não há correção para o problema.

As aplicações Web em ASP.NET podem usar um arquivo web.config para controlar mecanismos de autenticação. Se um visitante do site em questão usar um caracter como "\" ou "%5C" para substituir o "/" do endereço da Internet, as telas de início de uma sessão de senha poderão ser contornadas.

A técnica também pode ser empregada caso um espaço seja substituído por uma barra (/). De acordo com peritos em segurança, o problema opera diferentemente em navegadores Mozilla e Internet Explorer. Também permite, aparentemente, que os usuários autenticados contornem a proteção de senha em áreas administrativas locais.

O alerta da Microsoft informa que o navegador Internet Explorer converte automaticamente uma barra invertida para barra normal, porém o valor codificado em hexadecimal de uma barra invertida pode ser substituído para explorar com sucesso esta vulnerabilidade.

Todas as versões do servidor Microsoft IIS com ASP.NET estão comprometidas. Como não há atualização disponível no momento, a Microsoft e o CERT indicam duas medidas para minimizar o impacto da vulnerabilidade:

- Instalar o módulo VPModule.msi, que protege todas as aplicações ASP.NET de problemas conhecidos com endereços de Internet, até o momento. Para obter o módulo consulte o artigo KB 887289.

- Instalar a ferramenta URLScan, que restringe os tipos de requisição HTTP processados pelo IIS. Assim, é possível prevenir que uma URL com o caracter barra invertida ("\"), usado na exploração desta vulnerabilidade, alcance o servidor por meio de uma requisição HTTP.

9/10/2004 - 15:35 Redação InfoGuerra

O programa Clam AntiVirus (ClamAV), desenvolvido para sistemas baseados na plataforma Unix, foi atualizado para remover um “falso positivo” que detectava a Licença Pública Geral GNU como um vírus. A informação da remoção errônea da assinatura foi divulgada na lista de discussão da própria empresa.

A Licença Pública Geral GNU (GNU GPL, na sigla em inglês) acompanha os pacotes distribuídos pelo Projeto GNU e uma grande variedade de software livre, incluindo o núcleo do sistema operacional Linux. Em resumo, a GPL permite que desenvolvedores tenham acesso ao código-fonte dos programas e possam modificá-lo, desde que os programas derivados, se distribuídos, sigam as mesmas premissas.

O mais irônico é que o ClamAV também é um programa GPL e, assim como tantos outros, também contém uma cópia desta licença. Esta cópia apresenta-se normalmente como um arquivo de texto simples (TXT), portanto, incapaz de conter um vírus.

O site britânico The Inquirer, que publicou uma nota bem-humorada sobre o incidente, afirma que o episódio provocou um sorriso sarcástico entre os que criticam a GPL em termos ideológicos. Para estes, a licença usa uma estratégia "viral", já que mesmo o código proprietário que eventualmente tenha sido incluído em um projeto de software livre será "contaminado" pela GPL, no caso de redistribuição de trabalhos derivados.

Em contrapartida, o site sugere que o ClamAV substitua a assinatura de vírus relacionada à GPL por uma que detecte os arquivos do Microsoft Office. “Afinal de contas, o envio imotivado de arquivos do Word e Excel a usuários inocentes foi responsável pela ‘contaminação’ de seus computadores com programas como o Office XP e seus predecessores”, graceja The Inquirer.

8/10/2004 - 15:14 Redação InfoGuerra

Se você estiver interessado em participar do programa Big Brother Brasil 5 (BBB5) fique atento e não aceite um suposto formulário de inscrição que está sendo oferecido por e-mail em nome da Globo.com. O convite é mais um dos inúmeros golpes de phishing que se espalham pela Internet com o propósito de capturar senhas e dados bancários da vítima.

