29 de abr. de 2009
Virus Conficker
Vírus do dia da mentira, o Conficker começou a atacar PCs
fonte: baixebrO vírus Conficker, que supostamente começaria a atacar no dia 1º de abril, está lentamente sendo ativado nas máquinas em que se instalou, alertaram especialistas em segurança nesta sexta-feira (24/04).
Também conhecida como Downadup ou Kido, essa praga está aos poucos transformando os computadores de um número desconhecido de pessoas em emissores de spams.
O Conficker começou a se disseminar no ano passado, infectando milhões de computadores e criando uma rede de máquinas “zumbis”, que respondem a comandos enviados por um servidor remoto que efetivamente controla um exército de PCs apelidado de botnet.
Os desconhecidos criadores da praga começaram a usar essas máquinas “zumbis” nas últimas semanas para fins criminosos, instalando mais programas maliciosos em uma pequena porcentagem dos computadores que controlam, de acordo com Vincent Weafer, vice-presidente da Symantec Security Response, unidade de pesquisa da Symantec, maior fabricante de software de segurança do mundo.
O vírus instala uma segunda praga, chamada de Waledac, que envia spams sem o usuário do computador estar ciente da atividade. Esses spams oferecem falsos antivírus.
O Waledac recruta o PC para uma outra botnet que existe há vários e é especializada em distribuir spam.
Além disso, o Conficker faz uso de um terceiro vírus, que avisa os usuários de que seus computadores estão infectados e também lhes oferece um falso anti-spyware, o Spyware Protect 2009, por 49,95 dólares, segundo a analista de segurança russa Kaspersky. Quando o usuário compra o programa, a informação do cartão de crédito que ele utilizou é furtada e ainda mais pragas são instaladas na máquina.
De acordo com Weafer, embora o número de PCs infectados que já começaram a trabalhar para a botnet seja pequeno, é muito provável que inúmeros ataques aconteçam daqui para a frente, com outros tipos de vírus distribuídos pelos mesmos criadores do Conficker.
14 de abr. de 2009
Centreon
Monitoramento de Rede - Centreon
13 08 2008Está precisando usar uma ferramenta de monitoramento de rede, mas não sabe qual usar ?
Essa pergunta é realmente complicada, mas vou tentar dar uma ajuda.
Recentemente, recebi um pedido do gerente do meu setor para que encontrasse uma ferramenta que:
- Gerasse relatórios como o Nagios
- Monitorasse ativos de rede como o CACTI
- Recebesse TRAPS SNMP.
Olhando assim parece ser bem difícil de encontrar, e realmente foi. Passei uns dois dias pesquisando e me deparei com uma ferramenta criada por franceses que é uma interface para o nagios. Opa ! Interface para o Nagios? Como assim ? E todo o resto ?
Ai é onde está a notícia boa, essa ferramenta se integra ao nagios, faz monitoramento dos ativos de rede e de brinde ainda recebe TRAPS SNMP. Lindo !
Bem, ainda estou aprendendo a usar a ferramenta, o manual em inglês é imcompleto, porém o que foi escrito em francês está bem completo.
Inicialmente apanhei para instalar, porém, quando li o manual no site tinha lá o passo a passo para instalar no Debian Etch.
Mas qual o nome desta bendita solução ?
Centreon: Uma solução Open Source quem tem como núcleo o Nagios que ajuda na tarefa de monitoramento dos ativos de rede. Com ela é possível monitorar, gerenciar, gerar gráficos de disponibilidade e serviços, receber traps snmp e avisar quando algum problema é detectado. É uma solução muito importante para gerenciar a rede e manter a disponibilidade do serviço, garantindo assim a qualidade do serviço prestado.
Para melhores informações visite o site
5 de abr. de 2009
Wallpapers de qualidade
E tem milhões....porque afinal na nossa profissão é necessário um wallpaper bala, combina com um bom monitor LCD não é ?
http://www.desktopmachine.com/
3 de abr. de 2009
O novo dragão enviado pelo oriente...Tony Jaa
Se voce gosta de artes marciais como eu não pode perder os filmes desse lutador fantástico !!
Como diz um amigo meu... "o cara é muito Uruk-hai" !
Veja a biografia do lutador
http://pt.wikipedia.org/wiki/Tony_Jaa
E os filmes que ele fez.... me impressionei, achei que ele tinha só uns 3 filmes....nós é que não sabiamos o sucesso que ele ja fazia no oriente.
Também com aquelas joelhadas e cotoveladas impressionantes que ele dá !
http://www.tonyjaa.org/filmography.shtml
2 de abr. de 2009
conficker
O worm Conficker, também conhecido como Downadup, surgiu em novembro de2008. Entretanto, somente nas últimas semanas ganhou a atenção da mídiadevido à proximidade de 1 de abril, uma data que desencadeia certasatividades do worm.
Casos de worms que tem uma data como gatilho são muitos, mesmo quehistoricamente poucos deles tenham efetivamente causado algum efeitonotável. Há muitos worms que causam mais danos, mas os worms com datasrelacionadas tem um apelo especial com na mídia.
É bom lembrar que a data 1 de abril é também o Dia da Mentira, data quenão é comemorada apenas no Brasil. Todos os anos surgem diversas notícias,histórias, produtos e serviços fictícios divulgados na Internet,especialmente relacionados com tecnologia.
O principal objetivo deste alerta é enfatizar as características técnicasdeste worm, não deixando dúvidas sobre o que realmente pode acontecer em 1de abril. Outro objetivo deste alerta é enfatizar a importância de boaspráticas de segurança e tratamento de incidentes. Não há razão para pânicose a rede está livre deste e de outros vírus.
A seguir apresentamos um breve resumo da atividade do worm Conficker nobackbone RNP. O único fato no momento é que este worm tem se propagado comsucesso. Na sequência apresentamos um resumo de perguntas e respostasfrequentes sobre o worm que esclarecem a relação com 1 de abril. Por fim,separamos uma seleção de referências essenciais sobre este worm, incluindoferramentas de remoção recomendadas.
PROPAGAÇÃO DO CONFICKER NA RNPPERGUNTAS E RESPOSTAS MAIS FREQUENTESMAIS INFORMAÇÕES
PROPAGAÇÃO DO CONFICKER NA RNP
Dentro da rede da RNP, o CAIS identificou neste ano níveis alarmantes deinfecção em consequência da ação do worm Conficker.
Somente em Janeiro e Fevereiro de 2009 o CAIS já enviou 20.451notificações reportando problemas em sistemas que utilizam a rede da RNP,o que corresponde a quase 57% do total de incidentes notificados em 2008,35.939 incidentes. Destes 20.451 incidentes, cerca de 70% correspondem àinfecções pelo vírus Conficker na rede Ipê.
PERGUNTAS E RESPOSTAS MAIS FREQUENTES
Para responder de maneira mais objetiva possível as perguntas maisfrequentes sobre este worm e sobre a data 1 de abril traduzimos osprincipais trechos de um post de 26 de março do blog "F-Secure Weblog".Agradecemos a Mikko H. Hypponen, Chief Research Officer da F-Secure, porautorizar a tradução.
P: Ouvi falar que alguma coisa realmente ruim vai acontecer na Internetem 1 de abril! Realmente vai?R: Não, na verdade não. O Conficker vai mudar um pouco seu comportamento,mas é improvável que ele cause qualquer efeito visível no dia 1 de abril.
P: Então o que este worm fará em 1 de abril?R: Até o momento o Conficker tem consultado 250 domínios diferentestodos os dias para realizar o download e executar um programa deatualização. Em 1 de abril a última versão de Conficker vai começar aconsultar 500 domínios de um conjunto de 50 mil domínios por dia paraexecutar as mesmas operações.
P: Como assim, última versão do Conficker? Há versões diferentes?R: Sim, e a última versão não é a mais comum. A maioria das máquinasinfectadas foi infectada pela variante B, que se disseminou noinício de janeiro. Com a variante B nada acontece em 1 de abril.
