Home Segurança

Comunicado de Segurança da Microsoft (912920)

Os sistemas infectados com o Win32/Sober.Z@mm podem baixar e executar arquivos mal-intencionados de determinados domínios da Web a partir de 6 de janeiro de 2006

Publicado em: 1 1e março 1e 2006

A Microsoft tomou conhecimento da variante do worm de mailer em massa chamado Win32/Sober.Z@mm. O worm tenta convencer os usuários pelos esforços de engenharia social a abrir um arquivo anexado ou executável no email. Se o destinatário abrir o arquivo ou o executável, o worm enviará ele mesmo a todos os contatos contidos no catálogo de endereços do sistema. Os clientes que estão usando o software antivírus atualizado e mais recente têm um risco menor de ser infectado pelo worm Win32/Sober.Z@mm.

Nos sistemas infectados pelo Win32/Sober.Z@mm, o malware está programado para baixar e executar arquivos mal-intencionados de determinados domínios da Web a partir de 6 de janeiro de 2006. Começando aproximadamente a cada duas semanas depois dessa data, o worm está definido para começar a baixar e a executar arquivos mal-intencionados de sites adicionais no mesmo domínio da Web.

Com todas as variantes conhecidas no momento do worm Sober, o worm não parece atingir uma vulnerabilidade de segurança, mas depende de o usuário abrir um anexo infectado.

A Microsoft adicionou a detecção para as variantes mais recentes do Sober na atualização de dezembro de 2005 para a Ferramenta de Remoção de Software Malicioso e no Windows Live Safety Center.

Os clientes que acreditam estar infectados com o Sober ou que não têm certeza se estão ou não infectados devem visitar o site Safety.live.com e escolher "Protection Scan" (Verificação para Proteção) ou executar a versão mais recente da Ferramenta de Remoção de Software Malicioso a partir do Microsoft Update ou Windows Update para garantir que seus sistemas estejam livres de infecção. Além disso, o Windows OneCare da Microsoft fornece detecção para e proteção contra o Sober e suas variantes conhecidas.

A Microsoft lançará uma versão atualizada da Ferramenta de Remoção de Software Mal-Intencionado em 10 de janeiro de 2006, que auxiliará na detecção e remoção de ameaças de malware conhecidas incluindo o Sober e suas variantes conhecidas. Consulte o artigo 891716 da Base de Conhecimento Microsoft para obter mais detalhes sobre como instalar a Ferramenta de Remoção de Software Mal-Intencionado com as definições mais recentes para se proteger contra o malware.

Para obter mais informações sobre o Sober, para ajudar a determinar se você foi infectado pelo worm e para obter instruções sobre como reparar o sistema se tiver sido infectado, consulte a Microsoft Virus Encyclopedia. Para obter referências da Microsoft Virus Encyclopedia, consulte a seção "Visão Geral". Continuamos a incentivar os clientes a ter cuidado com anexos de arquivos desconhecidos e a seguir nossa orientação de Proteger o PC ao habilitar o firewall, obter atualizações de software e instalar softwares antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu PC.

Fatores atenuantes:

Os clientes devem abrir um anexo de email mal-intencionado para ser infectado pelo worm.

Informações Gerais

Visão geral

Finalidade do comunicado: Notificação do possível aumento da atividade em 6 de janeiro de 2006, relacionada ao worm Win32/Sober.Z@mm e a disponibilidade de atenuações contra essa ameaça em potencial.

Status do comunicado: Comunicado publicado

Recomendação: Analise as ações sugeridas e procure e limpe os sistemas possivelmente infectados.

ReferênciasIdentificação

Microsoft Virus Encyclopedia

http://www.microsoft.com/security/encyclopedia/details.aspx?Name=Win32/Sober.Z@mm

Ferramenta de Remoção de Software Mal-Intencionado

Site de Segurança da Microsoft

Windows Live SafetyCenter

http://safety.live.com

Windows OneCare

http://beta.windowsonecare.com

Symantec

W32.Sober.X@mm

McAfee

W32/sober@mm!m681

Trend Micro

Descrição e solução do WORM_SOBER.AG

CA

Win32.Sober.W

Este comunicado descreve o seguinte software:

Softwares relacionados

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP 64-Bit Edition Versão 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003

Microsoft Windows Server 2003 para sistemas baseados no Itanium

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 com SP1 para sistemas baseados no Itanium

Microsoft Windows Server 2003 x64 Edition

Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (ME)

Início da sessãoInício da sessão

Perguntas mais freqüentes

Qual é o escopo do comunicado?
O Sober é um worm que afeta os computadores com base Windows e exige que os usuários executem um anexo de arquivo mal-intencionado em email ou cliquem em um link que tenha um anexo infectado. Assim que o anexo do arquivo é executado, este worm e suas variantes tentarão enviar eles mesmos a todos os contatos em um catálogo de endereços do computador. Os usuários já podem estar protegidos do Sober e de suas variantes se forem instaladas versões atualizadas do software antivírus.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft?
Não. Isso não é uma vulnerabilidade de segurança. Contudo, considerando o aumento da atividade esperada com relação a esta variante em 6 de janeiro de 2006, essa atualização foi emitida para fornecer aviso adicional aos usuários que podem estar infectados, executando uma cópia do worm recebido por um anexo e fazendo com que eles fiquem cientes das ações que eles podem tomar antecipadamente para remover qualquer infecção possível do Sober.

O que provoca essa ameaça?
A ameaça é causada pela execução de um anexo de arquivo infectado em um email.

Este problema está relacionado ao problema no WMF recente ou ao Comunicado de Segurança da Microsoft (912840)?
Não. O worm Win32/Sober.Z@mm não afeta a vulnerabilidade no WMF recente conforme relatado no Comunicado de Segurança da Microsoft (912840).

Início da sessãoInício da sessão

Ações sugeridas

Verifique e remova a infecção do Sober.

Use a Ferramenta de Remoção de Software Mal Intencionado da Microsoft, Safety.live.com ou Windows OneCare para procurar e remover o worm Sober e suas variantes dos sistemas infectados.

Monitore as conexões de rede de saída para os sites de destino.

Uma vez que o worm Win32/Sober.Z@mm pode baixar e executar arquivos mal-intencionados de determinados domínios da Web a partir de 6 de janeiro de 2006, a tentativa de conexão aos seguintes sites deve ser monitorada quanto aos sinais de um host infectado em redes locais.

Sites de destino

people.freenet.de

scifi.pages.at

home.pages.at

free.pages.at

home.arcor.de

Proteja seu PC.

Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o PC ao habilitar o firewall, obter atualizações de software e instalar software antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu PC.

Para obter mais informações sobre como ficar protegido na Internet, visite a página de Segurança da Microsoft.

Tenha cuidado ao abrir anexos:

Como uma prática recomendada, os usuários devem sempre ter muito cuidado ao abrir anexos não-solicitados de fontes conhecidas e desconhecidas.

Manter o Windows atualizado

Todos os usuários do Windows devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estão protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o site Windows Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se o recurso Atualizações automáticas estiver ativado, as atualizações serão fornecidas quando forem lançadas, mas você precisará instalá-las.

Início da sessãoInício da sessão

Recursos:

Você pode fazer comentários preenchendo o formulário disponível neste site.

Os clientes nos EUA e Canadá podem receber suporte técnico dos Serviços de Suporte ao Produto Microsoft. Para obter mais informações sobre as opções de suporte disponíveis, consulte o site de ajuda e suporte da Microsoft.

Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte internacional a problemas, visite o site de Suporte Internacional.

O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade:

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões: 

3 de janeiro de 2006: Comunicado publicado


Início da páginaInício da página