Worms conhecidos causam novos danos
January 2009
O Win32.Worm.Downadup utiliza novos truques para espalhar-se sem ser facilmente detectado
A BitDefender, fornecedora de software anti-vírus e soluções de segurança de dados, detectou o Win32.Worm.Downadup, um worm que se propaga-se através de uma vulnerabilidade do RCP Windows Server Service. O Downadup, também chamado de Conficker ou Kido, não é uma ameaça nova, ele fez sua primeira aparição no final de novembro de 2008, quando explorou uma fraqueza no MS08-067 para difundir-se sem impedimentos em redes locais. Sua finalidade foi instalar desonestos softwares de segurança em computadores infectados.
No final de dezembro, o Laboratório da BitDefender descobriu uma nova versão deste worm, o Win32.Worm.Downadup.B. Este malware vem com uma lista de novas funcionalidades, exceto por apresentar a propagação de rotina, que mostrou sinais de melhora.
Agora o worm utiliza da porta USB para espalhar-se. Ao copiar-se em uma pasta aleatória criada dentro do diretório RECICLAR, usado pela Lixeira para armazenar arquivos excluídos, e um arquivo autorun. Inf na pasta raiz do drive, o worm é executado automaticamente se o Autorun estiver ativado.
O worm também remenda certas funções TCP para bloquear o acesso a sites relacionados à segurança, pela filtragem de cada endereço que contêm algumas semelhanças. Isso torna a remoção mais difícil, pois é quase impossível reunir informações sobre ele a partir de um computador infectado. Além disso, ele remove todos direitos de acesso do usuário, exceto o de executar e usar o diretório para proteger seus arquivos.
A ameaça foi construída para evitar ser detectado por antivírus, utilizando-se de APIs raramente utilizados a fim de evitar uma virtualização tecnológica. Com isso, as atualizações do Windows e determinados tráfegos de rede são desativados, o que aperfeiçoa as perspectivas de suas funções, para facilitar a sua propagação.
O Win32.Worm.Downadup.B vem com um nome de geração de algorítimos, similar a um encontrado em botnets igual ao Rustock. Ele compõe 250 domínios diariamente e verifica as atualizações ou outros arquivos para download e instalação.
Com a seu avançado sistema de atualização e seu forte esquema de proteção, associado ao grande número de pessoas que não blinda seus sistemas, este worm tem um grande potencial para se tornar um rival do já estabelecido botnets, em nível de igualdade com o Storm ou o Srizbi.
Para obter mais informações técnicas, visite o Blog Malwarecity e a descrição criada pela BitDefender.