Daily Archives: 2009/01/10

[Português] Sobre o virus que atacou este fim-de-semana as redes da PT, Brisa, Ministério da Justiça e Polícia Judiciária [English] Worm Win32/Conficker.A/B (using exploit MS08-067), which is able to inject code into remote Windows systems due to a flaw in the RPC server

(Este foi o worm que atacou este fim-de-semana as redes da PT, Brisa, Ministério da Justiça e Polícia Judiciária

Fontes:

http://diariodigital.sapo.pt/news.asp?section_id=18&id_news=367005
http://diariodigital.sapo.pt/dinheiro_digital/news.asp?section_id=3&id_news=110121

http://tek.sapo.pt/noticias/computadores/pj_vitima_de_software_malicioso_907774.html)

The virus Win32/Conficker.A/B is spreading across the world. It benefits from the MS08-067 exploit ro spread across networks. After infection, the worm tries to download aditional files to the infected systems.

It is also know as Crypt.AVL (AVG), Mal/Conficker-A (Sophos), Trojan.Win32.Pakes.lxf (F-Secure), Trojan.Win32.Pakes.lxf (Kaspersky), W32.Downadup (Symantec) and WORM_DOWNAD.A (Trend Micro), depending on the vendors (Yes… There is still a big mess on a standard for virus/worms naming standards)
The worm copies itself using a random generated name like “klkjhyjiuu.exe” do the %Sysdir% folder (normally c:\windows\system32). The worm is also seen on C:\Documents and Setting\NetworkService\Configurações Locais\Temporary Internet Files\Content.IE5 and on users profiles using the same kind of path.

It creates also some registry entries, refering to that random name:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random name}\Parameters\”ServiceDll” = “Path to worm executable file”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random name}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs

The worm injects its code into the “services.exe” process to keep itself memory resident and difficult to cleanup. That process can´t be killed without rebooting the machine, so the worm can´t be stopped running.

After installed his main part (the one using a random name) the worm tries to access several network addresses on the Internet, diffenente accordingly the version (A or B) of the worm. If is a version on or after 1 December 2008:

http://www.getmyip.org
getmyip.co.uk
checkip.dyndns.org
whatsmyipaddress.com

Or on or after 25 November 2008:

ahayw.info
ajcminmqpeu.com
anosb.biz
aqgcurmt.net
bdfbobhuls.com
bjmqxoxbmyq.org
bszeu.info
cfcpreiwtgx.net
cpfgbuwqv.biz
cukpubgb.net
dconkp.com
dpxzsrjhsn.org
dtyqryfi.biz
dviwvh.net
dwmpveim.info
dxnlypjjxp.biz
eaguzulxdr.org
ekrohmqa.info
eoblibwqaig.info
epvzvuah.info
ethogxkt.net
euwqeixq.biz
exxcpxm.net
eyjayqmwxxo.org
ezhvnjlvuk.org
fdzwsak.net
gatkcy.org
gceqy.info
ggcnqnr.info
gkmdbporqmp.biz
gmtgpb.org
guiahproe.info
gxepchol.net
gztql.net
haqrcz.com
hkqrhqev.com
hndrijmu.org
hvxmlcc.org
idahdfyojhz.com
ipbdwihw.info
iquvtfhm.net
irhtphctgn.com
ivouyvxaf.net
jfvyipo.info
jhhwydtk.com
jjbuafs.info
jptplynb.org
jutsyu.com
kagvjo.com
kfzksydrct.org
khvdkdjnrhr.biz
ktivtbse.net
lbori.com
ltxbrwfosrg.net
mhjhb.com
mtqcpiwod.biz
nsjmewgdb.com
ntshnjyxfh.net
nxphotp.com
ocykqj.biz
oenjrcaly.net
oororgpkbp.com
ozlqvnkiq.net
palrw.org
pmotqmf.com
pvuxb.info
qffszcfgyzn.org
qfoilcqp.com
qjafgfp.net
rfduzjbztg.biz
riuvunis.info
rlbidexd.org
rntbogfz.biz
rtkrhxsp.biz
ruolomicarp.org
rxytvgkapvw.biz
safxg.net
sdxkcnzcvhd.org
shbyxebiec.biz
srsoeggve.org
tbkmloh.net
tezjm.net
tilazlfn.com
tqlxquy.org
trxho.org
uiiwmmgr.com
upyuqxpmlxt.net
vdunf.net
vtewiyny.info
vuahzmvf.biz
vweoof.org
wkjhjr.com
xehlydgan.net
xmmzcsqm.biz
xtjejduc.org
xxwoteojg.biz
xytbvkrqhu.info
ybhufq.net
yenhbrt.biz
yfczve.info
ylfamhcgn.net
ylzbgyorfy.org
ysxbkquj.info
ythekdrar.net
yudxsol.org
yzbvrteij.biz
yzpjvpkdtq.biz
zjxuw.org
zpqhr.biz
zuuroktw.biz
zzkjecmf.com

