Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano00/0001a020.htm
Última modificação em (mês/dia/ano/horário): 01/11/00 13:49:12
Vírus Happy New Year já tem versão 2000

Os laboratórios Anti Virus Emergency Response Team (Avert) da Network
Associates identificaram o vírus W32/newApt.worm, encontrado em
diversos países. O arquivo pode ser recebido por correio eletrônico (email) e
seu tamanho é de 69,632 bytes, tendo outros apelidos, como Worm/MesMate e
TROJ_NEWAPT.WORM.

É um vírus tipo worm (verme) de nível de risco médio. Ele chega à rede por correio eletrônico e apresenta  uma das duas mensagens a seguir: 

1.  http://stuart.messagemates.com/index.html  Hypercool Happy New Year 2000
funny programs and animations...We attached our recent animation from this site
in our mail ! Check it out 
Em Português: HiperCool Feliz Ano Novo 2000 Programas e animações divertidas...
Nós anexamos nossa nova animação em nosso correio ! Verifique)

2. He, your lame client cant read HTML, haha. click attachment to see some
stunningly HOT stuff
Em Português: He, seu email não pode ler HTML, haha. Clique sobre o anexo para
ver algo surpreendentemente quente)

O correio eletrônico contém um anexo, randomicamente selecionado da lista a
seguir: 
 

baby.exe 
bboy.exe 
boss.exe 
casper.exe 
chestburst.exe 
cooler1.exe 
cooler3.exe 
copier.exe 
cupid2.exe 
farter.exe 
fborfw.exe 
goal.exe
goal1.exe 
g-zilla.exe 
irngiant.exe 
hog.exe 
monica.exe 
panther.exe 
panthr.exe 
party.exe 
pirate.exe 
s.exe 
saddam.exe 
theobbq.exe 
video.exe

Caso este verme seja executado uma mensagem de erro falsa é apresentada com o
seguinte conteúdo:

The dynamic link library giface.dll could not be found in the specified path
(list of directory names) 
Em Português:  A conexão dinâmica a biblioteca giface.dll não pode ser
encontrada no caminho indicado (lista de caminhos)

A lista de caminhos é obtida pela variável de ambiente PATH, que é definida no
arquivo AUTOEXEC.BAT para Windows 9x, podendo ser cinfigurada pelo Painel de
Controle no Windows NT. Notem o erro de digitação da palavra "dnamic" na
mensagem de erro.

É verificado então se o Outlook Express está instalado no computador. Em caso
afirmativo dois arquivos são escritos no diretório c:\windows:
mma. -Contém uma lista de endereços de correio  eletrônico
mmail. - Contém o diretório do Outlook Express

A lista de endereços eletrônicos é montada verificando mensagens recebidas em
todos os diretórios do Outlook Express.

Um arquivo é salvo no diretório Windows e o registry (registro) é modificado
para carregar o arquivo. Com o parâmetro /x na próxima vez que o Windows for
inicializado. Por exemplo se o arquivo criado tiver o nome "chestburst.exe" a
linha do registry ficará assim no windows 95: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run tpanew =
c:\windows\chestburst.exe /x 

Na próxima inicialização do Windows, o arquivo será carregado. Quando o verme
está carregado na memória, ele aguarda por um período indefinido de tempo e
então envia uma mensagem eletrônica para um dos endereços listados no arquivo
.mma com o formato mencionado no inicio deste alerta.

Enquanto o verme estiver ativo no sistema operacional Windows 9x as DLL's a
seguir serão implementadas:

C:\WINDOWS\SYSTEM\WSOCK32.DLL 
C:\WINDOWS\SYSTEM\WININET.DLL 
C:\WINDOWS\SYSTEM\SHLWAPI.DLL 
C:\WINDOWS\SYSTEM\USER32.DLL 
C:\WINDOWS\SYSTEM\GDI32.DLL 
C:\WINDOWS\SYSTEM\ADVAPI32.DLL 
C:\WINDOWS\SYSTEM\KERNEL32.DLL 
Quando uma aplicação de correio eletrônico como MS Outlook está em uso, a DLL
TAPI32.DLL é carregada. 

Neste momento, o Avert está analisando o método de distribuição deste verme. Linhas dentro do executável sugerem que ele utiliza informações armazenadas no arquivo prefs.js, o que é uma referência a Netscape.

Sintomas - Existência destes arquivos no sistema, alterações no registry como mencionado, envio de correios eletrônicos como mencionado.

Método de Infecção: executando o arquivo, irá se auto copiar e executar a rotina de envio de mensagens eletrônicas.