P: Acabei de verificar e constatei que minha máquina Windows estálimpa. Alguma coisa vai acontecer em 1 de abril?R: Não.
P: Uso Mac, alguma coisa vai acontecer em meu computador?R: Não.
P: Então isto significa que os atacantes podem usar este canal de downloadpara executar qualquer programa em todas as máquinas?R: Sim, em todas as maquinas que estejam infectadas com a últimaversão do worm.
P: E sobre esta funcionalidade peer-to-peer (P2P) de que ouvi falar?R: O worm tem alguma funcionalidade peer-to-peer (P2P), o que significaque computadores infectados podem se comunicar entre si sem a necessidadede um servidor. Isto permite que o worm atualize a si mesmo sem anecessidade de utilizar nenhum dos 250 ou 50 mil domínios.
P: Mas isto não significa que, se os atacantes quiserem executaralguma coisa nestas máquinas, eles não precisam esperar por 1 deabril?R: Sim! Esta é outra razão pela qual é improvável que qualquer coisasignificativa aconteça em 1 de abril.
P: A mídia irá exagerar sobre este worm?R: Sim, certamente vai. Sempre há "hype" quando um worm que se espalha muitotem uma data como gatilho de propagação. Pense em casos como Michelangelo(1992), CIH (1999), Sobig (2003), Mydoom (2004) e Blackworm (2006).
P: Mas nestes casos nada demais aconteceu mesmo que todos estivessemesperando que alguma acontecesse!R: Exatamente.
P: Então devo manter meu PC desligado em 1 de abril?R: Não. Você deve ter certeza de que ele esteja limpo antes de 1 deabril.
P: Eu posso mudar a data na minha máquina para me proteger?R: Não. O worm usa o horário local do seu computador para certaspartes da funcionalidade de atualização, mas não utilizaexclusivamente esta fonte de horário.
P: Estou confuso. Como você pode saber de antemão que acontecerá umataque global de vírus em 1 de abril? Deve haver uma conspiração nisso!R: Sim, você está confuso. Não acontecerá um ataque global de vírus. Asmáquinas que já estão infectadas podem fazer algo de novo em 1 de abril.A F-Secure sabe disto porque realizou a engenharia reversa do códigodo worm e pode ver que é isto que ele foi programado para fazer.
P: O programa copiado seria executado com privilégios deadministrador?R: Sim, com os direitos de administrador local, o que não é nada bom.
P: E eles podem realizar download daquele programa não apenas em 1 deabril mas também em qualquer dia depois disso?R: Correto. Desta forma, não há razão pela qual eles não possam fazeristo, digamos, em 5 de abril em vez de 1 de abril.
P: OK, eles podem executar qualquer programa. Para fazer o que?R: A F-Secure não sabe o que eles estão planejando fazer, ou se estãoplanejando alguma coisa. É claro que eles podem roubar seus dados,enviar spam, realizar ataques DDoS (Distributed Denial of Service), etc.Mas a F-Secure não sabe.
P: Eles? Quem são eles? Quem está por trás deste worm?R: A F-Secure não sabe nada sobre isto também. Mas eles parecem serbem profissionais no que eles fazem.
P: Profissionais? É verdade que o Conficker está usando o algoritmo dehash MD6?R: Sim. Este foi um dos primeiros casos reais de aplicação deste novoalgoritmo.
P: Por que vocês não podem simplesmente infectar um PC, alterar a datapara 1 de abril e ver o que acontece?R: Não é assim que o worm funciona. O worm se conecta a certos websites paraobter o dia e horário.
P: Verdade? Então apenas desative os websites de onde ele obtém o diae horário e o problema vai embora!R: Não é possível. São websites como google.com, yahoo.com e facebook.com.
