Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano00/0012d004.htm
Última modificação em (mês/dia/ano/horário): 12/31/00 19:54:44
Panda alerta para novo Happy New Year 

Depois do "sucesso" do Happy 99, outro vírus se aproveita da virada do ano - mais ainda, da virada do milênio - para burlar a segurança e entrar nos micros. Trata-se do novo Happy New Year, um verme simples que pode ser reconhecido por ter a
seguinte estrutura:

A mensagem recebida tem o seguinte formato:
Assunto: New Year ! 
Corpo da Messagem: Wow Happy New Year ! 
Anexo: happynewyear.txt.vbs 
A Panda Software avisa para que todos os usuários tomem cuidado com mensagens com essas características, e que já dispõe de vacina contra o novo Happy New Year. 

Tecnicamente denominado como VBS/Tqll-A, é um verme simples, mas eficaz. Desenvolvido em Visual Basic Script (VBS), ele se envia por correio eletrônico e é capaz de instalar uma cópia do cavalo de tróia Bck/Psychward.g no computador que executar o código do vírus. Este último trojan (intruso) é gravado no diretório do Windows com o nome "3k.exe", e é executado logo após o verme. O VBS/Tqll.A contém parte de seu código criptografado. 

Detalhes: O tamanho do verme é 10.390 bytes. Neste código está, em formato criptografado, uma imagem de um arquivo de tipo Win32 identificado como o trojan Bck/Psychward.g.

Ainda no código do verme, existem variáveis com valores aleatórios, que pretendem tornar mais difícil a sua identificação. Parte do vírus também está criptografada para proteger o próprio código de leituras indesejadas. Apesar disso, a criptografia é simples, baseada na operação de soma, e não é variável, o que significa que as cópias do verme enviadas por e-mail a partir de uma máquina infectada serão sempre idênticas ao original.

O vírus é composto por três funções: duas se destinam a desencriptar o corpo do trojano Bck/Psychward.g, que o verme cria no momento da infecção. A terceira função contém o código para gravar o trojano com o nome "3k.exe" no diretório do Windows e enviá-lo para todos os contatos no caderno de endereços.

O trojan Bck/Psychward.g, que se encontra criptografado dentro do verme original, é capaz de descarregar um programa de um site web predeterminado, fazendo uso do comando GET do protocolo HTTP. O nome do programa descarregado é "Teen.EXE", baixado do usuário /Chezz_Script de um domínio de uso público.