W32.Swen.A@mm | 
|
| Data da descoberta: 18/09/2003 | | Data da última atualização: 19/09/2003 |
O Symantec Security Response criou uma ferramenta
para remover o W32.Swen.A@mm.
Nota: Esta ameaça foi detectada anteriormente como Worm.Automat.AHB
pelas definições criadas automaticamente pelo Digital Immune System
da Symantec.
Devido ao aumento do número de submissões, o Symantec Security Response elevou o W32.Swen.A@mm para a Categoria 3 em 18 de setembro de 2003.
O W32.Swen.A@mm é um worm de distribuição em massa que usa seu próprio mecanismo SMTP para propagar-se. Ele tenta propagar-se através de redes de compartilhamento de arquivos, tais como o KaZaA e IRC, e tenta desativar programs antivírus e firewall do computador.
O worm pode chegar como um anexo de e-mail. O assunto, o corpo e o remetente podem variar. alguns exemplos se apresentam como correções para o Microsoft Internet Explorer ou avisos de falha na entrega de e-mail.
O W32.Swen.A@mm é similar ao W32.Gibe.B@mm (em inglês) em função, e é escrito em C++.
|
Também conhecido como: |
Swen [F-Secure], W32/Swen@mm [McAfee], W32/Gibe-F [Sophos], Worm Swen.A |
|
| |
|
| |
|
Tamanho da infecção: |
106496 |
|
| |
|
| |
|
| |
|
Sistemas afetados: |
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP |
|
Sistemas não afetados: |
DOS, Linux, Macintosh, Microsoft IIS, OS/2, UNIX, Windows 3.x |
|
| |
|
| |
|
| |
 |
| Definições de vírus (Intelligent Updater) * |
18/09/2003 |
 |
| Definições de vírus (LiveUpdate™) ** |
18/09/2003 |
|
* |
As definições de vírus do Intelligent Updater são liberadas diariamente, mas exigem download e instalação manuais.
Clique aqui para efetuar o download. |
** |
As definições de vírus do LiveUpdate em geral são liberadas todas as quartas-feiras.
Clique aqui para obter instruções sobre a utilização do LiveUpdate. |
|
|
Quando o W32.Swen.A@mm é executado, ele executa as seguintes ações:
- Verifica se ele já foi instalado no computador. Em caso positivo, o procedimento de instalação será finalizado e exibirá a seguinte mensagem:
- Se o nome de arquivo executado começa com as letras q, u, p, ou i, o worm exibirá a seguinte caixa de diálogo:
O worm irá se instalar independentemente da opção escolhida. Se você clicar em No, o worm será instalado em modo silencioso. Se você clicar em Yes, as seguintes caixas de diálogo serão exibidas enquanto o worm é instalado:
- Tenta finalizar os seguintes processos:
- _avp
- Azonealarm
- avwupd32
- avwin95
- avsched32
- avp
- avnt
- avkserv
- avgw
- avgctrl
- avgcc32
- ave32
- avconsol
- autodown
- apvxdwin
- aplica32
- anti-trojan
- ackwin32
- bootwarn
- blackice
- blackd
- claw95
- cfinet
- cfind
- cfiaudit
- cfiadmin
- ccshtdwn
- ccapp
- dv95
- espwatch
- esafe
- efinet32
- ecengine
- f-stopw
- frw
- fp-win
- f-prot95
- fprot95
- f-prot
- fprot
- findviru
- f-agnt95
- gibe
- iomon98
- iface
- icsupp
- icssuppnt
- icmoon
- icmon
- icloadnt
- icload95
- ibmavsp
- ibmasn
- iamserv
- iamapp
- jedi
- kpfw32
- luall
- lookout
- lockdown2000
- msconfig
- mpftray
- moolive
- nvc95
- nupgrade
- nupdate
- normist
- nmain
- nisum
- navw
- navsched
- navnt
- navlu32
- navapw32
- nai_vs_stat
- outpost
- pview
- pop3trap
- persfw
- pcfwallicon
- pccwin98
- pccmain
- pcciomon
- pavw
- pavsched
- pavcl
- padmin
- rescue
- regedit
- rav
- sweep
- sphinx
- serv95
- safeweb
- tds2
- tca
- vsstat
- vshwin32
- vsecomr
- vscan
- vettray
- vet98
- vet95
- vet32
- vcontrol
- vcleaner
- wfindv32
- webtrap
- zapro
- Deposita uma cópia de si mesmo em %Windir% withcom um nome de arquivo gerado aleatoriamente.
