+- Forum Pplware (http://forum.pplware.com)
+-- Fórum: Mais Tech (/forumdisplay.php?fid=11)
+--- Fórum: Segurança (/forumdisplay.php?fid=41)
+--- Tópico: Symantec - Novo Ataque Massivo de Worm via E-mail (/showthread.php?tid=7170)
Symantec - Novo Ataque Massivo de Worm via E-mail - Fábio Palma - 17-09-2010 23:56
De acordo com o Symantec Security Response uma ameaça de engenharia social de propagação rápida está actualmente a infectar centenas de milhares de computadores em todo o mundo.
![[Imagem: Earth-Alert-icon.png]](http://icons.iconarchive.com/icons/studiomx/web/256/Earth-Alert-icon.png){kind=icon}
*Quinta-Feira, 9 de Setembro de 2010, a Symantec começou a seguir activamente um novo worm malicioso que se espalha usando um ataque de engenharia social via e-mail.
* A ameaça chega através de um e-mail que pede ao destinatário para clicar num link integrado no e-mail. Este link faz a ligação para um ficheiro malicioso disfarço de ficheiro PDF, alojado na Internet.
* Quando o utilizador clica neste link, automática e instantaneamente, faz o download e lança o ficheiro malicioso. Este processo instala o worm no computador da vitima, sem que esta o saiba!
* Inicialmente as análises indicaram que o worm desactivava muitos productos Anti-Virus comuns (no entanto, não atacou com sucesso os produtos Norton/Symantec). Uma vez em execução no computador, a ameaça tenta enviar uma cópia do e-mail original para todos os contactos encontrados no endereço de e-mail infectado.
* A ameaça tenta, também, propagar-se de computador em computador na rede local (em casa ou no escritório), copiando-se a si própria para abrir unidades partilhadas encontrados noutras máquinas da rede. Uma vez que a ameaça faça uma cópia de si própria, se um utilizador abrir o ficheiro infectado numa nova máquina, vai lançar a ameaça e fazer com que esta se propague via e-mail ou através de outras unidades partilhadas.
Detalhes da Ameaça (O que faz a ameaça?):
O worm usa um e-mail para a sua propagação inicial (um e-mail que inclui um link para um documento requisitado). Uma vez dentro das organizações podem espalhar-se rapidamente através de unidades partilhadas e unidades removíveis. Também tenta espalhar-se via e-mail, reunindo endereços de e-mail do computador infectado.
O e-mail parece-se com o seguinte:
Hello:
This is The Document I told you about, you can find it Here. <link to .SCR file>
Please check it and reply as soon as possible.
Cheers,
<name>
Uma vez que se siga o link, este processa o download da actual ameaça maliciosa do tipo W32.Imsolk.B@mm, a qual infecta a máquina afectada.
Boas Práticas do Norton
1. Desactive computadores infectados em partilha e/ou desligados, da rede local ou da Internet
2. Bloqueie o tráfego exterior do domínio/endereço de IP presente no e-mail de engenharia social, para prevenir que os utilizadores que se liguem aos sites de distribuição do download
3. Desactive o AutoPlay e unidades removíveis para prevenir o lançamento automático de ficheiros executáveis na rede e desligue as unidades quando não são necessárias.