Download - 3,5 milhões de PCs já infectados por worm

Ainda continua dando muita dor de cabeça a vulnerabilidade que reportamos aqui no blog sobre a falha explorada na implementação do protocolo RPC em alguns sistemas operacionais da linha Windows 2000, Microsoft Server, e Windows XP (veja o post de outubro de 2008). Mesmo com a Microsoft divulgando o patch para correção da vulnerabilidade, muitos PCs continuam vulneráveis fazendo com que um novo código hostil, worm Downadup, se propague com grande velocidade comprometendo atualmente mais de 3,5 milhões de máquinas em todo o mundo.

A vulnerabilidade

Endereçada pelo Microsoft Security Bulletin MS-08-067, a falha permite a execução de código malicioso (exploit) de forma remota na máquina, isto é, estando com os computadores na rede, é possível que alguém execute qualquer coisa na sua máquina.

A vulnerabilidade alimenta um worm

No caso da vulnerabilidade, hackers aprimoraram os códigos hostis que exploram a falha do RPC criando um mecanismo de propagação automática. A máquina que sofre o ataque é invadida utilizando-se a falha de implementação do protocolo RPC que abre caminho para o invasor executar um ataque de dicionário em busca de usuários que possuam senhas fracas. Por ter este tipo de comportamento, inteligente e autônomo, o código recebe o nome de worm.

Indícios de formação de uma nova e poderosa Botnet

Tudo indica que este worm foi desenvolvido para comprometer o sistema operacional do usuário para que a máquina se transforme em membro de redes “zumbies” ou “botnets”(máquina é utilizada para envio de spams) ou mesmo como membro de uma rede de ataques de DDOS - Distribuited Denial of Service (máquina é utilizada para integrar uma rede que efetua ataques tentando inviabilizar o acesso a um determinado site web no mesmo período). Já há indícios na Internet de nova formação de redes com esta finalidade a partir de recentes ataques em curso pelo worm em questão.

O que fazer para se proteger?

Naturalmente, além de aplicar o patch já disponibilizado pela Microsoft desde outubro do ano passado, é muito importante que a qualidade das senhas dos usuários do sistema operacional seja reforçada. Recentemente publicamos no blog o estudo das 500 piores senhas, assim como dicas e recomendações para a criação de uma senha segura. É de extrema importância que senhas complexas sejam criadas para evitar que as credenciais do sistema operacional sejam capturadas por ataques desta natureza.

O que é um worm?

Esse é o nome dado ao código hostil que se propaga sozinho, automaticamente, e que é inteligente. O worm, ao contrário do vírus, já é programado para infectar outros computadores além daquele invadido inicialmente. Este é o objetivo fundamental de sua arquitetura, que visa a trabalhar em progressão geométrica. Algumas variações de vírus também contaminam outros micros, mas o worm foi especificamente programado para entrar, explorar as vulnerabilidades de um computador, depois olhar para o lado, verificar a vulnerabilidade de outras máquinas e seguir em frente, infectando todas elas.

Enquanto o vírus precisa da intervenção do usuário para entrar na máquina, o worm a dispensa. Não precisa nem de um clique. Chega ao micro quando o usuário menos espera. Como explora falhas no sistema operacional, o usuário nada precisa fazer para ser infectado.

Por isso, a infecção por worm (ao contrário da viral) não é culpa do usuário. Até porque ele pode ser detectado com certa rapidez. Hoje em dia, quando um worm começa a agir, em geral há uma mudança de comportamento na internet — aparece uma máquina gerando muito tráfego para outras máquinas, essas mandando ainda mais tráfego para terceiras e tudo vai crescendo em progressão geométrica. Os sites e centros de resposta que monitoram a rede mundial já detectam isso como sintoma de um worm em ação. Pesquisadores — de diversas empresas, fabricantes e instituições — verificam o problema mais a fundo, examinando máquinas infectadas e reproduzindo a infecção em laboratório, e depois lançam um alerta pela rede: o novo worm tal e tal está explorando uma falha no sistema operacional. Todos os fabricantes, então, correm para criar uma vacina contra o worm e um patch (correção) para a falha no sistema operacional.