Nota: %Windir% é uma variável. O worm localiza a pasta de instalação do Windows (por padrão, C:\Windows ou C:\Winnt) e cria uma cópia de si mesmo nesse local.
- Procura por arquivos .html, .asp, .eml, .dbx, .wab, .mbx no disco rígido para coletar endereços de e-mail.
- Cria o arquivo %Windir%\Germs0.dbv, o qual armazena os endereços de e-mail que foram encontrados.
- Cria o arquivo %Windir%\Swen1.dat, o qual armazena uma lista de servidores remotos de e-mail e notícias.
- Deposita um arquivo %ComputerName%.bat , o qual executa o worm e um arquivo de configuração aleatório pra armazenar os dados locais específicos do computador.
Nota: %ComputerName% é uma variável que representa o nome do computador infectado.
- Adiciona o valor:
- "CacheBox Outfit"="yes"
- "ZipName"=""
- "Email Address"=""
- "Server"=""
- "Mirc Install Folder"=""
- "Installed"="...by Begbie"
- "Install Item"=""
- "Unfile"=""
à chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\*
onde * é um conjunto aleatório de letras.
- Adiciona o valor nomeado aleatoriamente a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para que o worm seja executado quando o Windows for iniciado.
- Modifica as seguintes chaves do registro:
- HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
- HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
as quais associa o worm a cada um destes tipos de arquivos.
- Modifica o valor:
"DisableRegistryTools" = "1"
na chave de registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
para evitar que o usuário execute o Regedit no computador.
- Periodicamente apresenta ao usuário esta falsa tela de erro de exceção do MAPI32:
solicitando que os mesmos insiram detalhes de sua conta de e-mail, incluindo o seguinte:
- Endereço de e-mail
- Nome do usuário
- Senha
- Servidor POP3
- Servidor SMTP
- Usando o nome do usuário e senha fornecidos, o worm irá fazer o login no servidor POP3 e verificar os e-mails do usuário. Se o worm encontrar uma mensagem enviada pelo worm, esta será excluída. O worm somente irá exlcuir mensagens que foram enviadas do computador infectado atualmente.
- Intercepta a execução de qualquer processo listado na etapa 2 acima, evitando que os mesos sejam carregados e apresentando ao usuário a seguinte mensagem de erro falsa:
- Envia uma requisição HTTP Get a um servidor HTTP pré-definido para obter informações de contagem quando o worm foi executado pela primeira vez. Então, o qorm pode exibir a seguinte informação de contador:
Por exemplo:
- Tenta criar um ou mais cópias comprimidas de si mesmo usando o utilitário de compressão Winzip e então o utilitário de compressão Winrar.
O worm propaga-se através de e-mail, KaZaA, IRC, unidades mapeadas e grupos de trabalho. As seguintes seções discutem como cada um destes métodos de trasminssão podem ocorrer.
Transmissão através de e-mail
O W32.Swen.A@mm envia uma cópia de si mesmo para os endereços encontrados no sistema através de diversos métodos. O worm pode variar a mensagem enviada, bem como os nomes dos anexos. O worm pode também explorar a vulnerabilidade MIME Header exploit, mencionada no Microsoft Security Bulletin MS01-020 (em inglês) para garantir que o mesmo será automaticamente executado quando o e-mail for visualizado.
Uma das mensagens, mostrada abaixo, finge ser uma mensagem crítica da Microsoft, sugerindo aos usuários que atualizem seus sistemas usando o arquivo anexo.
O nome do anexo é criado da forma abaixo:
- Selecionando um dos nomes a seguir:
- Patch
- Upgrade
- Update
- Installer
- Install
- Pack
- Q
- Seguido de uma série de números aleatórios.
