[GTER] Morris Worm: Vida após a Morte (fwd)

Jeronimo de A Barros jero at i2.com.br
Tue Sep 17 17:01:02 -03 2002 

Oi...

	Pra nao dizerem que eu nunca mordi a lingua falando mal dos furos
do IIS... ;-)

Abracos, Jero

---------- Forwarded message ----------
Date: Tue, 17 Sep 2002 16:19:55
From: Kaspersky® Labs <info at kaspersky.com.br>
To: jero at i2.com.br
Subject: Morris Worm: Vida após a Morte

Kaspersky® AntiVírus - Últimas Notícias, 14 de Setembro de 2002.
**********************************************************************************
1. O worm "Slapper" utiliza, com sucesso, uma tecnologia com 14
    anos de idade.

2. Como Assinar ou Cancelar a Assinatura da Lista de E-mail.

*******
1. O worm "Slapper" utiliza, com sucesso, uma tecnologia com 14
    anos de idade.

O Kaspersky Labs, empresa internacional de desenvolvimento de
software de segurança de dados, alerta sobre a detecção de um novo
perigoso internet-worm "Slapper" que infecta computadores executando
o sistema operacional Linux e utiliza seu código fonte para espalhar sua
tecnologia, a qual foi utilizada no notório Worm Morris em 1988.

Até o momento o Kaspersky Labs não recebeu nenhum relatório de seus
usuários a respeito deste programa malicioso detectado "in-the-wild". No
entanto uma análise detalhada deste worm confirma seu alto potencial para
causar uma epidemia global e por isso apresenta uma ameaça real para os
usuários do Linux.

Para encontrar um computador vítima o "Slapper" rastreia computadores
conectados a Internet e escolhe aqueles que possuem o sistema
operacional Linux e o servidor Web Apache instalados. Após detectar tal
computador o worm sorrateiramente envia suas cópias para lá e explora
uma brecha na segurança do OpenSSL (buffer overflow). A principal
característica que diferencia o "Slapper" é que a cópia do worm enviada
está no código fonte, e ainda não foi compilada em um pacote executável.
Após o envio ter sido completado, o worm utiliza o compilador local C
instalado (gcc) para produzir uma cópia executável do worm e então
executá-lo. Um método tão original fornece ao "Slapper" compatibilidade com
todos os tipos de Linux sem se importar com a distribuição e a versão do
kernel. Este método foi inventado em novembro de 1988 e aplicado pela
primeira vez no notório Worm Morris que infectou com sucesso mais de
6000 empresas ao redor do mundo (incluindo o Instituto de Pesquisa da
NASA) resultando na perda de 96 milhões de dólares. Até este momento o
método de disseminação no código fonte nunca havia sido utilizado.

"É totalmente possível que o "Slapper" irá iniciar uma nova onda de
desenvolvimento de códigos maliciosos multi-plataformas, os quais serão
capazes não só de infectarem Linux, mas Windows, Unix e outros sistemas
operacionais simultaneamente. Isto é obvio porque os compiladores C podem
ser encontrados nas mais comuns plataformas utilizadas assim como nas
brechas de segurança através das quais o código malicioso irá contaminar
o computador vítima" disse Eugene Kaspersky, Chefe de Pesquisas Antivírus do
Kaspersky Labs. "Como conseqüência, por outro lado irão surgir vários clones
do worm. Para criar variantes uma pessoa somente precisará realizar alterações
no código fonte que estará disponível por toda parte na Internet.
Considerando isto nos já iniciamos o desenvolvimento de uma aplicação "add-on"
para a tecnologia heurística integrada ao Kaspersky AntiVírus que nos permitirá
capturar até mesmo worms "estilo Slapper" desconhecidos," acrescentou.

Somando a isto, o "Slapper" também apresenta uma ameaça para a segurança
dos dados nos computadores infectados. O worm contém características
backdoor (administração remota não autorizada) que permitem a uma pessoa
má intencionada realizar certas ações indesejáveis, tal como a execução de
comandos remotos, roubo de informações, implicações em ataques DDoS, etc.

A Proteção contra o "Slapper" foi adicionada a atualização diária do Kaspersky®
AntiVírus.

Mais informações detalhadas a respeito do "Slapper" podem ser encontradas na
Enciclopédia de Vírus do Kaspersky® Labs.
http://www.viruslist.com.br

Usuários dos programas Kaspersky® Antivírus - Por Favor mantenham atualizadas
suas vacinas!

*******
2. Como Assinar ou Cancelar a Assinatura da Lista de E-mail.

Para ser removido de futuros correios, envie um e-mail
para info at kaspersky.com.br com a palavra REMOVER no campo de assunto.

******
Kaspersky® Labs Comunicação Corporativa

WWW: http://www.kaspersky.com.br
E-mail: info at kaspersky.com.br

-------
Kaspersky® é marca registrada, 1996-2002, Kaspersky® Labs Intl.

More information about the gter mailing list