O e-mail tem como remetente o endereço eletrônico bbb5@globo.com e como assunto o chamativo alerta “INSCRIÇÕES PARA BigBrotherBrasil 5 ESTÃO SE ENCERRANDO! INSCREVA-SE JÁ!”. Em formato HTML, a mensagem apresenta as logomarcas da Rede Globo e do programa Big Brother Brasil. No corpo da mensagem, com o título “ULTIMA SEMANA!”, o sugestivo (e falso) convite informa que o prêmio ao vencedor do programa de TV é de R$ 1 milhão e sugere que o usuário não perca tempo e baixe um "formulário de inscrição". Uma cópia do e-mail pode ser vista aqui.

O link apresentado para o download do tal formulário (http://paginas.aol.com.br/x1n4cg/formulario.exe) pertence ao serviço de páginas pessoais oferecido pela AOL. A página maliciosa permanecia ativa até o momento da publicação desta notícia.

Como normalmente acontece em golpes desse tipo, o arquivo "formulário.exe" é um trojan, desenvolvido para capturar dados bancários da vítima. Uma análise do arquivo feita no site Vírus Total mostra que se trata do TrojanSpy.Win32.Bancos.bc, também batizado como PWS-Bancos.gen.c e Trojan.Spy.Bancos.BC, dependendo da empresa de antivírus.

Golpes usando o nome do programa Big Brother Brasil não são novidade e já houve fraudes em cima do BBB3 e do BBB4. Em junho de 2003, um e-mail fraudulento com duas versões sobre o BBB4 foi amplamente divulgado pela Internet. Uma das versões continha um arquivo HTML rústico, fora dos padrões originais da Globo.com. A outra, trazia as cores e a logomarca do portal e do BBB.

Ambas usavam um link para baixar outro falso formulário de inscrição e o arquivo disponível era um keylogger, programa usado para registrar tudo que o usuário digita. Os dados seriam posteriormente enviados por e-mail para o golpista.

Leia também:

Falso BBB4 serve para roubar senhas bancárias

8/10/2004 - 13:44 Redação InfoGuerra

Uma falha de segurança no editor de textos Word, da Microsoft, foi detectada e classificada como altamente crítica. De acordo com a Secunia, o problema pode ser explorado por pessoas maliciosas para provocar uma negação de serviço (DoS) e comprometer o sistema do usuário, com a possibilidade de execução de códigos arbitrários. Ainda não existe correção para o problema.

Conforme o alerta SA12758, a vulnerabilidade é causada por um erro no processamento da análise gramatical de arquivos de documentos e pode conduzir a um estouro de pilha de memória (stack-based buffer overflow).

Segundo o comunicado, a falha pode ser explorada para que o processo deixe de funcionar assim que o usuário abra um documento especialmente preparado. Entretanto, devido à natureza do problema, também existe a possibilidade de execução de um código arbitrário, embora esta hipótese ainda não tenha sido comprovada.

Descoberta por um hacker de apelido "HexView" e confirmada pela Secunia, a vulnerabilidade atinge o Word 2000 e 2002. Como não existe correção para o problema, o conselho é para que os usuários abram somente documentos confiáveis em seus programas.

Para quem usa o Internet Explorer, um alerta: documentos do Word hospedados em sites da Web podem ser abertos automaticamente nesse navegador. Para evitar que isso aconteça é necessário configurar o nível de segurança do navegador, em Ferramentas/Opções da Internet/Segurança e ajustá-lo para “alto” (high) ou desabilitar a opção “download de arquivo” (File download).

O Centro de Atendimento a Incidentes de Segurança (CAIS), que divulgou hoje um alerta sobre esta falha, sugere ainda uma terceira possibilidade para se proteger da vulnerabilidade: usar outro pacote Office para abrir documentos do Word. Segundo o CAIS, opções como o OpenOffice não são vulneráveis a este problema.

7/10/2004 - 15:21 Redação InfoGuerra

A Microsoft realizará, entre os meses de outubro e dezembro, o 2º Simpósio Latino-Americano de Segurança. Programado para ser realizado em nove capitais brasileiras, o evento abordará assuntos como integração e estratégias de proteção de redes, conexões sem fio (wireless), gerenciamento de risco em TI e os avanços de segurança do Service Pack 2 do Windows XP. Além do Brasil, o evento será realizado simultaneamente em diversas cidades da América Latina, como México, Buenos Aires, Caracas e Santiago.

