Vírus Happy New Year já
tem versão 2000
Os laboratórios
Anti Virus Emergency Response Team (Avert) da Network
Associates
identificaram o vírus W32/newApt.worm, encontrado em
diversos países. O arquivo
pode ser recebido por correio eletrônico (email) e
seu tamanho é de 69,632 bytes,
tendo outros apelidos, como Worm/MesMate e
TROJ_NEWAPT.WORM.
É um vírus tipo worm
(verme) de nível de risco médio. Ele chega à rede
por correio eletrônico e apresenta uma das duas mensagens a
seguir:
1. http://stuart.messagemates.com/index.html
Hypercool Happy New Year 2000
funny programs
and animations...We attached our recent animation from this site
in our mail
! Check it out
Em Português: HiperCool Feliz
Ano Novo 2000 Programas e animações divertidas...
Nós anexamos nossa nova animação
em nosso correio ! Verifique)
2. He, your
lame client cant read HTML, haha. click attachment to see some
stunningly
HOT stuff
Em Português: He, seu email
não pode ler HTML, haha. Clique sobre o anexo para
ver algo surpreendentemente quente)
O correio eletrônico contém
um anexo, randomicamente selecionado da lista a
seguir:
baby.exe
bboy.exe
boss.exe
casper.exe
chestburst.exe
cooler1.exe
cooler3.exe
copier.exe
cupid2.exe
farter.exe
fborfw.exe
goal.exe
goal1.exe |
g-zilla.exe
irngiant.exe
hog.exe
monica.exe
panther.exe
panthr.exe
party.exe
pirate.exe
s.exe
saddam.exe
theobbq.exe
video.exe |
Caso este verme seja executado uma
mensagem de erro falsa é apresentada com o
seguinte conteúdo:
The dynamic
link library giface.dll could not be found in the specified path
(list of directory
names)
Em Português: A conexão
dinâmica a biblioteca giface.dll não pode ser
encontrada no caminho indicado (lista
de caminhos)
A lista de caminhos é obtida
pela variável de ambiente PATH, que é definida no
arquivo AUTOEXEC.BAT para Windows
9x, podendo ser cinfigurada pelo Painel de
Controle no Windows NT. Notem o
erro de digitação da palavra "dnamic" na
mensagem de erro.
É verificado então
se o Outlook Express está instalado no computador. Em caso
afirmativo dois arquivos são
escritos no diretório c:\windows:
mma. -Contém uma lista de
endereços de correio eletrônico
mmail. - Contém o diretório
do Outlook Express
A lista de endereços eletrônicos
é montada verificando mensagens recebidas em
todos os diretórios do Outlook
Express.
Um arquivo é salvo no diretório
Windows e o registry (registro) é modificado
para carregar o arquivo. Com o parâmetro
/x na próxima vez que o Windows for
inicializado. Por exemplo se o arquivo
criado tiver o nome "chestburst.exe" a
linha do registry ficará
assim no windows 95:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tpanew =
c:\windows\chestburst.exe
/x
Na próxima inicialização
do Windows, o arquivo será carregado. Quando o verme
está carregado na memória,
ele aguarda por um período indefinido de tempo e
então envia uma mensagem
eletrônica para um dos endereços listados no arquivo
.mma com o formato mencionado no
inicio deste alerta.
Enquanto o verme estiver ativo no
sistema operacional Windows 9x as DLL's a
seguir serão implementadas:
C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WININET.DLL
C:\WINDOWS\SYSTEM\SHLWAPI.DLL
C:\WINDOWS\SYSTEM\USER32.DLL
C:\WINDOWS\SYSTEM\GDI32.DLL
C:\WINDOWS\SYSTEM\ADVAPI32.DLL
C:\WINDOWS\SYSTEM\KERNEL32.DLL
Quando uma aplicação de
correio eletrônico como MS Outlook está em uso, a DLL
TAPI32.DLL é carregada.
Neste momento, o Avert está
analisando o método de distribuição deste verme. Linhas
dentro do executável sugerem que ele utiliza informações
armazenadas no arquivo prefs.js, o que é uma referência a
Netscape.
Sintomas - Existência
destes arquivos no sistema, alterações no registry como mencionado,
envio de correios eletrônicos como mencionado.
Método de Infecção:
executando o arquivo, irá se auto copiar e executar a rotina de
envio de mensagens eletrônicas. |
http://www.novomilenio.inf.br/ano00/0001a020.htm