And also, to hxxp://trafficconverter.biz/ that last one to try to download the second part of himself. That site is russian, but the second part of the worm has been removed by someone. It access also http://www.maxmind.com/<censored path>/GeoIP.dat.gz

The worm starts a web http server on some random port on each infected machine on a port 1014 to 10000, to serve a copy to be propagated on the network of himself (his first part). After infection, the worm scans the local subnet of the infected machine, deploying the worm on exploit-open computers. For each found, it starts here a download of the worm from the http server of the first machine. Version B seems also been able to create Schedule Tasks and autorun.inf files.

Symptons are users stopping access file servers in the \\server mode, the admin shares not acccessible, new schedule tasks, and event the denied access to some URLs security related (not confirmed, this one)

The virus seems to be able to access writable shares on networked computers that don´t strong passwords and to write himself on removable storage devices in a autorunf.inf:

<Removable Drive Root>\autorun.inf
<Removable Drive Root>\RECYCLER\S-x-x-x-xxx-xxx-xxx-x\<Random Letters>.dll (where x are random digits)

The worm goes to these sites:

http://www.myspace.com
http://www.ebay.com
http://www.msn.com
http://www.cnn.com
http://www.aol.com

for not know reasons. It may also go to http://www.google.com. But that´s has nor been verified.

And will block accesses to URLs with these substrings:

cert.
sans.
bit9.
vet.
avg.
avp.
ca.
nai.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

The virus tries to go the network shares using these weak passwords:

99999999
9999999
999999
99999
9999
999
99
9
88888888
8888888
888888
88888
8888
888
88
8
77777777
7777777
777777
77777
7777
777
77
7
66666666
6666666
666666
66666
6666
666
66
6
55555555
5555555
555555
55555
5555
555
55
5
44444444
4444444
444444
44444
4444
444
44
4
33333333
3333333
333333
33333
3333
333
33
3
22222222
2222222
222222
22222
2222
222
22
2
11111111
1111111
111111
11111
1111
111
11
1
00000000
0000000
00000
0000
000
00
0987654321
987654321
87654321
7654321
654321
54321
4321
321
21
12
fuck
zzzzz
zzzz
zzz
xxxxx
xxxx
xxx
qqqqq
qqqq
qqq
aaaaa
aaaa
aaa
sql
file
web
foo
job
home
work
intranet
controller
killer
games
private
market
coffee
cookie
forever
freedom
student
account
academia
files
windows
monitor
unknown
anything
letitbe
letmein
domain
access
money
campus
explorer
exchange
customer
cluster
nobody
codeword
codename
changeme
desktop
security
secure
public
system
shadow
office
supervisor
superuser
share
super
secret
server
computer
owner
backup
database
lotus
oracle
business
manager
temporary
ihavenopass
nothing
nopassword
nopass
Internet
internet
example
sample
love123
boss123
work123
home123
mypc123
temp123
test123
qwe123
abc123
pw123
root123
pass123
pass12
pass1
admin123
admin12
admin1
password123
password12
password1
default
foobar
foofoo
temptemp
temp
testtest
test
rootroot
root
adminadmin
mypassword
mypass
pass
Login
login
Password
password
passwd
zxcvbn
zxcvb
zxccxz
zxcxz
qazwsxedc
qazwsx
q1w2e3
qweasdzxc
asdfgh
asdzxc
asddsa
asdsa
qweasd
qwerty
qweewq
qwewq
nimda
administrator
Admin
admin
a1b2c3
1q2w3e
1234qwer
1234abcd
123asd
123qwe
123abc
123321
12321
123123
1234567890
123456789
12345678
1234567
123456
12345
1234
123

The worm is very active in the US, Germany, Spain, France, Italy, Taiwan, Japan, Brazil, Portugal, Turkey, China, Mexico, Canada, Argentina and Chile. Curiosly, in Ukrania the worm seems unable to be used, that could lead to the origin of the malware writer…

MS bulletin:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
The command line fot the patch:
Windowsxp-kb958644-x86-enu /quiet

