Estava já demorando para surgir um vírus de computador que fosse ao mesmo tempo parecido com um trote (hoax) e com um antivírus. Pois o W32/Universe reúne essas características. Seu criador, no entanto, fez o programa com defeitos. Mesmo assim, muito cuidado caso uma mensagem de correio eletrônico (e-mail) chegue à sua caixa de entrada com uma mensagem avisando a existência do vírus W32/Universe. Segundo a especialista européia em segurança para computadores Panda Software, não se trata de um aviso inocente, mas do próprio vírus, que irá contaminar o seu micro e buscar endereços de e-mail na memória cache para enviar mensagens. 

Outro dano é que o programa pernicioso está preparado para localizar os dados do usuário da máquina e enviá-los para o seu autor. No entanto, a mesma pessoa que se auto-vangloria no corpo da mensagem (ver texto no destaque abaixo), cometeu erros de programação, deixando bugs que fazem com que essa função – felizmente - não funcione sempre.

Projetado para se espalhar por e-mail e pelos canais de IRC, o W32/Universe é um verme cujo código permite carregar várias sessões, usando essa característica para executar suas ações. Também é conhecido pelos nomes de W98.Universe.Worm e I-Worm.Unis.

Também no IRC - De acordo com informações da Panda, a boa notícia é que o vírus ainda não se encontra “In the Wild” (disseminado, ao contrário do que também está escrito na mensagem), mas corre risco de se ampliar, graças às formas de propagação escolhidas. Como e-mails e IRC são meios extremamente velozes e o verme fica em um arquivo leve, de 12 kbytes, comprimido pelo aplicativo TeLock, é muito importante que os devidos cuidados sejam observados pelos usuários – como não abrir mensagens suspeitas – para evitar uma alta infecção. 

Sintomas – Quando o arquivo que contém este verme for rodado, ele se copia para o diretório [C:\Windows\System] com o nome [MSVBVB60.EXE]. De acordo com a equipe técnica da Panda, esse nome e o aparecimento de seu ícone não são uma mera coincidência. O autor deste verme usou um nome que é bem parecido para a biblioteca dinâmica do Visual Basic - [MSVBVM60.DLL] – utilizada por muitas aplicações. Isso faz com que passe praticamente despercebido pelos usuários. 

Meios de Infecção - Copiado o arquivo para o diretório [C:\Windows\System], o arquivo original será removido do diretório onde foi rodado anteriormente. Na seqüência, o verme cria um valor de chave de registro em
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] que permite rodar o código do vírus ao iniciar o computador. Este verme é capaz de carregar vários plug-ins que permitem executar numerosas ações. Os plug-ins serão carregados do endereço [http://hyperlink.cz/benny/viruses]. Porém, é importante notar que estas ações não serão executadas em todas ocasiões devido a alguns bugs no programa.

O Universe pode ter diversos comportamentos:

1) Enviar mensagens de e-mail para e-mail de endereços obtidos de arquivos de HTML na pasta de cache. Estas terão no corpo da mensagem o seguinte texto: 
 

Já o arquivo anexo é [UNICLEAN.ZIP]. O nome foi criado justamente para provocar confusão, pois pode levar os usuários a acreditarem que foi feito para limpar os efeitos causados pelo Universe, quando de fato, é o arquivo que instala o verme no
computador da vítima. 

2) Enviar uma mensagem ao autor do verme e incluir os dados do usuário vítima. Mais precisamente, será enviada ao endereço [benny_29A@hushmail.com] e incluirá os seguintes dados: nome do sistema afetado, data e tempo de infecção.

3) Substituir a página de início do Internet Explorer pela [http://therainforestsite.com].

4) Fazer download do arquivo [UNIVERSE.JPG] e o colocar como o papel de parede do Windows. 

5) Infectar arquivos comprimidos com formato de RAR. O código do verme será anexado aos arquivos infectados.

6) Criar um arquivo de INI que permite espalhar o verme em canais de IRC. De fato, este é o arquivo que envia o verme aos usuários que se juntam aos canais de conversa do usuário afetado.