Branca de Neve já não
é para crianças
Com o
título "Branca de Neve Pornô", está sendo amplamente
disseminada no Brasil nas últimas semanas, por correio eletrônico,
uma variação do vírus Hybris, com ação
semelhante à do vírus Matrix ou MTX.
A empresa produtora de anti-vírus Mynetis
é a primeira a registrar o fato, enquanto a NAI/McAfee e a Symantec,
consultadas por Novo Milênio en 6/12/2000, não registram
em suas listas de vírus referências a essa variante - situação
incomum, já que em outras situações tais empresas
costumam ter a informação disponível poucas horas
após a primeira onda de disseminação de um vírus
ou variante.
Este é um exemplo de mensagem
(com cabeçalho expandido) contendo o vírus:
Esta é a informação
divulgada pela Mynetis em seu site na Web:
O laboratório Avert da NAI/McAfee
classifica o Hybris.gen
como um verme de média periculosidade, registrando também
os nomes e as variações Hybris, Troj_Hybris.A, W32/Hybris.gen@M,
I-WOrm.Hybris, W32/Hybris.gen.dll@M e W32/Hybris.plugin@M, confirmando
sua origem sulamericana e a descoberta em 16/10/2000. O Hybris modifica
o arquivo WSOCK32.DLL (renomeando-o como um arquivo com oito caracteres
escolhidos aleatoriamente e sem ponto e extensão), além de
enviar automaticamente uma cópia de si mesmo a todos os endereços
de correio eletrônioco registrados no sistema para os quais não
tenha sido enviada alguma mensagem. Para recuperar o sistema infectado,
será necessário obter uma cópia do WSOCK32.DLL, a
partir do disco original do Windows.
Segundo a empresa, ao ser lançado
no sistema, o vírus copia um arquivo [Index.TXT] do site hospedeiro,
que em seguida instrui o programa virótico a copiar os arquivos
[HTTP.DAT], [NEWS.DAT], [ENCR.DAT], [PR0N.DAT], [SPIRALE.DAT], [SUB7.DAT],
[DOSEXE.DAT] e [AVINET.DAT]. O site hospedeiro de tais arquivos foi fechado
em 20/11/2000, mas o vírus continua fazendo a cópia dos arquivos
a partir de um grupo de notícias (newsgroup) conhecido como alt.comp.virus.
E, no dia seguinte ao fechamento do site hospedeiro dos arquivos, uma nova
versão foi lançada na Internet que infecta arquivos PE de
forma irreparável.
Até o dia 8/12/2000, estes eram
os nomes registrados para o vírus no banco de dados da Network Associates
(NAI) disponíveis na Web:
|