Fireburn.A é novo vírus
do tipo LoveLetter
Na esteira
da praga LoveLetter (o perigoso vírus de computador também
conhecido como ILoveYou, programado em Visual Basic e que, por isso, pode
ter seu nome facilmente alterado por quem entenda um pouco de programação),
foi anunciada hoje (30/6) pela Panda
Software a descoberta de um novo
vírus do gênero, o Fireburn.A, com grande poder de propagação
e destruição de arquivos, embora até o momento não
haja notícias de ter chegado ao mundo corporativo. Ele se espalha
através dos programas MS Outlook e mIRC, chegando ao computador
da vítima como um suposto arquivo de foto erótica.
Esta é a descrição
oferecida pela Panda nessa página:
O vírus
se envia para todas as entradas do caderno de endereços da vítima,
e chega através de uma mensagem de e-mail bilíngue (alemão
ou inglês), convidando o usuário a abrir uma suposta foto
erótica.
Se o computador
está configurado para a língua alemã, a mensagem será:
Assunto:
"Moin, alles klar?"
Corpo da mensagem:
Hi, wie geht's dir?
Guck dir mal das Photo im Anhang an, ist echt geil ;) bye, bis dann.."
Anexo:
descrição abaixo
Se o
idioma do computador estiver configurado para uma linguagem diferente do
alemão, o e-mail se parecerá com o seguinte:
Assunto:
Hi, how are you?
Corpo da mensagem:
Hi, look at that nice Pic attached ! Watching it is a must ;) cu later...
Anexo:
descrição abaixo
A mensagem
de e-mail carrega um documento anexo responsável pela infecção,
que na verdade não é um JPG - conhecido formato de arquivo
de imagem - mas sim um script em Visual Basic. O arquivo pode
ter os seguintes nomes:
·
Ultra-Hardcore-Bondage.JPG.vbs
·
Christina__NUDE!!!.JPG.vbs
·
CuteJany__BigTits!.GIF.vbs
·
MyGirlfriend__NUDE!.JPG.vbs
·
Aguiliera__NUDE!!.JPG.vbs
·
!Jany__Gets-fucked!.GIF.vbs
·
cute__EmmaPeel!!!.JPG.vbs
·
Julie17__xxx.GIF.vbs
Descrição
técnica do ataque:
Ao ser executado,
o Fireburn faz cópias de si mesmo na pasta Windows folder sob o
nome "rundll32.vbs". Cria as seguintes entradas no Registro e as
preenche com os seguintes valores:
·
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
\MSrundll32
--> rundll32.vbs
·
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RegisteredOwner
--> FireburN
O vírus
verifica o valor da seguinte entrada no Registro:
. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\ProgramFilesDir
. Se
a configuração for C:\Programme, isto significa que o idioma
do computador é alemão.
O vírus
então verifica se o diretório C:\MIRC existe, ou se existe
um diretório chamado MIRC na pasta Program Files. Se o arquivo MIRC.INI
for encontrado nestas pastas, será criado um arquivo SCRIPT.INI,
que permite que o computador se conecte via mIRC, e então faça
o seguinte:
1.-
Renomeie o arquivo RUNDLL32.VBS que está no diretório Windows
e crie um arquivo com nome escolhido randomicamente na pasta Windows\System.
2.-
Conecte ao Canal "VIRUS" e envie a seguinte mensagem a todos que estiverem
conectados: "Burn, Burn, Burn :)"
3.-
Se houver desconexão o arquivo RUNDLL32.VBS é renomeado novamente.
4.-
O arquivo que estava na pasta \Windows\System é enviado para todos
que estiverem no mesmo canal que o usuário infectado.
5.-
Se o usuário digitar a palavra 'sex' o vírus também
será enviado via mIRC.
Uma vez que
o arquivo SCRIPT.INI foi criado, várias cópias com nomes
randômicos do vírus podem ser encontradas no diretório
Windows. O vírus utiliza a característica de enviar "cópias
ocultas" (BCC - Blind Carbon Copy) para infectar os usuários do
Outlook.
Finalmente,
o vírus verifica a data do computador. Se for 20 de junho, aparecerá
a seguinte tela:
|