Participam do simpósio parceiros da Microsoft em segurança, como Marcelo Bezerra, diretor técnico da Internet Security Systems no Brasil e América Latina e Fernando Nery, sócio-fundador da Módulo, que abordará temas como gerenciamento de riscos e a importância de campanhas de sensibilização sobre o tema segurança nas organizações.

Com vagas limitadas, as inscrições para o 2º Simpósio Latino Americano de Segurança são gratuitas e podem ser feitas pelo site da Technet Brasil ou pelo telefone 0800-7044081.

Os participantes inscritos receberão material de apoio para acompanhar as palestras e certificado de participação.

Confira o calendário brasileiro:

Outubro

São Paulo - 14/10/2004
Hotel Gran Meliá São Paulo - Av. das Nações Unidas, 12.559 - Piso C

Fortaleza - 19/10/2004
Hotel Caesar Park - Av. Beira Mar, 3.980 - Salão Caelius

Brasília - 27/10/2004
Naoum Plaza Hotel - SHS Qd. 05 Bloco H / I - Centro de Convenções A + B+ C

Novembro

São Paulo - 18/11/2004
Hotel Gran Meliá São Paulo - Av. das Nações Unidas, 12.559 - Piso C

Belo Horizonte - 23/11/2004
Ouro Minas Palace Hotel - Av. Cristiano Machado, 4.001 - Salão Centenário

Curitiba - 25/11/2004
Hotel Sheraton Four Points - Av. Sete de Setembro, 4.211 - Salão Paraná

Dezembro

Salvador - 30/11/2004
Pestana Bahia Hotel - Rua Fonte do Boi, 216 - Sala Gregório de Matos

Recife - 02/12/2004
Hotel Golden Tulip - Av. Bernardo Vieira de Melo, 1.204

Porto Alegre - 07/12/2004
Hotel Deville - Av. dos Estados, 1.909 - Salas Guaíba I + II + III

Rio de Janeiro - 09/12/2004
Hotel Glória - Rua do Russel, 632 - Salão Nobre

7/10/2004 - 3:49 Redação InfoGuerra

A precisão de horário é fundamental para manter a segurança de sistemas. Caso ocorram incidentes de segurança, o registro fiel da informação, com o horário exato da ocorrência, é imprescindível nas investigações e identificação de responsáveis.

Devido à introdução do horário de verão, no dia 2 de novembro, o Centro de Atendimento a Incidentes de Segurança (CAIS), da Rede Nacional de Ensino e Pesquisa (RNP), alerta os administradores para que ajustem adequadamente os relógios de suas máquinas.

“A idéia básica é que o sistema sofra mudanças apenas no fuso horário adotado (zoneinfo), para que sejam atualizados somente os relógios locais (localtime) das máquinas”, explica o alerta.

De acordo com o CAIS, com o início do horário de verão é necessário manter cuidados especiais em alguns casos:

1 - Sistemas que não usam o timezone correto e o horário for ajustado manualmente podem sofrer desvios de horário.

2 - Tarefas do sistema agendadas para o intervalo entre zero hora e 1 hora no dia 2 de Novembro de 2004 não serão executadas.

3 - Tarefas do sistema agendadas para o intervalo entre 23 horas e 24 horas serão executadas duas vezes no dia 20 de Fevereiro de 2005, no término do horário de verão.

O procedimento de atualização do horário local em sistemas FreeBSD, GNU/Linux, Solaris, AIX e Windows, bem como em alguns equipamentos Cisco que usem o IOS, podem ser vistos no site do CAIS.

De acordo com o Decreto 5.223 de 01 de Outubro de 2004, o horário de verão terá inicio a zero hora do dia 02 de Novembro de 2004, com término a zero hora do dia 20 de Fevereiro de 2005.

7/10/2004 - 2:50 Redação InfoGuerra

A F-Secure publicou uma ferramenta para remoção dos worms SymbOS/Cabir.A e SymbOS/Cabir.B, que infectam os aparelhos celulares da série 60, da Nokia, com o sistema operacional aberto Symbian. O Cabir foi detectado recentemente em Singapura e outros relatórios recebidos pela empresa indicam que possam ter atingido também as Filipinas.

