|
NBSO - NIC BR
Security Office Tradução dos Advisories do CERT/CC, com permissão especial do Software Engineering Institute (SEI). CERT® Advisory CA-2004-02 Vírus propagados por email (Email-borne Viruses)
Data original de lançamento: 27 de janeiro de 2004
Um histórico completo das revisões pode ser encontrado ao final deste documento. Sistemas Afetados
ResumoNas últimas semanas, vários vírus propagados por email foram lançados na Internet. É importante que os usuários entendam os riscos causados por este tipo de código malicioso e os passos necessários para proteger seus sistemas de uma infecção por vírus. I. DescriçãoNa última semana nós observamos mais dois vírus propagados por email, W32/Bagle e W32/Novarg, impactando um número significativo de usuários domésticos e sites. A tecnologia utilizada nestes vírus não é significativamente diferente dos vírus propagados por email anteriores, como o W32/Sobig e o W32/Mimail. Mensagens de email não solicitadas contendo anexos (attachments) são enviadas para destinatários desavisados. Elas podem conter um endereço de remetente, um conteúdo estimulante ou qualquer coisa que encoraje a pessoa que recebe o email a abrí-lo. Esta técnica é denominada engenharia social. Por sermos crédulos e curiosos, a engenharia social é freqüentemente eficiente. O alto impacto destes últimos vírus, que dependem da intervenção humana para propagar-se, demonstra a eficiência da engenharia social. Continua a ser importante garantir que os softwares antivírus sejam utilizados e atualizados regularmente, que os anexos (attachments) sejam examinados nos servidores de emails e que os firewalls filtrem protocolos e portas desnecessárias. Também permanece necessário que os usuários sejam alertados sobre os perigos de se abrir anexos, especialmente os anexos executáveis (programas). II. ImpactoUma infecção por vírus pode ter conseqüências significativas em seus sistemas de computadores. Estas conseqüências incluem, mas não estão limitadas a:
III. SoluçãoAlém de seguir os passos descritos nesta seção, o CERT/CC encoraja os usuários domésticos a reverem os documentos "Home Network Security" e "Home Computer Security". Nota do Tradutor: Para referências em Português sobre o assunto, consulte o documento "Cartilha de Segurança para Internet". Executar e manter um antivírusApesar de um pacote de software antivírus não poder proteger contra todos os códigos maliciosos, para a maioria dos usuários ele continua a ser a melhor primeira linha de defesa contra ataques de códigos maliciosos. Os usuários podem desejar ler o documento IN-2003-01 para mais informações sobre softwares antivírus e problemas de segurança. Muitos fornecedores de softwares antivírus freqüentemente atualizam informações, ferramentas ou bancos de dados de definições de vírus para ajudar na detecção de códigos maliciosos e na recuperação do sistema. Conseqüentemente, é importante que os usuários mantenham seus softwares antivírus atualizados. O CERT/CC mantém uma lista parcial de fornecedores de antivírus. Muitos pacotes de antivírus suportam atualizações automáticas das definições dos vírus. O CERT/CC recomenda a utilização destas atualizações automáticas quando estiverem disponíveis. Não executar programas de origem desconhecidaNão realize o download, instale ou execute um programa ao menos que você o reconheça como sendo escrito por uma pessoa ou compania em que você confie. Usuários de emails devem tomar cuidado com anexos não esperados. Certifique-se que você conheça a origem de um anexo antes de abrí-lo. Lembre-se, também, que não é suficiente que o email tenha se originado de um endereço de email que você reconheça. O vírus Melissa espalhou-se precisamente porque ele se originava de endereços familiares de emails. Os usuários também devem tomar cuidado com as URLs nas mensagens de email. As URLs podem apontar para conteúdos maliciosos que, em alguns casos, podem ser executados sem a intervenção do usuário. Uma técnica comum de engenharia social, conhecida como "phishing", utiliza URLs falsas para induzir usuários a visitar web sites maliciosos. Estes sites imitam web sites legítimos para solicitar informações sensíveis como senhas ou número de contas. Além disso, usuários de IRC (Internet Relay Chat), de serviços de mensagem instantânea (IM - Instant Messaging) e de serviços de compartilhamento de arquivos devem ser particularmente cuidadosos ao seguir links ou executar softwares enviados a eles por outros usuários. Estes são métodos corriqueiros utilizados entre os intrusos para tentar construir redes de agentes de ataques distribuídos de negação de serviço (DDoS). Utilizar um firewall pessoalUm firewall pessoal não necessariamente protegerá seu sistema de um vírus propagado por email, mas, um firewall pessoal devidamente configurado pode previnir que um vírus realize o download de componentes adicionais ou lance ataques contra outros sistemas. Infelizmente, uma vez em um sistema, um vírus pode ser capaz de desabilitar o firewall, eliminando assim sua proteção. Filtro no servidor de emailDependendo das necessidades de seu negócio é aconselhável configurar, no servidor de emails, a filtragem de extensões de arquivos específicas nos anexos de email. Estes filtros devem ser configurados cuidadosamente, pois podem afetar, também, os anexos legítimos. É recomendado que os anexos sejam colocados em quarentena para exame posterior e/ou possível recuperação. Recuperando-se de um comprometimentoSe você acredita que um sistema sob sua administração foi comprometido, por favor siga os passos descritos em: Tradução: Luiz Eduardo Roncato Cordeiro Revisão Técnica: Cristine Hoepers Esta versão traduzida do documento pode ser obtida em: http://www.nbso.nic.br/certcc/advisories/CA-2004-02-br.html A versão original, em Inglês, deste documento pode ser obtida em: http://www.cert.org/advisories/CA-2004-02.htmlInformações de Contato do CERT/CC
O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos. Utilização de criptografiaNós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em: Se você preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações. Obtendo informações sobre segurançaAs publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:
Para inscrever-se na lista de advisories e boletins do CERT, envie um
email para majordomo@cert.org,
incluindo o seguinte no corpo da sua mensagem: subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. Translations of CERT/CC Advisories, (c) 2004 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation. NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org). NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org. NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT. CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property. Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction. No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work. Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document. This permission is granted on a non-exclusive basis for non-commercial purposes. Conditions for use, disclaimers, and sponsorship information Copyright 2004 Carnegie Mellon University.
Histórico de Revisões |
NBSO -- NIC BR Security Office$Date: 2005/06/14 13:03:34 $ |