Novo Milênio: Surge no Brasil o Vírus do Apagão

http://www.novomilenio.inf.br/ano01/0107b004.htm
Última modificação em (mês/dia/ano/horário): 07/16/01 20:32:14

Surge no Brasil o Vírus do Apagão

Com a imagem do presidente da República, Fernando Henrique Cardoso, e mensagens relacionadas ao racionamento de energia elétrica, já está circulando via correio eletrônico na Internet brasileira o vírus Infectus ou Troj_Apagão, que por enquanto é considerado de baixo risco, pela pequena disseminação. Apenas as versões atualizadas dos anti-vírus estão detectando essa praga, que, ao ser executada em ambiente Windows, atua como uma apresentação em Flash, com diversas telas, sendo esta a primeira:

Quando se clica no botão, surge a imagem abaixo:

Classificado tecnicamente como um cavalo de Tróia (ferramenta usada por invasores de computadores para controlá-los remotamente), o arquivo apresenta ainda uma caixa de texto com a frase:

Segundo a Trend Micro, empresa que comercializa o antivírus Pc-cillin, além da brincadeira com o racionamento, o invasor direciona o computador infectado para um site hospedado na Bélgica que faz a cópia automática de programas nocivos disponibilizados pelo criador da praga virtual. Assim, o vírus permite que o invasor envie para a máquina da vítima o arquivo que quiser, tendo controle do micro invadido. Caixa de alerta do antivírus Scan. É necessário eliminar o arquivo

Caixa de alerta do antivírus Scan. É necessário eliminar o arquivo

Uma cópia do cavalo de Tróia ficará na pasta Fontes (ou Fonts) do Windows como [Script.exe] - pode ser vista apenas conferindo esse diretório através da árvore de diretórios do DOS, pois em Windows o gerenciador de arquivos dá um tratamento especial a essa pasta que impede a verificação. Nesse arquivo, é possível identificar, entre outras funções, o endereço Web http://www.infectusscript.cjb.net/apagao.txt (atenção: evidentemente, não é aconselhável visitar tal endereço). Além disso, o vírus acrescenta um código no [Win.ini] para que o programa seja carregado toda vez que o micro é acionado:

[windows]
run=C:\WINDOWS\fonts\script.exe

Outros arquivos adicionados são o [Script.ini], [script.txt] e [head.txt]. O arquivo [Script.ini] contém o vírus. [Script.txt] contém instruções enviadas pelo site belga e [head.txt] contém o cabeçalho html do vírus. O arquivo [head.txt] é salvo no diretório em que o arquivo tiver sido executadopela primeira vez, enquanto os demais são alojados na pasta [Windows/Fonts].

Segundo Roni Katz, engenheiro de sistemas da McAfee, empresa especializada em programas de segurança, para identificar a ameaça e removê-la é preciso ter a versão atualizada do antivírus e realizar o processo de varredura do sistema.

A McAfee já tem página com detalhes sobre o vírus, em inglês, informando inclusive o endereço belga utilizado pelo arquivo, http://www.benoit.g.easynet.be/ (atenção: evidentemente, não é aconselhável visitar tal endereço). O vírus foi descoberto em 5/7/2001 e descrito no dia 13/7/2001. segundo a empresa. Ela alerta que no ambiente Windows Me é preciso desabilitar a função de back-up e restauração automáticos antes de remover o vírus.

A informação básica foi repassada a Novo Milênio pela empresa santista de manutenção de computadores Taco Informática.