"Como o Cabir (Caribe) está se alastrando, nós criamos uma ferramenta para a remoção do worm nos aparelhos infectados”, informou o executivo Mikko Hypponen no blog da F-Secure.

O arquivo f-cabir.zip, disponível no servidor de arquivos da empresa, contém a ferramenta e um arquivo de instruções para instalação no formato TXT. Conforme o comunicado da empresa, após sua descompactação, o usuário deverá copiar o arquivo F-Cabir.SIS para o aparelho infectado.

Caso o worm tenha bloqueado a comunicação bluetooth para o celular, poderá ser usada a conexão do tipo infravermelho ou USB, dependendo do suporte do aparelho. Em seguida, o aplicativo de mensagens do telefone deverá ser aberto para que o arquivo F-Cabir.SIS seja selecionado e instalado por meio do instalador do sistema Symbian.

Após sua instalação e execução, basta selecionar a opção Scan. Caso o worm seja detectado, a ferramenta perguntará se o arquivo deve ser removido. Ao final do processo de remoção será necessário reiniciar o aparelho para bloquear algum processo iniciado pelo worm.

Detectado em junho de 2004, o Cabir, considerado o primeiro worm a infectar telefones celulares, não causa danos além do consumo excessivo de baterias ao buscar outros aparelhos Bluetooth.

Leia também:

Worm Cabir ataca celulares em Cingapura

Criado primeiro vírus para celulares

6/10/2004 - 16:08 Redação InfoGuerra

O nome da empresa Fininvest está sendo usado em um dos mais recentes ataques de phishing scam. Um e-mail, em nome da financiadora, alega que o usuário está com seu crédito bloqueado devido a débitos pendentes. Valendo-se da apresentação de dívidas com valores elevados, a mensagem tenta induzir as vítimas a baixar um arquivo contendo um suposto extrato. Como de costume, os golpistas usam do artifício para capturar dados sigilosos, como senhas e números de cartões de crédito.

O e-mail apresenta erros logo em seu campo de assunto, no qual o nome da empresa é citado como “fininveste” e várias palavras estão sem os devidos acentos. A mensagem chega com o título “seu credito na fininveste esta bloqueado”. O conteúdo da mensagem, em formato HTML, vem junto a uma cópia do site legítimo da empresa.

O texto relaciona datas com os respectivos valores que supostamente deveriam ser pagos, referentes aos meses de agosto (R$ 2.490,79) e setembro (R$ 1.720,96). Para tornar a mensagem mais efetiva, o golpista ameaça: “Pedimos a vossa atenção a este comunicado, pois, medidas legais serão adotadas, tais como a inclusão em nosso Sistema de Proteção ao Crédito e Bloqueio no Cadastro Nacional de Pessoa Física, bem como no Cadastro Nacional de Pessoa Jurídica”.

Uma cópia do e-mail fraudulento pode ser vista aqui.

Em seguida, há um link com a indicação “Visualizar extrato de débito”. O link remete ao endereço http://paginas.aol.com.br/belleti000/EXTRATO.zip. Nos quadros laterais da mensagem há outros links, todos apontando para o endereço http://www.metalicos.kit.net/lista.zip.

As páginas com os arquivos EXTRATO.zip e lista.zip já foram tirados do ar, mas InfoGuerra ainda teve tempo de baixá-los e analisá-los. Apesar de apresentarem nomes diferentes, trata-se do mesmo programa malicioso.

A análise, feita pelo sistema do site VirusTotal, identificou a presença do TrojanSpy.Win32.Bancos.av, também conhecido como Trojan.Delf.AR, TrojanSpy.Win32.Banker.cv, PWS-Bancos.gen e Bancos.Q, dependendo da empresa antivírus. Trata-se de um cavalo-de-tróia desenvolvido especialmente para capturar senhas de bancos brasileiros.

