Rio de Janeiro, 12 de Novembro de 2024

Variante do MyDoom facilita invasão em computadores

Arquivado em:
Terça, 17 de Agosto de 2004 às 08:21, por: CdB

Uma nova variante do vírus MyDoom começou a circular. A praga chega em arquivos anexados a e-mails; Por meio de um componente backdoor, abre várias portas da máquina infectada, possibilitando que um atacante tenha acesso remoto a dados sigilosos, como senhas da vítima. De acordo com a Panda Software, o worm também impede que os usuários acessem alguns sites de empresas antivírus.

Detectado ontem, o worm já foi classificado como de médio risco pela Trend Micro, devido aos diversos relatos de infecção emitidos de países como Japão, Coréia, China e Estados Unidos. Batizado inicialmente como Ratos.A pela empresa, verificou-se depois que o worm exibe as características do MyDoom e, assim, pôde ser identificado como uma de suas variantes. A Trend Micro renomeou o malware para WORM_MYDOOM.S e outras empresas deram-lhe os nomes de W32.Mydoom.Q@mm, I-Worm.Win32.Ratos, W32/Mydoom.s@MM, W32/MyDoom.S e W32/MyDoom.R.

O novo MyDoom chega em mensagens com endereços aleatórios de remetentes, as quais apresentam no campo de assunto a palavra "photos" e no corpo da mensagem o texto "LOL!;))))" ("lol" é uma gíria de Internet que significa gargalhada). Dessa forma, o worm tenta despertar a curiosidade do usuário para executar o arquivo anexo, nomeado como photos_arc.exe, na verdade, uma cópia da praga.

Ao entrar em atividade, o worm envia e-mails em massa para os endereços eletrônicos existentes no disco rígido da vítima, além de criar novos endereços de e-mail de forma aleatória, muitos dos quais tornam-se destinatários adicionais. Para isso, prepara uma mensagem com domínios conhecidos e nomes comuns, como Alice, Jerry e Steve.

Assim que executado, o worm faz uma cópia de si mesmo nas pastas do sistema com os nomes RASOR38A.DLL e WINPSD.EXE. Também acrescenta entradas no registro do Windows, para entrar em atividade toda vez que o sistema for reiniciado e garantir que exista apenas uma única cópia sua no sistema infectado. Depois disso, cria o mutex (objeto de exclusão mútua) 43jfds93872 para impedir a execução simultânea de si mesmo.

Por meio de um componente backdoor (porta escondida), o worm faz o download e executa arquivos maliciosos inseridos em páginas da Internet e nomeados com extensão de imagens do tipo GIF. Os arquivos estão nos endereços:

http://www.richcolour.com/ispy.1.jpg
http://www.richcolour.com/coco3.jpg
http://www.richcolour.com/guestbook/temp/temp587.gif
http://zenandjuice.com/guestbook/temp/temp728.gif

Os arquivos baixados são salvos com o nome WINVPN32.EXE na pasta Windows e, em seguida, executados. O componente backdoor, além de comprometer o sistema operacional, coloca em risco a segurança dos dados armazenados. Ele foi identificado como Bck/Surila.B pela Panda e BKDR_RATOS.A pela Trend Micro.

O MyDoom.S foi desenvolvido em Visual C++ e afeta os sistemas Windows 95, 98, ME, NT, 2000 e XP.

Tags:
Edições digital e impressa
 
 

Utilizamos cookies e outras tecnologias. Ao continuar navegando você concorda com nossa política de privacidade.

Concordo