Site Meter Alerta – Microsoft Active Response for Security (MARS) Operação B68 [Sirefef/ZeroAccess] - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Alerta – Microsoft Active Response for Security (MARS) Operação B68 [Sirefef/ZeroAccess]

Alerta – Microsoft Active Response for Security (MARS) Operação B68 [Sirefef/ZeroAccess]

  • Comments 2
  • Likes

Qual é o objetivo deste alerta? 

Este alerta é para notificá-lo de uma ação que a Unidade de Crimes digitais da Microsoft tem tomado, em cooperação com as autoridades policiais e parceiros do setor para evitar o alastramento da família de malware Sirefef/ ZeroAccess,  como parte do Programa da  Microsoft Active resposta para a Segurança (MARS).

Nós estamos fornecendo esta informação para que os clientes da  Microsoft  possam implantar o acompanhamento adequado e mitigações para detectar as máquinas infectadas dentro de sua empresa e trabalhar para reparar essas máquinas.   

 

Resumo

 A Microsoft, em colaboração com a Europol Central Europeia de Cibercriminalidade  (EC3), o Departamento Federal de Investigação, e os líderes da indústria de tecnologia, trabalharam em conjunto com a coordenação e operação simultânea para evitar o alastramento da família de malware Sirefef/ZeroAccess que especificamente ataca os resultados de pesquisa no Google, Bing e Yahoo. 

A Microsoft estima que estas botnets têm prejudicado mais de dois milhões de pessoas, com alguns dos maiores número de infecções constantes dos EUA, Índia, Itália, Turquia, Reino Unido e Espanha. Sirefef/ZeroAccess é responsável por 2,7 milhões de dólares (USD) por ano em perdas para os indivíduos e empresas em todo o mundo.   

A Microsoft e seus parceiros não esperam para assumir plenamente a Sirefef/ZeroAccess devido ao seu tamanho e complexidade. No entanto, esperamos que esta ação irá significativamente afetar o funcionamento do Sirefef/ZeroAccess, ajudando a  liberar rapidamente os computadores da ameaça. Isso torna mais arriscado e mais dispendioso para os cibercriminosos continuarem a  fazer negócios.   

Porque esta é uma operação para evitar um completo alastramento de todas as "botnets" - e porque muitas vezes um computador infectado com um tipo de malware pode provavelmente  encontrar outras formas de malware já presente - é importante para os computadores infectados a serem limpos tão rapidamente quanto possível para ajudar a evitar problemas futuros.

 

As medidas tomadas para interromper Sirefef/ZeroAccess Malware 

O  malware Sirefef/ZeroAccess usa vários servidores de comando & controles de clique  para a fraude e seqüestro de pesquisa. Como parte desta ação, a Microsoft, juntamente com os nossos parceiros na execução da lei e a indústria têm tomado medidas extraordinárias para interromper esses mecanismos de controle. Estas ações têm evitado que as botnets  sejam usadas para cometer um amplo conjunto de crimes, inclusive seqüestro de pesquisa,  fraudes via cliques, e bloqueando o acesso a sites legítimos.  

Nota: se o proprietário de um computador tenha suspeita que pode ser vítima de Sirefef/ZeroAccess ou outros tipos de malware relacionado com botnets, a Microsoft irá incentivá-los a visitar a página para http://support.microsoft.com/botnets para informações de suporte.

 

As medidas pró-activas que os clientes podem considerar 

Os clientes que desejam identificar e corrigir a ameaça de malware em seu ambiente devem monitorar o tráfego de borda da enterprise para máquinas tentando se comunicar com endereços IP listados aqui:

 

Endereço IP

Provedor de acesso à Internet

País

188.40.114.195

Hetzner Online AG

DE

188.40.114.228

Hetzner Online AG

DE

83.133.120.186

Greatnet New Media

DE

83.133.120.187

Greatnet New Media

DE

83.133.124.191

Greatnet New Media

DE

195.3.145.108

RN dados IEA

LV

178.239.55.170

Netrouting

NL

217.23.3.225

WorldStream

NL

217.23.3.242

WorldStream

NL

217.23.9.247

WorldStream

NL

46.249.59.47

Depois em Drongen Serverius Holding B. v.

NL

46.249.59.48

Depois em Drongen Serverius Holding B. v.

NL

46.19.137.19

Camada privado INC.

CH

81.17.18.18

Camada privado INC.

CH

81.17.26.189

Camada privado INC.

CH

94.242.195.162

Raiz SA

LU

94.242.195.163

Raiz SA

LU

94.242.195.164

Raiz SA

LU

 Sirefef/ZeroAccess também se comunica através do protocolo UDP nas portas 16464, 16465, 16470 e 16471. As máquinas que apresentem comportamento suspeito devem ser imediatamente removidas da rede e analisadas para a presença de malware. 

 

O Microsoft Malware e as Ferramentas de Detecção e remoção 

Os administradores podem fazer o download de uma cópia gratuita do Microsoft Safety Scanner usando uma máquina limpa e utilizar o Microsoft Safety Scanner para digitalizar as máquinas da empresa suspeitas de estarem infectada para remover a infecção. O Microsoft Safety Scanner está disponível aqui: http://www.microsoft.com/security/scanner/en-us/default.aspx. 

Em alternativa, o Windows Defender Offline pode ser utilizado para remover a infecção. O Windows Defender Offline está disponível aqui: http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline.

 

Recursos adicionais e Próximos Passos 

Aqui estão os recursos que os clientes podem  usar para manter-se atualizado sobre o status da operação. 

 

Além do “Public Relations”(PR)  em andamento fora da Unidade de Crimes digitais da Microsoft, a Europol Central Europeia de Cibercriminalidade  (EC3), e o Departamento Federal de Investigação, e  uma série de outros canais de comunicação estão sendo usado para mobilizar apoio adicional de parceiros públicos e privados. Estes incluem a aplicação da lei mundial para alcance a Provedores de Serviço de Internet e equipes de resposta a emergências que são uma parte dos programas de segurança na computação confiável. O DCU também está aproveitando o pessoal do centro de cibercrime e recursos, como o principal conselheiro de segurança no programa de segurança da Microsoft no mundo  emtodo setor público.  

 

Em relação à consitência da informação

Nós nos esforçamos para lhe fornecer informações precisas sobre o conteúdo estático (neste post) e dinâmica (Web-based). Ocasionalmente se atualiza o conteúdo de segurança da Microsoft colocado no site para refletir as informações mais recentes. Se isso resulta em uma inconsistência entre as informações contidas neste documento e a informação no conteúdo de segurança com base no site da Microsoft, estes últimos prevalecerão. 

 

Se você tiver quaisquer perguntas sobre este alerta, entre em contato com o seu Gerente de Contas. 

 

Muito obrigada,

Equipe de Segurança Microsoft CSS

 

Comments
Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment