1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Atenção Aos Virus

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por MKPlus, 11 de Setembro de 2006. (Respostas: 8; Visualizações: 1327)

  1. MKPlus

    MKPlus Power Member

    Especialistas britânicos desmontam código de vírus extorsio

    Tomem nota da password “mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw”.

    Esta sucessão de 30 caracteres pode revelar-se bastante valiosa caso o computador seja contagiado pelo The Archiveus, um vírus utilizado para práticas extorsionistas no Reino Unido, que acaba de ser “desmontado” por algumas companhias de antivírus.
    O The Archiveus aloja-se na pasta “Os Meus Documentos” do Windows e esconde todos os ficheiros que o utilizador tem arquivados no PC.

    O vírus é utilizado como ferramenta de extorsão dos seus criadores, que exigem um pagamento para fornecer a password que devolve os ficheiros escondidos ao legítimo proprietário.

    Segundo os peritos que descodificaram o vírus, a programação de The Archiveus é pobre – o que poderá não suceder com muitos outros vírus extorsionistas que pairam actualmente sobre a Internet.



    Vírus faz-se passar pelo Windows Genuine Advantage


    Programadores de vírus informáticos criaram um vírus que se faz passar pelo programa de anti-pirataria da Microsoft, Windows Genuine Advantage (WGA).
    O vírus Cuebot-K propaga-se via AOL Messenger disfarçando-se de WGA: O momento do lançamento coincide com a controversa característica do WGA,programa de anti-pirataria que recolhe dados de hardware e software dos equipamentos com Microsoft Windows cada vez que inicia o sistema.
    Cuebot-K tenta registar-se a si mesmo como um novo serviço controlador de sistema com o nome de “wgavn”, com o nome de Windows Genuine Advantage Validation Notification.

    A partir deste ponto o vírus executa-se a cada reiniciar do sistema. Os utilizadores que tentarem remover o vírus são notificados que se o apagarem do sistema podem provocar graves instabilidades nos sistemas.
    Uma vez instalado em máquinas afectadas, o vírus desactiva a firewall e abre uma backdoor na máquina comprometida, entregando o controlo total aos intrusos.



    Encontrado Complexo Vírus Que Se Propaga Por Redes P2P


    Foi encontrado pela Sophos um vírus polimorfico que infecta ficheiros com extensões .exe e .scr em todas as pastas, quando os mesmos são abertos ou executados, adicionando o seu código em partes de código não utilizado no ficheiro original. Esta classe de vírus é conhecida como “cavity infector”.
    O código principal do vírus é copiado numa secção nova antes da última do ficheiro infectado.
    Os vírus polimorficos modificam o seu código de forma aleatória com a finalidade de confundir os antivírus ao obter um aspecto diferente em cada ficheiro infectado.
    Quando se executa, o vírus injecta o seu código em todos os processos activos, excepto em aqueles cujo nome tenham os seguintes links:
    csrss/ctfmon/drwatson/drwtsn32/dumprep/dwwin/kernel32.dll/savedump/smss/spoolsv/temp

    O vírus fica residente na memória por cada aplicação activa, e cada cópia do mesmo é responsável por diferentes acções (infecção de ficheiros, propagação, etc).
    Para infectar os ficheiros, o vírus intercepta todos os pedidos ao sistema relacionados com o encerramento de ficheiros, criação e encerramento de processos,criação de ficheiros, procura de bibliotecas, ficheiros, etc.
    A infecção pode corromper os ficheiros originais, comprometendo a estabilidade do sistema.
    Depois de instalado num sistema o vírus tentará infectar todos os ficheiros que tenham os seguintes links:

    a2/adaptec/adinf/agnitum/ahead/aladdin/alarm/alwil/alwil/anti/armor/aspack/assemble/astonsoft/avast/avg/avp/avwin/avx/aware/backdoor
    barracuda/blackice/blindwrite/burn/cillin/clean/clonecd/common/copystar/dbg/debug/defender/dfrgntfs/disasm/doctor/drweb/dss/eeye/elaborate/eliashim/esafe/eset
    etrust/f-/firewall/forti/fpr/f-prot/frisk/fsav/gear software/gladiator/grisoft/guard/hack/heal/hijack/hunter/ibm/ida/imapi/infosystems/inoc/inoculate/intermute/iss
    kasp/kaspersky/kerio/lavasoft/mc/mcafee/mirc/mon/nav/neolite/nero/newtech/nod/nod32/norman/norton/numega/nvc/olly/ort expl/ositis/outpost/pack/panda/pav
    pebundle/pecompact/personal/pklite/pkware/principal/process/protect/proxy/qualys/rav/rescue/retina/root/route/roxio/safe'n'sec/sateira/scan/scn/secure/security
    setup/shield/slysoft/softice/softwin/sonique/sophos/spf/spider/spy/spyware/sqstart/starforce/steganos/swift sound/sygate/symantec/tb/tds3/temp/tenable/tiny
    /tmp/trend micro/trojan/upx/viri/virus/vsaf/vswp/watch/webroot/zone labs

    Apesar de estar originalmente preparado para se propagar via rede P2P entre utilizadores Gnutella (utilizado por BearShare, Gnucleus 2.0.0.6, etc), foram divulgadas infecções também em utilizadores de outras redes (emule, eDonkey2000, etc).
    Esta situação ocorre quando um sistema infectado tenha algum destes programas instalados.
    Como parte desse processo, infecta ficheiros .exe e .scr nas pastas partilhadas por estas aplicações

    Para finalizar o processo de propagação e infecção tenta também apagar os seguintes ficheiros, pertencentes a conhecidos antivírus,
    deixando o sistema desprotegido contra qualquer outra classe de ataques, e dificultando a sua detecção:
    aguard.dat/antivir.dat/avg.avi/avgqt.dat/avp.crc/chklist.cps/chklist.ms/drwebase.vdb/ivb.ntz/ivp.ntz/lguard.vps/smartchk.cps/smartchk.ms/vs.vsn

    :004:
     
    Última edição: 11 de Setembro de 2006
  2. bruncamps

    bruncamps Power Member

    Interessante... e as fontes?
     
  3. SoundSurfer

    SoundSurfer Power Member

    Oh não! esconderam-me os ficheiros! o pânico! o que fazer! :joker: :joker:
     
  4. Cooling

    Cooling 1st Folding then Sex

    epa que lol...ui escondem me ficheiros...e a seguir vão fazer o que? apontar uma pistola aos ficheiros e dizer que se eu não pagar o resgate eles matam-nos :-D
     
  5. Rally

    Rally Power Member

    Em relação à primeira notícia:
    in symantec
     
  6. PoolMania

    PoolMania Banido

    Esta noticia já tem barbas! Já a vi meses atrás, muitos meses, num conhecido fórum de links ed2k....É uma especie de "lenda urbana" lançada para semear o pânico nas redes P2P mundiais......Já há muito tempo atrás falou-se numa solução "milagrosa" para se duplicar as HASHs dos ficheiros do eMule de forma a dar erros e mais erros a quem os saca-se.....Lenda urbana de novo!

    Os virus existem em todo o lado......e uns são complexos.....Outros são simples....Mas todos tem uma coisa em comum: dão cabo do juizo ás suas vitimas:)
     
  7. xupetas

    xupetas Banido

    ainda bem que nao uso windows :joker:

    por aqui existem virus... mas sao em menor quantidade
     
  8. Tomekk

    Tomekk Power Member

    re:

    Isso nao se infecta por P2P, mas sim por qualquer outro metodo... basta passar o ficheiro infectado para outro computador e tentar "abri-lo".

    Podes mandar por msn, ou simplesmente ser copiado pelo cd e muitos outros metodos. Agora é claro se muitos numa rede P2P fizerem o download do mesmo... o virus vai se propagar.

    Mas já agora virus/ficheiros infectados a serem partilhados via P2P é algo que acontece desde que tempos? Desde o fastrack ( kazaa ). Agora no emule e no Gnutella2... o hash é completamente diferente do original... portanto consegue-se indentificar virus dos ficheiros não infectados.
     
  9. Soccergirl

    Soccergirl Power Member

    Muito interessante nao sabia dixo...8o
     

Partilhar esta Página