Ao ser executado, o programa altera o registro do Windows para entrar em atividade sempre que o sistema operacional for iniciado. Para isso, o cavalo-de-tróia modifica a seguinte entrada: HKLM/Software/Microsoft/Windows/Current Version/Run.

5/10/2004 - 19:51 Redação InfoGuerra

A Agência Nacional de Telecomunicações (Anatel) divulgou um comunicado alertando para um e-mail fraudulento em seu nome, que oferece um suposto “verificador” online para inibir ação criminosa contra clonagem" de celulares. O órgão não reconhece o e-mail que vem circulando na Internet e orienta os usuários para que excluam a mensagem, assim que recebida.

Conforme informações do comunicado, na tentativa de apresentar maior veracidade, os golpistas inseriram a logomarca da Anatel e de prestadoras de Serviço Móvel Pessoal (SMP) no e-mail em formato HTML.

Trata-se de mais um scam, em que o arquivo que se passa por verificador possivelmente seja um cavalo-de-tróia desenvolvido para capturar dados sigilosos da vítima. A Agência esclarece que em seu site oficial consta apenas um link com informações sobre clonagem de telefone celular, além do número da Central de Atendimento (0800 33 2001), caso o usuário deseje obter informações adicionais sobre o assunto.

InfoGuerra entrou em contato com a assessoria de imprensa da Anatel, que informou não ter detalhes adicionais, ou uma cópia do e-mail para que fosse feita uma análise mais aprofundada sobre o golpe.

5/10/2004 - 19:14 Redação InfoGuerra

O worm Cabir, que ataca telefones celulares com tecnologia Bluetooth, está se espalhando em Cingapura. A informação foi divulgada pela F-Secure, com base em relatórios recebidos. A empresa também cita outros relatórios, não confirmados, indicando a presença do worm nas Filipinas, há pouco mais de um mês.

“É mais do que provável que o Cabir encontre uma forma de chegar também a outros continentes. Basta que alguém viage com um celular infectado em seu bolso”, escreveu o executivo Mikko Hypponen no blog da F-Secure.

Detectado em junho de 2004, o Cabir foi considerado o primeiro worm verdadeiro a infectar telefones celulares, como os da série 60 da Nokia, com o sistema operacional aberto Symbian. A praga também transfere-se para outros equipamentos, não só celulares, que usem a tecnologia Bluetooth. Esta tecnologia permite a conexão direta e sem fio entre equipamentos dentro de um determinado raio de alcance (medido em metros).

Para que ocorra a contaminação é necessária a interação do usuário, que precisa aceitar o recebimento do arquivo malicioso e instalá-lo. Para convencer a vítima, o worm finge ser um arquivo do sistema de segurança do celular, chamado Caribe. Quando ativado, exibe uma mensagem e se copia para uma pasta oculta do sistema, evitando, assim, que seja eliminado, caso o usuário o apague da pasta de "aplicativos".

O worm não causa danos além do consumo excessivo de baterias ao buscar outros aparelhos Bluetooth.

O anúncio da F-Secure a respeito dos ataques em Cingapura foi feito ao mesmo tempo em que especialistas de segurança reunidos em Kuala Lumpur, capital da Malásia, alertaram para os perigos relacionados a brechas de segurança em celulares das novas gerações.

Durante a conferência internacional "The Hack in the Box", que teve como tema principal a segurança em computadores, foi anunciada uma falha encontrada no programa Java 2 Micro Edition (J2ME), presente nos recentes modelos de aparelhos celulares.

De acordo com a agência de notícias BBC, foram descobertos novas possibilidades de ataques, que permitem a terceiros assumir o controle remoto do telefone e possível acesso à lista de contatos ou à conversa do usuário.

Leia também:

Criado primeiro vírus para celulares

5/10/2004 - 5:52 Redação InfoGuerra

A SpyCom promove, de 20 a 22 de outubro, o seminário Novas Tecnologias em Inteligência e Contra-Espionagem, em São Paulo. O evento, que também conta com a participação de palestrantes estrangeiros, terá tradução paralela em suas apresentações.

