Worm Nyxem.E – Alerta de ativação

O CAIS esta alertando para uma nova onda de ações do worm Nyxem. Foi descoberto no código do worm que a cada dia 3 ele é programado para apagar arquivos com extensão .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp, subistituindo todo o conteúdo por “DATA Error [47 0F 94 93 F4 K5]”.

Ainda é bom lembrar que o worm também é coonhecido pelo nome de Kama Sutra. O que é que tem de tão especial neste tipo de worm? Bo, a muito tempo não se via um worm com o tipo de atividade deste, apagar os arquivos dos usuários. Geralmente os worms atacavam apagando arquivos do sistemas mas, no caso do Nyxem.E ele vai direto aos arquivos que são mais importantes para o usuário, arquivos do tipo .doc, .xls e outros.

O CAIS alerta:

“Mediante a gravidade das consequências que as ações deste worm podem causar, pedimos a todos que verifiquem seus sistemas com anti-vírus atualizados (capazes atualmente de identificar e remover o Nyxem.E), e mantenham-se alertas no dia 03 de Fevereiro, primeira data na qual o worm poderá danificar arquivos dos sistemas.”

Ainda com o CAIS:

Medidas paliativas

Verificação de sistemas com anti-vírus atualizados

Utilização das seguintes assinaturas no Snort, disponíveis no site bleeding-snort:

1. Identificação de um sistema possivelmente infectado através de acessos ao contador desenvolvido pelo autor do worm:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”BLEEDING-EDGE VIRUS webstats.web.rcn.net count.cgi request without referrer (possible BlackWorm/Nyxem infection)”; content:”GET /cgi-bin/Count.cgi?”; depth:23; content:”df=”; within:20; content:”Host|3a 20|webstats.web.rcn.net”; content:!”Referer|3a|”; classtype:misc-activity; sid:2002788; rev:2;)

2. Identificação de um sistema possivelmente infectado através de acessos com características específicas ao site http://www.microsoft.com (ausência de do cabeçalho User-agent:)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”BLEEDING-EDGE VIRUS Agentless HTTP request to http://www.microsoft.com (possible BlackWorm/Nyxem infection)”; dsize:92; content:”GET / HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a| Cache-Control|3a20|no-cache|0d0a0d0a|”;classtype:misc-activity; sid:2002789; rev:1;)

3. Identificação de tentativa de propagação do worm através de SMTP:

alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:”BLEEDING-EDGE VIRUS W32.Nyxem-D SMTP outbound”; flow:established,to_server; content:”YmVnaW4gNjY0I”; content:”ICAgICAgICAgICAgICAgICAgICAgICA”; distance:31; within:31; classtype:trojan-activity; reference:url, http://www.sophos.com/virusinfo/analyses/w32nyxemd.html; sid: 2002778; rev:1;)

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s