Worm se 'reinventa' e ameaça internautas

Worm se 'reinventa' e ameaça internautas

A BitDefender, fornecedora de software antivírus e soluções de segurança de dados, detectou o Win32.Worm.Downadup, um worm que propaga-se através de uma vulnerabilidade do RCP Windows Server Service.

O Downadup, também chamado de Conficker ou Kido, não é uma ameaça nova, ele fez sua primeira aparição no final de novembro de 2008, quando explorou uma fraqueza no MS08-067 para difundir-se sem impedimentos em redes locais. Sua finalidade foi instalar desonestos softwares de segurança em computadores infectados.

No final de dezembro, o Laboratório da BitDefender descobriu uma nova versão deste worm, o Win32.Worm.Downadup.B. Este malware vem com uma lista de novas funcionalidades, exceto por apresentar a propagação de rotina, que mostrou sinais de melhora.

Agora o worm utiliza da porta USB para espalhar-se. Ao copiar-se em uma pasta aleatória criada dentro do diretório RECICLAR, usado pela Lixeira para armazenar arquivos excluídos, e um arquivo autorun. Inf na pasta raiz do drive, o worm é executado automaticamente se o Autorun estiver ativado.

O worm também remenda certas funções TCP para bloquear o acesso a sites relacionados à segurança, pela filtragem de cada endereço que contêm algumas semelhanças.

Isso torna a remoção mais difícil, pois é quase impossível reunir informações sobre ele a partir de um computador infectado. Além disso, ele remove todos os direitos de acesso do usuário, exceto o de executar e usar o diretório para proteger seus arquivos.

A ameaça foi construída para evitar ser detectado por antivírus, utilizando-se de APIs raramente utilizados a fim de evitar uma virtualização tecnológica. Com isso, as atualizações do Windows e determinados tráfegos de rede são desativados, o que aperfeiçoa as perspectivas de suas funções, para facilitar a sua propagação.

O Win32.Worm.Downadup.B vem com um nome de geração de algorítimos, similar a um encontrado em botnets igual ao Rustock. Ele compõe 250 domínios diariamente e verifica as atualizações ou outros arquivos para download e instalação.

Com a seu avançado sistema de atualização e seu forte esquema de proteção, associado ao grande número de pessoas que não blinda seus sistemas, este worm tem um grande potencial para se tornar um rival do já estabelecido botnets, em nível de igualdade com o Storm ou o Srizbi.

By: CyberKill