As palestras serão ministradas pelos engenheiros Avi Dvir e Cássio Posvolsky, autores do livro "Espionagem Empresarial"; Bob Gelernter, da Audiotel (fabricante de sistemas de contramedidas); Giovanni Luongo, da MGT Europe (fabricante de equipamentos de espionagem), Carlos Jalles, presidente da Megasafe Segurança de Dados, e Adriana Cury, da Cury, Marduy, Severini-Advogados Associados. O evento também conta com a participação do especialista israelense em sistemas de localização, identificação e contrafalsificação, Ori Schermann.

Os interessados poderão optar pela participação entre dois ou três dias, conforme os temas abordados. Nos primeiros dois dias serão discutidos vários tópicos relacionados a espionagem e contramedidas usando sistemas de áudio, vídeo, sinais de rádio, computadores e biometria, além de aspectos jurídicos da espionagem, conforme a legislação brasileira.

Já no terceiro dia, o foco será para sistemas e tecnologias de visão noturna, conceitos tecnológicos do GPS e sistemas de identificação e contrafalsificação.

O valor da inscrição é de R$ 870,00 para os primeiros dois dias e de R$ 1,1 mil para todo o seminário. Estão inclusos almoços, dois coffee breaks e estacionamento com manobrista. A inscrição inclui também todo o material didático e um exemplar do livro "Espionagem Empresarial". Na conclusão do curso será emitido certificado de participação.

O evento será realizado no Hotel Howard Johnson Faria Lima Inn, na Rua Tavares Cabral, 61, Pinheiros, a partir das 9 horas. Outras informações podem ser obtidas pelo telefone (11) 3812-6865, pelo email paula@spyland.com.br ou no site da SpyLand.

5/10/2004 - 5:15 Redação InfoGuerra

Um novo serviço de e-mail, baseado na tecnologia usada em redes P2P,envia as mensagens diretamente de PC a PC, fora da habitual infra-estrutura usada para o envio de e-mail comum. Por uma taxa anual de 25 libras esterlinas (cerca de R$ 126,00), a empresa britânica Jeftel, que desenvolveu o sistema, promete deixar seus usuários livres de spams, vírus e bisbilhoteiros, conforme noticiou a BBC.

Direcionado para empresas e pequenas comunidades, o serviço funciona como uma rede à parte, onde seus integrantes poderão trocar e-mails, sem que passem pelos servidores normalmente utilizados. A comunicação se dá inteiramente apenas entre o remetente e o receptor das mensagens, sem a interferência de outros agentes.

É necessário instalar um programa na máquina, o "Jeftel .safe", que adiciona um ícone próprio na barra de menu do gerenciador de e-mail usado pelo cliente, como o Outlook. Cada vez que o usuário quiser enviar uma mensagem por meio desse sistema, deverá clicar no ícone e proceder como habitualmente faz com mensagens comuns.

Os assinantes do serviço recebem um endereço de e-mail com a extensão “.safe”. Um endereço como jose@xyz.com.br, por exemplo, passará para jose@xyz.safe. As mensagens são criptografadas e autenticadas.

O serviço, porém, é limitado. Um assinante não poderá enviar um e-mail para pessoas que não tenham o programa instalado. Perguntado sobre esta limitação, o gerente de desenvolvimento da Jeftel, Robert Barr, justificou à BBC: “Normalmente, a maioria das pessoas só se comunica com outras 25 ou 30. O serviço Jeftel permite que os usuários criem pequenas comunidades em que possam trocar mensagens que não serão infestadas pelos mesmos problemas de um e-mail enviado pela rede”.

O registro do programa só é válido para um computador. Caso seja instalado em outra máquina, o usuário não conseguirá se "logar" e nem ter acesso à chave criptográfica do software. O programa roda em plataforma Windows e a empresa afirma que está desenvolvendo uma versão do .safe para dispositivos portáteis PDA (Personal Digital
Assistant).

