Aviso de Segurança da Microsoft 912920

Os sistemas que estão infectados com o Win32/Sober.Z@mm podem transferir e executar ficheiros nocivos a partir de determinados domínios Web, com início em 6 de Janeiro de 2006

Data de publicação: 1 de março de 2006

A Microsoft teve conhecimento da existência de uma variante do worm de correio electrónico Sober, com o nome Win32/Sober.Z@mm. O worm tenta induzir os utilizadores, através de esforços de engenharia social, a abrir um ficheiro anexo ou executável numa mensagem de correio electrónico. Se o destinatário abrir o ficheiro anexo ou executável, o worm é enviado automaticamente para todos os contactos contidos na lista de endereços do sistema. Os clientes que utilizam o software anti-vírus mais recente e actualizado correm menos risco de serem infectados pelo worm Win32/Sober.Z@mm.

Nos sistemas que estão infectados pelo Win32/Sober.Z@mm, o software malicioso (malware) está programado para transferir e executar ficheiros nocivos a partir de determinados domínios Web, com início a 6 de Janeiro de 2006. A partir daí, o worm está definido para, aproximadamente de duas em duas semanas, transferir e executar ficheiros nocivos de sites adicionais nos mesmos domínios Web.

Tal como acontece com todas as variantes actualmente conhecidas do worm Sober, o worm não parece visar uma vulnerabilidade de segurança, mas induz antes o utilizador a abrir um anexo infectado.

A Microsoft adicionou capacidades de detecção para as variantes mais recentes do Sober na actualização de Dezembro de 2005 na Ferramenta de Remoção de Software Malicioso e no Windows Live Safety Center.

Os clientes que acham que podem estar infectados com o Sober, ou que não têm a certeza se estão infectados, devem consultar a Safety.live.com e clicar em "Protection Scan" (Análise de protecção) ou executar a versão mais recente da Ferramenta de Remoção de Software Malicioso do Microsoft Update ou do Windows Update, para se certificarem de que os sistemas não estão infectados. Além disso, o Windows OneCare da Microsoft fornece capacidades de detecção e protecção contra o Sober e respectivas variantes conhecidas.

A Microsoft publicará uma versão actualizada da Ferramenta de Remoção de Software Malicioso no dia 10 de Janeiro de 2006, que ajudará na detecção e remoção de ameaças conhecidas de software malicioso (malware), incluindo o Sober e respectivas variantes conhecidas. Consulte o Artigo 891716 da Base de Dados de Conhecimento da Microsoft para obter detalhes adicionais sobre como implementar a Ferramenta de Remoção de Software Malicioso, com as definições mais recentes para ajudar a proteger contra software malicioso (malware).

Consulte a Enciclopédia de Vírus da Microsoft para obter mais informações sobre o Sober, ajuda para determinar se o seu sistema foi infectado pelo worm e instruções sobre como reparar o seu sistema se tiver sido infectado. Consulte a secção “Visão Geral” para referências da Enciclopédia de Vírus da Microsoft. Continuamos a aconselhar os clientes a terem cuidado com ficheiros anexos desconhecidos e a seguirem os nossos conselhos para proteger o computador, activando uma firewall, obtendo actualizações de software e instalando software anti-vírus. Os clientes poderão saber mais sobre estes passos visitando o Web site Proteja o Seu PC .

Factores atenuantes:

  • Os clientes têm de abrir um anexo nocivo de correio electrónico para serem infectados pelo worm.

Informações Gerais

Objectivo do Aviso: Notificação de possível aumento de actividade em 6 de Janeiro de 2006, relacionado com o worm Win32/Sober.Z@mm e disponibilidade de atenuações contra esta potencial ameaça.

Estado do Aviso: Aviso publicado

Recomendação: Verifique as acções sugeridas e faça uma análise para limpar os sistemas possivelmente infectados.

