Panda alerta para novo Happy New
Year
Depois
do "sucesso" do Happy 99, outro vírus se aproveita da virada do
ano - mais ainda, da virada do milênio - para burlar a segurança
e entrar nos micros. Trata-se do novo Happy New Year, um verme simples
que pode ser reconhecido por ter a
seguinte estrutura:
A mensagem recebida tem o seguinte
formato: |
Assunto: New Year !
Corpo da Messagem: Wow Happy
New Year !
Anexo: happynewyear.txt.vbs |
A Panda
Software avisa para que todos os usuários tomem cuidado com
mensagens com essas características, e que já dispõe
de vacina contra o novo Happy New Year.
Tecnicamente denominado como VBS/Tqll-A,
é um verme simples, mas eficaz. Desenvolvido em Visual Basic Script
(VBS), ele se envia por correio eletrônico e é capaz de instalar
uma cópia do cavalo de tróia Bck/Psychward.g no computador
que executar o código do vírus. Este último trojan
(intruso) é gravado no diretório do Windows com o nome "3k.exe",
e é executado logo após o verme. O VBS/Tqll.A contém
parte de seu código criptografado.
Detalhes: O tamanho do verme
é 10.390 bytes. Neste código está, em formato criptografado,
uma imagem de um arquivo de tipo Win32 identificado como o trojan Bck/Psychward.g.
Ainda no código do verme,
existem variáveis com valores aleatórios, que pretendem tornar
mais difícil a sua identificação. Parte do vírus
também está criptografada para proteger o próprio
código de leituras indesejadas. Apesar disso, a criptografia é
simples, baseada na operação de soma, e não é
variável, o que significa que as cópias do verme enviadas
por e-mail a partir de uma máquina infectada serão sempre
idênticas ao original.
O vírus é composto
por três funções: duas se destinam a desencriptar o
corpo do trojano Bck/Psychward.g, que o verme cria no momento da infecção.
A terceira função contém o código para gravar
o trojano com o nome "3k.exe" no diretório do Windows e enviá-lo
para todos os contatos no caderno de endereços.
O trojan Bck/Psychward.g, que se
encontra criptografado dentro do verme original, é capaz de descarregar
um programa de um site web predeterminado, fazendo uso do comando GET do
protocolo HTTP. O nome do programa descarregado é "Teen.EXE", baixado
do usuário /Chezz_Script de um domínio de uso público. |