5/10/2004 - 0:25 Redação InfoGuerra

Em setembro, os vírus Zafi.B e Netsky.P ocuparam, respectivamente, o primeiro e segundo lugares pelo quarto mês consecutivo na lista das pragas que mais afetaram os computadores em todo o mundo, conforme estatísticas da empresa britânica Sophos. No relatório, a empresa informa que 1.150 novos vírus foram detectados no mês, mas nenhum destes foi incluído em seu ranking mensal das dez piores ameaças.

A lista apresenta os mesmos vírus que circulam há meses. A análise também destaca que 6,6% de todas as mensagens de e-mail que circularam no período possuíam conteúdo malicioso.

Desde sua aparição, em junho, o vírus Zafi-B permanece em primeiro lugar no ranking da Sophos. "A porcentagem de ocorrências atribuídas ao Zafi-B diminuiu nos últimos três meses, mas ele continua ativo e precisa ser monitorado", afirma Carole Theriault, consultora de segurança da Sophos. Ela acrescenta que, ao contrário, a porcentagem de ocorrências do Netsky-P, segundo colocado na lsita, tem crescido expressivamente.

"É decepcionante constatar que são os mesmos e velhos vírus que continuam a causar problemas aos usuários de computadores em todo o mundo. Essas pragas somente terão fim quando os usuários se conscientizarem da importância de manter suas defesas atualizadas para barrar sua disseminação e poder de infecção”, lamenta a executiva.

Veja, abaixo, a lista completa dos dez piores vírus de setembro. Ao lado de cada nome há o mês de sua identificação:

1. W32/Zafi-B: 30,5% junho 04

2. W32/Netsky-P: 26,7% março 04

3. W32/Netsky-D: 6,1% março 04

4. W32/Netsky-Z: 5,5% abril 04

5. W32/Bagle-AA: 3,8% abril 04

6. W32/MyDoom-O: 3,6% julho 04

7. W32/Netsky-B: 3,5% - fevereiro 04

8. W32/Netsky-Q: 2,7% - março 04

9. W32/Lovgate-V: 2,6% - abril 04

10. W32/Netsky-C: 2,0% - fevereiro 04

Outros: 3,0%

4/10/2004 - 19:22 Redação InfoGuerra

Uma brecha no site legítimo do banco norte-americano SunTrust permitiu que golpistas usassem a entidade como isca em um golpe de phishing. Os phishers exploraram um frame (quadro) na estrutura HTML do site do banco, para mostrar o texto de uma página especialmente desenvolvida para capturar os dados sigilosos de suas vítimas.

Conforme informação da NetCraft, um link oferecido numa mensagem de e-mail continha o endereço verdadeiro da página do banco, porém, manipulado para que pudesse também agregar o endereço da página falsa, hospedada em um servidor da Universidade Lund, na Suécia.

Os phishers construíram um endereço usando o comando "source=" -- que indica a fonte do conteúdo que será colocado no frame -- para inserir no site do banco a página hospedada em um outro servidor. Somente os usuários com algum conhecimento em HTML perceberiam facilmente que o endereço da página original continha um segundo endereço.

Um exemplo disso era a URL http://www.suntrust.com/common/Frameset/Investor_Relations/frameset.asp?source=http://www.shareholder.com/suntrust/. A página, legítima, estava ativa e o site “www.shareholder.com” pertence de fato a um investidor do banco, mas depois da divulgação da tentativa de golpe foi colocada uma mensagem de "página não localizada" no endereço.

No e-mail enviado pelos fraudadores, com o assunto, em inglês, "SunTrust Bank - Suspeita de atividade duvidosa", o endereço eletrônico do remetente (services@suntrust.com) também era falso.

Os correntistas eram comunicados de que suas informações haviam sido alteradas ou estariam incompletas e que a atualização deveria ser feita por meio do link indicado na mensagem. A falsa página, com um formulário para dados pessoais e sigilosos, como o número do seguro social, número do cartão de crédito, senhas e os últimos quatro dígitos da conta-corrente, aguardava o acesso das vítimas.