To-Dos

1. Block in the Firewall the TCP/IP address of the URLs

2. Block in the Web Filter (Websense, Surfcontrol, etc) the same URLs as in 1

3. Patch all computers on the network

4. Scan the network for “Server” service in stopped state: that may indicate an infected machine. To that via a
4.1. SCCM query/collection:

select SMS_R_System.ResourceId, SMS_R_System.ResourceType, SMS_R_System.Name, SMS_R_System.SMSUniqueIdentifier, SMS_R_System.ResourceDomainORWorkgroup, SMS_R_System.Client from  SMS_R_System inner join SMS_G_System_SERVICE on SMS_G_System_SERVICE.ResourceID = SMS_R_System.ResourceId where SMS_G_System_SERVICE.DisplayName = “Server” and SMS_G_System_SERVICE.Started = 0

(not sure if it´s working… it should, but…)

4.2. Via a logon script:

Set objWMIService = GetObject( “winmgmts://./root/cimv2” )
Set colServices = objWMIService.ExecQuery (“SELECT * FROM Win32_Service”)

For Each objService in colServices

If objservice.DisplayName = “Network Associates McShield” AND objservice.State = “Stopped” Then
parados = parados & “_Network Associates McShield”
End If

If objservice.DisplayName = “Server” AND objservice.State = “Stopped” Then
parados = parados & “Server: Possivel incidente Exploit MS08-067”
msgbox “Contacte o IT. Server: ” & objservice.State
End If
If objservice.DisplayName = “Computer Browser” AND objservice.State = “Stopped” Then
parados = parados & “CB: Possivel incidente Exploit MS08-067”
msgbox “Contacte o IT. CB: ” & objservice.State
End If

Next

5. Create a VBS file to be run as a startup logon script with:

Dim shShell, bKey, compname
Set shShell = WScript.CreateObject(“WScript.Shell”)

shShell.Run “runas /user:net\install ” & chr(34) & “\\server\share\Windowsxp-kb958644-x86-enu /quiet” & chr(34)
WScript.Sleep 900
shShell.SendKeys “password”
shShell.SendKeys “{ENTER}”

protected it using Windows Script Encoder (very weak protection!!!) or with PrimalScript. Deploy it also via SCCM/SMS (the VBS to update the XPs)

6. Make a VBS to scan all computers in a OU (and subOUs) of a domain:

DIM cn,cmd,rs
DIM objRoot
DIM strRoot, strFilter, strScope
set WshShell = CreateObject(“WScript.Shell”)

‘ *******************************************************************
‘ * Setup
‘ *******************************************************************
‘ Specify OU of computers you want to shutdown
strRoot = “ou=OU2,OU=OU1,dc=net,dc=net”
‘ Default filter for computer objects
‘ You might want to use a different filter.  By operating system for example:
‘ (&(objectCategory=Computer)(operatingSystem=Windows XP*))
strFilter = “(objectCategory=Computer)”
‘ Search child organizational units.  Use “onelevel” to search only the specified OU.
strScope = “subtree”

‘ *******************************************************************

set cmd = createobject(“ADODB.Command”)
set cn = createobject(“ADODB.Connection”)
set rs = createobject(“ADODB.Recordset”)

cn.open “Provider=ADsDSOObject;”
cmd.activeconnection = cn

cmd.commandtext = “<LDAP://” & strRoot & “>;” & strFilter & “;” & _
“name;” & strScope
‘**** Bypass 1000 record limitation ****
cmd.properties(“page size”)=1000

set rs = cmd.execute

while rs.eof <> true and rs.bof <> true
msg = “Scan32 ao ” & rs(“name”)

Result = WshShell.Popup(msg, 3, “Scan32Computers”, 65)
‘wscript.echo “Scanning ao ” & rs(“name”) & “…”
ScanComputer(rs(“name”))

rs.movenext
wend

cn.close

‘ Subroutine to Scan a computer
private sub ScanComputer(byval strComputer)
dim strScan,objShell

strScan = “C:\Progra~1\Networ~1\VirusScan\scan32.exe \\” & strComputer & “\c$ PRIORITY=1 /ALLOLE /MOVE /ALWAYSEXIT /AUTOEXIT /APPLYNVP /CONTINUE /CONTINUE2 /CONTINUEA /CONTINUEA2 /LOGSUMMARY /NOESTIMATE /LOG c:\” & strComputer & “_Scan32.log”

set objShell = CreateObject(“WScript.Shell”)

objShell.Run strScan, 0, false

end sub


Fonts:
http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=75911
http://vil.nai.com/vil/content/v_153464.htm
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://www.sophos.com/security/analyses/viruses-and-spyware/malconfickera.html
http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx
http://news.softpedia.com/news/Vulnerable-Windows-Machines-Sitting-Ducks-for-the-Conficker-Worm-98832.shtml
http://www.napera.com/blog/?p=186

Categories: Informática | Etiquetas: , , , | 1 Comentário

O que vai acontecer ao preço do barril de petróleo em 2009?

Talvez se recordem ainda do tempo, algures em 2008, em que o preço do barril de petróleo estava a 147 dólares. Agora, o mesmo encontra-se no valor mais baixo dos últimos quatro anos. A grande questão, que vale literalmente triliões de dólares está em saber… Se a coisa é para ficar assim durante muito tempo e o que se vai passar nos próximos anos. Nos últimos anos, antes de meados de 2008, os preços estavam a ser inflacionados por dois factores: a entrada massiva de especuladores que buscavam refúgio no mercado das commodities e o aumento de consumo nas potencias emergentes (China, sobretudo). Com a saída dos especuladores e a aparição dos primeiros sinais de recessão na China, as condições que sustentavam a anómala subida dos preços deixaram de existir e os preços regressaram aos valores reais, ou seja, bem de 50 dólares. Por seu lado, os EUA – já em plena recessão – reduziram o seu consumo num milhão de barris por dia, nos últimos meses de 2008 e deverão continuar a reduzir ainda mais até pelo meados de 2009.

A OPEP tenta controlar os preços do lado da Oferta, reduzindo a produção, mas sem conseguir grandes resultados, especialmente porque a Rússia, o segundo maior exportador mundial, não faz parte da organização. Outra causa reside na desvalorização do valor da moeda norte-americana. Em 2009, o dólar deverá cair ainda mais, com o aumento de emissões monetárias por parte do Fed. O efeito do “pacote de estímulos” desenhado por Obama poderá reverter a queda, se for bem sucedido. E tem que ser logo nos primeiros meses de 2009, caso em que o maior exportador para os EUA, a China entrará seguramente em recessão. Se assim, há quem preveja que os preços do petróleo descerão até aos 25 dólares por barril… Recentemente, o governador do banco de Inglaterra, Mervyn King avisou que o Reino Unido poderia conhecer a deflação em 2009 e se assim for não será certamente o único país europeu nessa situação, a qual será mais um factor a arrastar para baixo o preço do petróleo. Em suma: os preços altos não para já… Talvez para 2017, quando a produção russa passar claramente o pico da sua produção… Veremos! Até lá e neste contexto económico é muito duvidoso que vejamos os preços de petróleo subirem acima dos 80/90 dólares.

Fonte:
http://www.telegraph.co.uk/finance/financetopics/oilprices/4014817/Will-oil-prices-recover-after-tanking-in-2008.html

Categories: Economia | Etiquetas: | 14 comentários

Site no WordPress.com.

Eleitores de Portugal (Associação Cívica)

Associação dedicada à divulgação e promoção da participação eleitoral e política dos cidadãos

Vizinhos em Lisboa

A Vizinhos em Lisboa tem em vista a representação e defesa dos interesses dos moradores residentes nas áreas, freguesias, bairros do concelho de Lisboa nas áreas de planeamento, urbanismo, valorização do património edificado, mobilidade, equipamentos, bem-estar, educação, defesa do património, ambiente e qualidade de vida.

Vizinhos do Areeiro

Núcleo do Areeiro da associação Vizinhos em Lisboa: Movimento de Vizinhos de causas locais e cidadania activa

Vizinhos do Bairro de São Miguel

Movimento informal, inorgânico e não-partidário (nem autárquico independente) de Vizinhos

TRAVÃO ao Alojamento Local

O Alojamento Local, o Uniplaces e a Gentrificação de Lisboa e Porto estão a destruir as cidades

Não aos Serviços de Valor Acrescentado nas Facturas de Comunicações !

Movimento informal de cidadãos contra os abusos dos SVA em facturas de operadores de comunicações

Vizinhos de Alvalade

Movimento informal, inorgânico e não-partidário (nem autárquico independente) de Vizinhos de Alvalade

anExplica

aprender e aprendendo

Subscrição Pública

Plataforma independente de participação cívica

Rede Vida

Just another WordPress.com weblog

Vizinhos do Areeiro

Movimento informal, inorgânico e não-partidário (nem autárquico independente) de Vizinhos do Areeiro

MDP: Movimento pela Democratização dos Partidos Políticos

Movimento apartidário e transpartidário de reforma da democracia interna nos partidos políticos portugueses

Operadores Marítimo-Turísticos de Cascais

Actividade dos Operadores Marítimo Turísticos de Cascais

MaisLisboa

Núcleo MaisDemocracia.org na Área Metropolitana de Lisboa

THE UNIVERSAL LANGUAGE UNITES AND CREATES EQUALITY

A new world with universal laws to own and to govern all with a universal language, a common civilsation and e-democratic culture.

looking beyond borders

foreign policy and global economy

O Futuro é a Liberdade

Discussões sobre Software Livre e Sociedade