Uma nova variante do vírus MyDoom começou a circular. A praga chega em arquivos anexados a e-mails; Por meio de um componente backdoor, abre várias portas da máquina infectada, possibilitando que um atacante tenha acesso remoto a dados sigilosos, como senhas da vítima. De acordo com a Panda Software, o worm também impede que os usuários acessem alguns sites de empresas antivírus.
Detectado ontem, o worm já foi classificado como de médio risco pela Trend Micro, devido aos diversos relatos de infecção emitidos de países como Japão, Coréia, China e Estados Unidos. Batizado inicialmente como Ratos.A pela empresa, verificou-se depois que o worm exibe as características do MyDoom e, assim, pôde ser identificado como uma de suas variantes. A Trend Micro renomeou o malware para WORM_MYDOOM.S e outras empresas deram-lhe os nomes de W32.Mydoom.Q@mm, I-Worm.Win32.Ratos, W32/Mydoom.s@MM, W32/MyDoom.S e W32/MyDoom.R.
O novo MyDoom chega em mensagens com endereços aleatórios de remetentes, as quais apresentam no campo de assunto a palavra "photos" e no corpo da mensagem o texto "LOL!;))))" ("lol" é uma gíria de Internet que significa gargalhada). Dessa forma, o worm tenta despertar a curiosidade do usuário para executar o arquivo anexo, nomeado como photos_arc.exe, na verdade, uma cópia da praga.
Ao entrar em atividade, o worm envia e-mails em massa para os endereços eletrônicos existentes no disco rígido da vítima, além de criar novos endereços de e-mail de forma aleatória, muitos dos quais tornam-se destinatários adicionais. Para isso, prepara uma mensagem com domínios conhecidos e nomes comuns, como Alice, Jerry e Steve.
Assim que executado, o worm faz uma cópia de si mesmo nas pastas do sistema com os nomes RASOR38A.DLL e WINPSD.EXE. Também acrescenta entradas no registro do Windows, para entrar em atividade toda vez que o sistema for reiniciado e garantir que exista apenas uma única cópia sua no sistema infectado. Depois disso, cria o mutex (objeto de exclusão mútua) 43jfds93872 para impedir a execução simultânea de si mesmo.
Por meio de um componente backdoor (porta escondida), o worm faz o download e executa arquivos maliciosos inseridos em páginas da Internet e nomeados com extensão de imagens do tipo GIF. Os arquivos estão nos endereços:
http://www.richcolour.com/ispy.1.jpg
http://www.richcolour.com/coco3.jpg
http://www.richcolour.com/guestbook/temp/temp587.gif
http://zenandjuice.com/guestbook/temp/temp728.gif
Os arquivos baixados são salvos com o nome WINVPN32.EXE na pasta Windows e, em seguida, executados. O componente backdoor, além de comprometer o sistema operacional, coloca em risco a segurança dos dados armazenados. Ele foi identificado como Bck/Surila.B pela Panda e BKDR_RATOS.A pela Trend Micro.
O MyDoom.S foi desenvolvido em Visual C++ e afeta os sistemas Windows 95, 98, ME, NT, 2000 e XP.