Leia também:

Phishing scams podem usar falhas de programação de sites

Grandes sites da Internet estão vulneráveis a ataques

4/10/2004 - 18:41 Redação InfoGuerra

A Fundação Mozilla publicou uma atualização que corrige brechas de segurança em seu navegador Firefox. Uma das vulnerabilidades confirmadas pela instituição permite que o usuário seja ludibriado por terceiros ao salvar um arquivo malicioso, que poderia apagar outros arquivos armazenados no mesmo diretório de download.

Conforme o comunicado da Mozilla, a falha, considerada severa, requer interação da vítima para que seja explorada por um atacante e provoque um dano potencial. A atualização de segurança também resolve outros problemas descobertos recentemente e que poderiam ser explorados por pessoas mal-intencionadas.

O alerta é para que todos os usuários do navegador atualizem rapidamente as versões em uso para a versão Firefox 0.10.1. Para os usuários do Firefox Preview Release também está disponível um patch.

Para saber qual a versão em uso, basta acessar a opção Help no menu do navegador e, em seguida, "About Mozilla Firefox".

Navegador mais seguro?

O comunicado divulgado pela Mozilla traz, ao final, uma pergunta que usuários preocupados com a segurança de suas máquinas poderiam fazer frente aos novos problemas do Firefox: "Este caso não mostra que todos os navegadores são igualmente inseguros?". Os próprios desenvolvedores respondem, apontando páginas publicadas pela empresa de segurança Secunia, em que se encontram estatísticas sobre todos os bugs conhecidos e não corrigidos, tanto do Mozilla Firefox, como do Microsoft Internet Explorer.

De acordo com os números da Secunia, entre 2003 e 2004, 14 bugs foram encontrados no Firefox e apenas dois deles não foram corrigidos. Nenhuma das falhas foi considerada como extremamente crítica e apenas 15% receberam a classificação de altamente crítica. As moderadas ficaram em 50% e as de menor periculosidade em 36%.

Já o Internet Explorer 6, teve 60 vulnerabilidades reportadas pela Secunia durante o mesmo período e 19 delas, o que equivale a quase um terço do total, ainda não foram corrigidas. Dentre as falhas encontradas, 14% foram reportadas como extremamente críticas e 34% estavam na lista das altamente críticas. As falhas moderadas correspondem a 23% e as de menor periculosidade ocupam 14% nas estatísticas da empresa de segurança.

Leia também:

Descobertas várias falhas graves no Mozilla

Bug no Mozilla permite forjar uso de certificados digitais

1/10/2004 - 22:57 Redação InfoGuerra

A RealNetworks confirmou a existência de algumas vulnerabilidades que afetam seus produtos RealOne Player, RealPlayer e Helix Player. As falhas de segurança podem permitir que um atacante execute códigos arbitrários na máquina em que o software vulnerável estiver instalado. Conforme comunicado da empresa, os problemas afetam versões para Windows, Linux e Mac. As atualizações já estão disponíveis.

Para explorar as vulnerabilidades e executar códigos na máquina do usuário, pessoas mal-intencionadas poderiam criar um arquivo ".RM" capaz de corromper o produto que estivesse rodando em uma unidade de drive local. Também uma página da Web com chamadas malformadas permitiria corromper o software, porém de forma remota.

Um terceiro tipo de ataque poderia ser lançado a partir de um site na Web e um arquivo multimídia modificado, com o qual o atacante poderia apagar determinados arquivos armazenados no HD da vítima, desde que sua localização fosse conhecida.

A RealNetworks afirma que nenhum ataque explorando as falhas foi reportado até agora, mas a empresa aconselha que seus usuários façam a atualização imediata dos produtos afetados.

Para sistemas Windows estão vulneráveis o RealPlayer versões 8, 10, 10.5 (6.0.12.1040) e 10.5 Beta (6.0.12.1016), RealOne Player v1, v2 e RealPlayer Enterprise.

Os produtos afetados desenvolvidos para Macintosh são o Mac RealPlayer 10 Beta e o Mac RealOne Player. Para sistemas Linux estão vulneráveis os produtos Linux RealPlayer 10 e Helix Player.