Repórter News - reporternews.com.br
Vírus Bagle ganha sete novas versões
De última sexta-feira até hoje nada menos do que sete variantes do vírus Bagle foram descobertas pelas empresas antivírus. As versões C, D, E, F, G, H e I, juntamente com as variantes A e B que já existiam, formam uma família de códigos maléficos capazes de se alastrar rapidamente por e-mail e instalar uma porta de comunicação secreta (backdoor) nas máquinas atingidas, através da qual um atacante poderia executar comandos a distância no sistema.
As cinco primeiras variantes, descobertas no final de semana, apontam para um mesmo autor dos programas, de acordo com a empresa F-Secure. "Aparentemente ele (o autor) tem monitorado de perto quão rapidamente os fabricantes de antivírus lançam vacinas, então faz as alterações necessárias para evitar a detecção e lança novas versões imediatamente", opina Mikko Hypponen, diretor de pesquisa antivírus da empresa.
A favor desta opinião existe o fato de que estas cinco primeiras versões foram lançadas num prazo de apenas 48 horas e que houve uma evolução nos métodos de envio dos anexos contaminados. A partir da variante F, os arquivos com o vírus passaram a ser compactados em formato .ZIP e protegidos por uma senha criada aleatoriamente. No corpo das mensagens contaminadas era informada esta senha. Isto garantia que os usuários pudessem abrir manualmente os anexos, mas impedia que os filtros e sistemas antivírus automatizados fizessem o mesmo para analisar os arquivos.
O Bagle também usa um disfarce que foi sendo aprimorado à medida que novas variantes da praga eram lançadas: os ícones que representam os arquivos maléficos são exibidos como símbolos de inocentes pastas do sistema. Tal truque, junto com a grande variedade de assuntos, nomes de anexos e conteúdo das mensagens infectadas, dificulta bastante a identificação do worm pelos usuários menos experientes. A F-Secure chegou a lançar um blog, no qual tem publicado detalhes sobre o Bagle e sobre versões de outros vírus, assim que são descobertas.
A família Bagle, cuja primeira variante surgiu em meados de janeiro de 2004, espalha-se principalmente por e-mail, mas também lança cópias de arquivos contaminados em pastas compartilhadas por redes locais e remotas. O worm possui um mecanismo SMTP próprio para se auto-enviar por e-mail e a capacidade de criar mensagens com endereço do remetente forjado.
Depois de executado, o worm descarrega arquivos nas pastas de sistema do Windows e modifica o registro para ser rodado cada vez que a máquina é iniciada. A praga consegue infectar as versões do Windows 95, 98, ME, NT, 2000 e XP. Entre as ações mais perigosas do Bagle estão sua capacidade de instalar uma backdoor em diferentes portas da rede TCP/IP e finalizar processos associados a programas de segurança, como antivírus.
Crime organizado
É cada vez mais plausível a hipótese de que a epidemia de worms recentes, como MyDoom, Netsky e Bagle, está relacionada à ação de criminosos organizados com fins específicos, e não a bandos de adolescentes desocupados querendo impressionar os amigos da escola.
A consultoria britânica mi2g trouxe hoje uma lista de perguntas e respostas relacionadas a estes códigos maléficos. De acordo com a empresa, as evidências levam a crer que os autores dos vírus pretendem criar uma rede de computadores domésticos e corporativos transformados em "zumbis", para serem usados em golpes do tipo "phishing scam" (roubo de identidade), envio de spam e ataques de negação de serviço.
Aparentemente também está havendo uma disputa entre grupos rivais representados pelos autores do Netsky e pelos criadores do MyDoom e do Bagle, já que o primeiro worm tem capacidade de interromper a ação de arquivos relacionados aos dois últimos. Tal fato sugere que os grupos podem ainda estar engajados em uma disputa intelectual no submundo da Internet.
De qualquer forma, os principais beneficiários desta epidemia de vírus é o crime organizado na Internet, que pode utilizar as máquinas comprometidas para uma série de ações clandestinas ou maléficas.
As cinco primeiras variantes, descobertas no final de semana, apontam para um mesmo autor dos programas, de acordo com a empresa F-Secure. "Aparentemente ele (o autor) tem monitorado de perto quão rapidamente os fabricantes de antivírus lançam vacinas, então faz as alterações necessárias para evitar a detecção e lança novas versões imediatamente", opina Mikko Hypponen, diretor de pesquisa antivírus da empresa.
A favor desta opinião existe o fato de que estas cinco primeiras versões foram lançadas num prazo de apenas 48 horas e que houve uma evolução nos métodos de envio dos anexos contaminados. A partir da variante F, os arquivos com o vírus passaram a ser compactados em formato .ZIP e protegidos por uma senha criada aleatoriamente. No corpo das mensagens contaminadas era informada esta senha. Isto garantia que os usuários pudessem abrir manualmente os anexos, mas impedia que os filtros e sistemas antivírus automatizados fizessem o mesmo para analisar os arquivos.
O Bagle também usa um disfarce que foi sendo aprimorado à medida que novas variantes da praga eram lançadas: os ícones que representam os arquivos maléficos são exibidos como símbolos de inocentes pastas do sistema. Tal truque, junto com a grande variedade de assuntos, nomes de anexos e conteúdo das mensagens infectadas, dificulta bastante a identificação do worm pelos usuários menos experientes. A F-Secure chegou a lançar um blog, no qual tem publicado detalhes sobre o Bagle e sobre versões de outros vírus, assim que são descobertas.
A família Bagle, cuja primeira variante surgiu em meados de janeiro de 2004, espalha-se principalmente por e-mail, mas também lança cópias de arquivos contaminados em pastas compartilhadas por redes locais e remotas. O worm possui um mecanismo SMTP próprio para se auto-enviar por e-mail e a capacidade de criar mensagens com endereço do remetente forjado.
Depois de executado, o worm descarrega arquivos nas pastas de sistema do Windows e modifica o registro para ser rodado cada vez que a máquina é iniciada. A praga consegue infectar as versões do Windows 95, 98, ME, NT, 2000 e XP. Entre as ações mais perigosas do Bagle estão sua capacidade de instalar uma backdoor em diferentes portas da rede TCP/IP e finalizar processos associados a programas de segurança, como antivírus.
Crime organizado
É cada vez mais plausível a hipótese de que a epidemia de worms recentes, como MyDoom, Netsky e Bagle, está relacionada à ação de criminosos organizados com fins específicos, e não a bandos de adolescentes desocupados querendo impressionar os amigos da escola.
A consultoria britânica mi2g trouxe hoje uma lista de perguntas e respostas relacionadas a estes códigos maléficos. De acordo com a empresa, as evidências levam a crer que os autores dos vírus pretendem criar uma rede de computadores domésticos e corporativos transformados em "zumbis", para serem usados em golpes do tipo "phishing scam" (roubo de identidade), envio de spam e ataques de negação de serviço.
Aparentemente também está havendo uma disputa entre grupos rivais representados pelos autores do Netsky e pelos criadores do MyDoom e do Bagle, já que o primeiro worm tem capacidade de interromper a ação de arquivos relacionados aos dois últimos. Tal fato sugere que os grupos podem ainda estar engajados em uma disputa intelectual no submundo da Internet.
De qualquer forma, os principais beneficiários desta epidemia de vírus é o crime organizado na Internet, que pode utilizar as máquinas comprometidas para uma série de ações clandestinas ou maléficas.
Fonte:
InfoGuerra
URL Fonte: https://reporternews.com.br/noticia/387560/visualizar/
Comentários