Home > Notícias

Vírus de 2005 já usava estratégia do Conficker para infectar PCs, afirma pesquisa

Neeris, praga com quatro anos de existência, ataca PCs da mesma maneira que o Conficker e pode ser transmitida via USB

Computerworld / EUA

06/04/2009 às 8h41

Foto:

Um antigo e pouco conhecido worm já utilizava as técnicas de infecção disseminadas pelo Conficker, disseram especialistas em segurança da Microsoft. Chamado de Neeris, a praga foi criada em maio de 2005 e explora a mesma falha no Windows que o Conficker utiliza.

Além disso, é também transmitido por drivers de memória flash, outra característica do Conficker, aponta Ziv Mador e Aaron Putnam, pesquisadores do Microsoft Malware Protection Center. Segundo eles, os criadores do Neeris adicionaram exploit para outra vulnerabilidade do Windows, a MS08-067, falha no serviço usado para compartilhamento de arquivos e impressoras. A brecha foi corrigida em atualização de emergência enviada em outubro de 2008.

Assim como o Neeris, o Conficker também foi atualizado remotamente para explorar a mesma falha MS08-067 e atingir cerca de 15 milhões de PCs pelo mundo. "Neeris [também] se espalhou através do Autorun e, a nova variante da praga adiciona também a opção ‘Abra a pasta para ver os arquivos’ no AutoPlay assim como o Conficker", escreveram Mador e Putnam no blog.

O Conficker se espalha nos PCs infectados ao adicionar um arquivo autorun.inf no diretório raiz de qualquer memória USB. Quando esta memória é conectada a um outro computador, o autorun.inf copia o worm para a nova máquina. De acordo com os pesquisadores, os criadores do Conficker e do Neeris podem compartilhar informações e estratégias.

"As amostras mais antigas do Neeris são de maio de 2005, então o Conficker pode ser a cópia. No entanto, os criadores do Neeris adicionaram o exploit do MS08-067 depois do que o Conficker. Isso pode signficiar que eles estão colaborando entre si ou conhecem as pragas dos outros", defenderam.

Ainda que o Neeris tenha sido identificado quase quatro anos atrás, a Microsoft não criou uma assinatura para o worm na sua ferramenta de anti-malware, a Malicious Software Removal Tool (MSRT). A MSRT escaneia a máquina em busca de conhecidas pragas para retirá-las do sistema. A empresa adicionou o Conficker ao MSRT em janeiro.

"Graças as semelhanças com o Conficker, as estratégias de combate também se aplicam [ao Neeris]. Instale a correção MS08-067 e só utilize as opções de AutoPlay se você conhece a fundo, além disso é possível desabilitar o Autorun completamente para dar mais segurança”, defenderam Mador e Putnam.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail