Novo Milênio: Branca de Neve já não é para crianças

http://www.novomilenio.inf.br/ano00/0012a005.htm
Última modificação em (mês/dia/ano/horário): 12/08/00 17:22:36

Branca de Neve já não é para crianças

Com o título "Branca de Neve Pornô", está sendo amplamente disseminada no Brasil nas últimas semanas, por correio eletrônico, uma variação do vírus Hybris, com ação semelhante à do vírus Matrix ou MTX. A empresa produtora de anti-vírus Mynetis é a primeira a registrar o fato, enquanto a NAI/McAfee e a Symantec, consultadas por Novo Milênio en 6/12/2000, não registram em suas listas de vírus referências a essa variante - situação incomum, já que em outras situações tais empresas costumam ter a informação disponível poucas horas após a primeira onda de disseminação de um vírus ou variante.

Este é um exemplo de mensagem (com cabeçalho expandido) contendo o vírus:

Esta é a informação divulgada pela Mynetis em seu site na Web:

Informação divulgada pela Mynetis na Internet

O laboratório Avert da NAI/McAfee classifica o Hybris.gen como um verme de média periculosidade, registrando também os nomes e as variações Hybris, Troj_Hybris.A, W32/Hybris.gen@M, I-WOrm.Hybris, W32/Hybris.gen.dll@M e W32/Hybris.plugin@M, confirmando sua origem sulamericana e a descoberta em 16/10/2000. O Hybris modifica o arquivo WSOCK32.DLL (renomeando-o como um arquivo com oito caracteres escolhidos aleatoriamente e sem ponto e extensão), além de enviar automaticamente uma cópia de si mesmo a todos os endereços de correio eletrônioco registrados no sistema para os quais não tenha sido enviada alguma mensagem. Para recuperar o sistema infectado, será necessário obter uma cópia do WSOCK32.DLL, a partir do disco original do Windows.

Segundo a empresa, ao ser lançado no sistema, o vírus copia um arquivo [Index.TXT] do site hospedeiro, que em seguida instrui o programa virótico a copiar os arquivos [HTTP.DAT], [NEWS.DAT], [ENCR.DAT], [PR0N.DAT], [SPIRALE.DAT], [SUB7.DAT], [DOSEXE.DAT] e [AVINET.DAT]. O site hospedeiro de tais arquivos foi fechado em 20/11/2000, mas o vírus continua fazendo a cópia dos arquivos a partir de um grupo de notícias (newsgroup) conhecido como alt.comp.virus. E, no dia seguinte ao fechamento do site hospedeiro dos arquivos, uma nova versão foi lançada na Internet que infecta arquivos PE de forma irreparável.

Informação disponível sobre o Hybris na página do Avert Labs/NAI em 8/12/2000

Até o dia 8/12/2000, estes eram os nomes registrados para o vírus no banco de dados da Network Associates (NAI) disponíveis na Web: Lista de nomes divulgada pelo banco de dados de vírus do NAI em 8/12/2000

Lista de nomes divulgada pelo banco de dados de vírus do NAI em 8/12/2000