quarta-feira, 4 de agosto de 2010 por Administrador
Recentemente, foram publicados
relatórios sobre um novo tipo de malware se propagando por meio
de discos removíveis. Esse malware explora uma vulnerabilidade
recém-descoberta nos arquivos de atalho que permite a execução de
códigos aleatórios no sistema do usuário. A Microsoft declarou
oficialmente ter conhecimento da vulnerabilidade e publicou um
aviso de segurança.
Nossos engenheiros obtiveram uma amostra deste malware, o qual é
agora detectado como
WORM_STUXNET.A, e analisou suas rotinas. Eis um sumário do que
foi descoberto:
Propagação
Ao invés de colocar um arquivo AUTORUN.INF e uma cópia de si
mesmo nos discos fixos e removíveis, o WORM_STUXNET.A insere nos
discos um arquivo .LNK - um atalho que redireciona para um arquivo
executável. O arquivo .LNK adicionado explora essa vulnerabilidade
para gerar uma nova cópia do WORM_STUXNET.A nos outros sistemas. A
Trend Micro detecta esses arquivos .LNK como
LNK_STUXNET.A.
Capacidades de ocultação
Além de gerar cópias de si em discos removíveis, esse worm
também instala um rootkit, detectado como
RTKT_STUXNET.A, que é usado para ocultar suas rotinas. Isso
permite que o worm passe despercebido pelo usuário e torne mais
difícil a análise dos pesquisadores.
Conexões com o futebol
O WORM_STUXNET.A também tenta se conectar a site que,
estranhamente, estão ligados ao futebol. O propósito dessas rotinas
ainda não foi determinado, já que nossos engenheiros não
encontraram nenhum traço de atividades maliciosas naqueles
sites.
Esse novo método de usar arquivos .LNK ainda está sendo
desenvolvido em termos de como os worms se propagam por meio de
discos removíveis. Recentemente, relatamos o uso da
chave Action do AUTORUN.INF para executar automaticamente
arquivos maliciosos.
A despeito do maior potencial de técnicas de proliferação
oferecidas pela Web, o malware de USB continua a ser distribuído
pelos criminosos,
o que atesta sua eficiência. Esse tipo de malware foi discutido
em mais detalhes no artigo "
Compreendendo o Malware de USB" (em inglês).
Como a vulnerabilidade está relacionada ao processamento dos
ícones de atalho do Windows, uma das soluções paliativas é
desativar a exibição dos ícones para todos os atalhos. O
procedimento para desativar está descrito no aviso de segurança da
Microsoft.
Os usuários da Trend Micro já estão protegidos deste tipo de
malware por meio da Trend
MicroTM Smart Protection NetworkTM.
Outros usuários também podem usar nossas ferramentas gratuitas de
limpeza, tal como o HouseCall.
Atualizado em 20 de julho de 2010, às 05:17
(UTC-7):
O código para a exploração da vulnerabilidade relacionada a esse
ataque já está à solta. Para proteger os usuários de futuros
ataques, nós detectamos todos os malware que se aproveitam da
Vulnerabilidade do Shell do Windows como WORM_STUXNET.SM.
Além disso, a análise mais aprofundada do WORM_STUXNET.A feita
por Cris Pantanilla, engenheiro de resposta à ameaça, revela que o
worm tenta acessar certas bases de dados e executar comandos
SQL.
Atualizado em 21 de julho de 2010, às 01:00
(UTC-7):
Os usuários do
Deep Security e do OfficeScan
com o plug-in Intrusion Defense Firewall (IDF) podem se
proteger parcialmente fazendo o download de novas regras
recém-publicadas que lidam com essa vulnerabilidade. As regras
evitam que a vulnerabilidade seja explorada pelos compartilhamentos
de rede e WebDAV.
Leia mais em:
http://blog.trendmicro.com/usb-worm-exploits-windows-shortcut-vulnerability/#ixzz0vUMVrwbg
(em inglês)