- E a extensão do arquivo pode ser .exe or .zip.
O worm também pode parecer-se com avisos de falha na entrega de e-mails, anexando a eles um arquivo executável de nome aleatório.
Um exemplo é:
I'm sorry I wasn't able to deliver your message to one or more destinations.
Transmissão através do KaZaA
Ao tentar propagar-se pelo KaZaA, o W32.Swen.A@mm executa as seguintes ações:
- Grava uma cópia de si mesmo sob um arquivo .zip ou .rar em um subdiretório nomeado aleatoriamente na pasta %Temp% do computador.
Nota: %Temp% é uma variável. O worm localiza a pasta de arquivos temporários do Windows e cria uma cópia de si mesmo para este local.
- Adiciona o valor:
"Dir99"= "012345:"
"DisableSharing"="0"
a chave de registro:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
o que adiciona esta pasta à lista de pastas compartilhadas pelo KaZaA.
Nota: é uma pasta criada na pasta %Temp% na etapa 1 acima.
- Alguns dos possíveis nomes de arquivos incluem:
- Virus Generator
- Magic Mushrooms Growing
- Cooking with Cannabis
- Hallucinogenic Screensaver
- My naked sister
- XXX Pictures
- Sick Joke
- XXX Video
- XP update
- Emulator PS2
- XboX Emulator
- Sex
- HardPorn
- Jenna Jameson
- 10.000 Serials
- Hotmail hacker
- Yahoo hacker
- AOL hacker
- fixtool
- cleaner
- removal tool
- remover
- Klez
- Sobig
- Sircam
- Gibe
- Yaha
- Bugbear
- installer
- upload
- warez
- hacked
- hack
- key generator
- Windows Media Player
- GetRight FTP
- Download Accelerator
- Mirc
- Winamp
- WinZip
- WinRar
- KaZaA
- KaZaA media desktop
- Kazaa Lite
Transmissão através do IRC
Ao tentar propagar-se através do IRC, o W32.Swen.A@mm executa as seguintes ações:
- Procura pela pasta \Mirc.
- Cria um arquivo Script.ini nessa pasta, que será usado pelo worm para enviar arquivos .zip, .rar ou .exe de si mesmo para outros usuários do mIRC, os quais estão conectados ao mesmo canal que o computador infectado.
Transmissão através de unidades mapeadas
Ao tentar propagar-se através de unidades mapeadas, o W32.Swen.A@mm tenta acessar os seguintes locais:
- \Win98\Start menu\Programs\Startup
- \Win95\Start menu\Programs\Startup
- \WinMe\Start menu\Programs\Startup
- \Windows\Start menu\Programs\Startup
- \Documents and Settings\All Users\Start menu\Programs\Startup
- \Documents and Settings\Administrator\Start menu\Programs\Startup
- \Documents and Settings\Default User\Start menu\Programs\Startup
- \Winnt\Profiles\All Users\Start menu\Programs\Startup
- \Winnt\Profiles\Administrator\Start menu\Programs\Startup
- \Winnt\Profiles\Default User\Start menu\Programs\Startup
Transmissão através de grupos de notícias
O worm faz uma leitura do registro para localizar endereços de servidores de grupos de notícias, e tenta contatá-los. Caso nenhum grupo de notícias esteja configurado no sistema, o work irá selecionar um deles aleatoriamente a partir de uma lista pré-definida. O worm fará o download dos grupos disponíveis e postar mensagens a grupos selecionados aleatoriamente. As mensagens postadas são geradas de acordo com uma rotina utilizada para envio de e-mail.
O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:
- Desative e exclua os serviços de que não precisa. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que nem todos utilizam, como clientes FTP, telnet e servidores Web. Só que esses serviços são verdadeiras vias de ataque. Se removidos, além de menos vias de ataque, você terá menos serviços e, assim, menos atualizações de correções com que se preocupar.
- Se uma ameaça diversificada atingir serviços de rede, desative-os ou bloqueie acesso a eles até poder aplicar uma correção.