P: Mas a F-Secure poderia com certeza forjar google.com em umlaboratório para fazer com que uma maquina infectada conecte-se a umsite de download hoje!R: Com certeza. E não há nada para ser copiado dos sites dedownload hoje. Pode ser que haja alguma coisa em 1 de abril, pode serque não haja coisa alguma.
P: Agora estou preocupado. Como sei se estou infectado?R: Visite http://www.f-secure.com, por exemplo. Se você não consegue abrir osite então seu computador pode estar infectado com Downadup/Conficker. Esteworm bloqueia o acesso a websites de fornecedores de produtos de segurança.
P: De onde vem o nome "Conficker"?R: Conficker é uma variação do nome "trafficconverter", umwebsite no qual a primeira variante do worm se conectava.
P: Por que o worm tem dois nomes, Downadup and Conficker?R: Ele foi encontrado quase simultaneamente por várias empresas desegurança, esta é a razão da existência de mais de um nome para o mesmoworm. Hoje a maioria das empresas usa o nome Conficker. Há ainda umaconfusão sobre as letras de variantes do worm.
P. Quantos computadores estão atualmente infectados por Downadup/Conficker?R: Aproximadamente 1-2 milhões de acordo com a F-Secure. A empresa não temum número exato, deste conjunto de 1-2 milhões, de máquinas que estejaminfectadas pela última versão do worm.
P: Como a indústria está reagindo a tudo isto?R: A indústria reagiu formando o "Conficker Working Group". Osmembros deste grupo incluem fornecedores de produtos de segurança,órgãos de domínio (registrars), pesquisadores e outros.
P: Gostaria de mais detalhes técnicos sobre o worm.R: Na seção "Mais informações" você pode encontrar a descrição do worm. Hátambém um artigo excelente da SRI International, listado na mesma seção.
P: Quando foi descoberta a primeira variante de Downadup/Conficker?R: Foi descoberto em 20 de novembro de 2008.
P: Foi descoberto há mais de 4 meses atrás? Gostaria de uma linha dotempo que mostre os eventos relacionados ao Conficker no decorrer do tempo.R: Byron Acohido tem uma linha do tempo em seu blog, The Last Watchdog. Opost está listado na seção "Mais informações".
P: Existe uma ferramenta de remoção disponível?R: Há diversas ferramentas de remoção disponíveis. O CAIS recomenda asferramentas da F-Secure, Kaspersky e McAfee, relacionadas na seção "Maisinformações".
MAIS INFORMAÇÕES
. Conficker Working Group http://www.confickerworkinggroup.org/wiki/
. Questions and Answers: Conficker and April 1st (F-Secure Weblog) http://www.f-secure.com/weblog/archives/00001636.html
. SANS ISC Handler's Diary 2009-03-29: April 1st - What Will Really Happen? http://isc.sans.org/diary.html?storyid=6091
. An Analysis of Conficker C (SRI International) http://mtc.sri.com/Conficker/addendumC/index.html
. Descrição: Worm:W32/Downadup.DY (F-Secure) http://www.f-secure.com/v-descs/worm_w32_downadup_dy.shtml
. Ferramenta de remoção F-Secure http://support.f-secure.com/enu/home/onlineservices/fsec/fsec.shtml
. Ferramenta de remoção Kaspersky http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip
. Ferramenta de remoção McAfee http://vil.nai.com/vil/stinger/
. SANS ISC Handler's Diary 2009-03-13: Third party information on conficker http://isc.sans.org/diary.html?storyid=5860
. The evolution of an extraordinary globe-spanning worm (Blog The LastWatchdog) http://lastwatchdog.com/evolution-conficker-globe-spanning-worm/
O CAIS recomenda que os administradores mantenham seus sistemas eaplicativos sempre atualizados, de acordo com as últimas versões ecorreções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF:http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANÇA (CAIS) ## Rede Nacional de Ensino e Pesquisa (RNP) ## ## cais@cais.rnp.br http://www.cais.rnp.br ## Tel. 019-37873300 Fax. 019-37873301 ## Chave PGP disponível http://www.rnp.br/cais/cais-pgp.key #################################################################