Verme Navidad coloca um olho no
seu micro
Repare,
na barra de tarefas, ao lado do relógio, no canto inferior direito
da tela: se ali estiver visível o desenho de um olho azul, seu equipamento
está contaminado com o verme Navidad, um tipo de vírus de
computador que está se espalhando rapidamente
pela América Latina, ao ponto de ser reclassificado de baixo para
médio risco pela equipe do laboratório Avert de análises
de vírus, mantido pela produtora de antivírus NAI/McAfee.
Diversas empresas já estão
colocando na Internet detalhes sobre esse verme e produtos para eliminá-lo,
como a NAI/McAfee,
a Symantec
e ainda a Mynetis, que permite a obtenção
de um programa gratuito para eliminar o Navidad. Também a Trend
Micro colocou uma página
em inglês com detalhes sobre o Navidad e um arquivo
que permite combatê-lo.
Infecção - Segundo
a explicação disponível
em inglês nas páginas da empresa, este verme se espalha
usando a interface MAPI (que permite que diversas aplicações
de troca de mensagens e de grupo de trabalho, como correio de voz e texto,
fax etc., operem através de um só cliente, como o Exchange)
no Outlook. O verme chega ao destinatário como se fosse resposta
a uma mensagem que este destinatário tinha enviado ao computador
infectado. Nessa falsa resposta, o assunto da mensagem inclui o texto do
campo Assunto (subject, nos programas em inglês) original, e no corpo
do texto há o arquivo vinculado Navidad.exe.
Quando é ativado no computador,
o verme apresenta uma caixa de diálogo intitulada "Error" na qual
se lê "UI" (talvez indicando User Interface, interface de usuário).
Um ícone de olho azul aparece na barra de tarefas do sistema (geralmente
colocada no rodapé da tela), junto ao relógio do canto direito,
e uma cópia do intruso (trojan) é salva no arquivo winsvrc.vxd
no diretório Windows System. São criados os seguintes valores
de chave de registro:
HKEY_CURRENT_USER\SOFTWARE\Navidad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Win32BaseServiceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe
"%1" %*
HKEY_LOCAL
MACHINE\Software\CLASSES\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe
"%1" %*
Nas duas últimas entradas
acima, os valores anteriores eram "%1" %*
Como esses valores de registro usam
uma extensão incorreta como nome de arquivo, uma mensagem de erro
é mostrada quando ocorre a tentativa de iniciar um arquivo executável
(.EXE). Assim, por exemplo, quem tentar nessa hora rodar o editor do Registro
do Windows (Regedit.exe) vai receber uma mensagem de erro.
DICA - Os técnicos do
laboratório NAI descobriram uma forma de enganar o verme: pode-se
abrir uma janela de prompt MS-DOS: nela, deve-se ir até o diretório
Windows e renomear [Regedit.exe] como [Regedit.com]. Então, o usuário
poderá rodar o programa Regedit a partir do menu Iniciar, localizando
os caminhos do registro para remover as entradas mencionadas acima.
Atenção: mesmo que
você consiga identificar os arquivos relacionados ao verme (detectados
por algum programa anti-vírus que necessite de eliminação
manual do verme), tais arquivos não devem ser apagados antes da
correção do registro do Windows. Terminada essa correção,
não se esqueça de reverter o nome do arquivo do Editor de
Registros para [Regedit.exe]. Reinicie então o computador e só
então apague os arquivos que tiverem sido identificados como relacionados
ao verme. Se o sistema emitir aviso de que algum desses arquivos não
pode ser apagado por estar em uso, é sinal de que o vírus
está ativo e o processo de eliminação não foi
executado corretamente.
Este verme pode ser "desligado":
quando Navidad está rodando, clique no olho azul visível
na barra de tarefas. Quando a caixa de diálogo com um grande botão
marcado como "don't press me" (sic), clique sobre o pequeno botão
marcado com um X no canto superior direito dessa caixa de diálogo,
para fechar essa caixa. Outra caixa de mensagem aparece, então clique
no botão OK dessa mensagem e o verme encerra a atividade, com o
desaparecimento do olho azul ao lado do relógio do sistema. O texto
do laboratório Avert não indica se o vírus é
completamente eliminado, ou apenas tem sua execução encerrada
mas continua no sistema. |