- Mantenha seus níveis de correção sempre atualizados, especialmente no caso de computadores que abrigam serviços públicos e são acessíveis através do firewall, como os de HTTP, FTP, correio e DNS.
- Adote uma senha. As senhas compostas dificultam a quebra dos arquivos de senha dos computadores afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.
- Configure seu servidor para bloquear ou remover e-mail que tenha arquivos anexados com extensões comumente usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.
- Isole rapidamente os computadores infectados, a fim de evitar um ainda maior comprometimento de sua empresa. Faça uma análise posterior e restaure o computador usando meios confiáveis.
- Treine os funcionários a não abrir os anexos não esperados. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode promover infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.
Remoção usando a Ferramenta de Remoção
do W32.Swen.A@mm
O Symantec Security Response criou uma ferramenta
para remover o W32.Swen.A@mm. Esta é a maneira mais fácil
de se remover esta ameaça.
Remoção manual
Estas instruções se aplicam a todos os produtos antivírus atuais e aos
mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus
e Norton AntiVirus.
- Desabilite a Restauração do sistema (Windows Me/XP).
- Atualize as definições de vírus.
- Siga as instruções referentes ao seu sistema operacional:
- Windows 95/98/Me: Reinicie o computador no Modo de Segurança.
- Windows NT/2000/XP: Finalize o processo do Cavalo de tróia.
- Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Swen.A@mm.
- Modifique os valores que referem-se ao worm no registro.
Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.
1. Para desabilitar a Restauração do sistema (Windows Me/XP)
Usuários do Windows Me e do Windows XP devem desligar, temporariamente, a Restauração do Sistema. Esta característica, habilitada por padrão, é usada pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que esses arquivos sejam restaurados pela Restauração do Sistema.
Por padrão, o Windows previne que a Restauração do Sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, restaure um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desligar a Restauração do Sistema, leia a documentação do Windows ou um dos seguintes artigos:
Para informações adicionais e como alternativa a desabilitar a Restauração do Sistema, veja na Microsoft Knowledge Base o artigo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID do Artigo: Q263455. (Este recurso encontra-se em inglês).
2. Para atualizar as definições de vírus
O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:
- Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.
- Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.
Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.
3. Para reiniciar o computador em Modo de segurança ou finalizar o processo do Cavalo de tróia
Windows 95/98/Me
Reinicie o computador em Modo de segurança. Todos os sistemas operacionais de 32 bits, exceto o Windows NT, podem ser reiniciados em Modo de segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o Windows 95/98/Me no Modo de Segurança.
Windows NT/2000/XP
Para finalizar o processo do Cavalo de tróia:
- Pressione as teclas Ctrl+Alt+Delete uma vez.
- Clique em Gerenciador de Tarefas.
- Clique na guia Processos.
- Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
- Role a lista e procure pelo nome aleatório de arquivo criado pelo worm.
- Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
- Saia do Gerenciador de Tarefas.
5. Para executar uma verificação completa no sistema
- Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
- Execute uma verificação completa do sistema.
- Se houver arquivos detectados como infectados com W32.Swen.A@mm, clique em Excluir.
6. Para remover o valor do registro
AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
- Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
- Digite:
notepad
e clique em OK (o Notepad abrirá um arquivo texto).
- Digite, ou copie e cole, o seguinte texto no arquivo:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[-HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
@="\"%1\" %*"
Nota:
@="\"%1\" %*" é uma lista dos seguintes caracteres:
arroba-igual-aspas-barra invertida-aspas-porcentagem-número um-barra invertida-aspas-espaço-porcentagem-asterisco-aspas
- Salve o arquivo como:
repair.reg
no diretório raiz (geralmente C:\).
- Clique em Iniciar e em Executar:
- Digite:
regedit -s \repair.reg
e clique em OK.
- Clique em Iniciar e em Executar.
- Digite regedit
e clique em OK. (O Editor do Registro será aberto).
- Navegue até a seguinte chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- No painel direito, exclua o valor nomeado aleatoriamente criado pelo worm.
- Saia do Editor do Registro.
Relatório feito por: John Canavan
|