ReferênciasIdentificação
Enciclopédia de Vírus da Microsoft http://www.microsoft.com/security/encyclopedia/details.aspx?Name=Win32/Sober.Z@mm
Ferramenta de Remoção de Software Malicioso Web site Microsoft Update
Windows Live Safety Center http://safety.live.com
Windows OneCare http://beta.windowsonecare.com
Symantec W32.Sober.X@mm
McAfee W32/sober@mm!m681
Trend Micro WORM_SOBER.AG - Descrição e solução
CA Win32.Sober.W

Este aviso abrange o seguinte software.

Software Relacionado
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Versão 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 para Sistemas baseados em Itanium
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 com SP1 para Sistemas baseados em Itanium
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (ME)

Qual é a abrangência deste aviso?
O Sober é um worm que afecta os computadores baseados no Windows e requer que os utilizadores executem um ficheiro anexo nocivo numa mensagem de correio electrónico ou através do clique numa hiperligação que contenha um anexo infectado. Quando o ficheiro anexo for executado, este worm e respectivas variantes tentarão ser enviados automaticamente para todos os contactos na lista de endereços do computador. Os utilizadores podem já estar protegidos contra o Sober e respectivas variantes se tiverem instaladas versões actualizadas do software anti-vírus.

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?
Não. Esta não é uma vulnerabilidade de segurança. Contudo, tendo em conta o aumento de actividade esperado em 6 de Janeiro de 2006 relacionado com esta variante, esta actualização foi publicada para fornecer avisos adicionais para os utilizadores que possam estar infectados devido à execução de uma cópia do worm que tenha sido recebida através de um anexo. Destina-se também a informar sobre as acções que podem ser tomadas atempadamente para remover quaisquer possíveis infecções com o Sober.

O que provoca esta ameaça?
A ameaça é causada pela execução de um ficheiro infectado anexo a uma mensagem de correio electrónico.

Esta questão está relacionada com a questão recente de vulnerabilidade em ficheiros WMF ou com o Aviso de Segurança da Microsoft (912840)?
Não. O worm Win32/Sober.Z@mm não afecta a recente vulnerabilidade em ficheiros WMF, conforme comunicado no Aviso de Segurança da Microsoft (912840).

  • Procurar e remover a infecção Sober.

    Utilize a Ferramenta de Remoção de Software Malicioso, o Safety.live.com ou o Windows OneCare para procurar e remover o worm Sober e respectivas variantes dos sistemas infectados.

  • Verificação de ligações de rede externas para determinados Web sites.
  • Visto que o worm Win32/Sober.Z@mm pode transferir e executar ficheiros nocivos a partir de determinados domínios Web, com início em 6 de Janeiro de 2006, as tentativas de ligação aos seguintes Web sites devem ser verificadas, de modo a encontrar sinais de alojamento de infecções em redes locais.
    Web sites visados
    people.freenet.de
    scifi.pages.at
    home.pages.at
    free.pages.at
    home.arcor.de
  • Proteja o seu PC.

    Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software anti-vírus. Os clientes poderão saber mais sobre estes passos visitando o Web site Proteja o Seu PC .

  • Para obter mais informações sobre como estar seguro na Internet, visite a página inicial de Segurança Microsoft.
  • Cuidado ao abrir anexos:

    Como procedimento de segurança, os utilizadores devem ter sempre muito cuidado ao abrir anexos não solicitados, tanto de fontes conhecidas como desconhecidas.

  • Manter o Windows Actualizado

    Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Web site do Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Outras informações

Recursos:

  • Pode fornecer o seu feedback preenchendo o formulário que encontrará no seguinte Web site.
  • Os clientes nos E.U.A. e no Canadá podem receber suporte técnico através do Suporte Técnico da Microsoft. Para obter mais informações sobre opções de suporte disponíveis, consulte o Web site Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacionais, visite o Web site de Suporte Internacional.
  • O Web Site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • 3 de Janeiro de 2006: Aviso publicado

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: