NOTÍCIAS 2002

Verme Benjamim ataca usuários do Kazaa

E trojan Qdel234 chega como se fosse uma prova de que o remetente invadiu o site Web da vítima

A McAfee Security, uma linha de produtos antivírus da Network Associates, está alertando o mercado para o aparecimento de um novo vírus, o verme (worm, em inglês) denominado W32/Benjamin.worm, que prejudica especialmente os internautas que compartilham arquivos musicais através do programa Kazaa. De origem alemã, ele é mais uma ameaça que, quando executada, se autocopia para o diretório \%Windir%\System\Explorer.scr, onde %Windir% é o diretório de instalação do Windows. Dessa forma, ele adiciona a chamada de \%Windir%\System\Explorer.scr à chave de registro:

Para que o verme se espalhe, é necessário que o programa Kazaa (que permite ao usuário compartilhar arquivos de multimídia) esteja instalado na máquina. O Benjamin.worm cria uma pasta denominada %Windir%\Temp\Sys32 e modifica as configurações do Kazaa de forma que os usuários remotos possam baixar arquivos desse diretório. Ele, então, se autocopia para o diretório mencionado, com diferentes nomes que podem ser procurados pelos usuários.

O tamanho dos arquivos criados pelo verme pode variar, uma vez que o vírus
acrescenta códigos inúteis aos arquivos, aumentando a quantidade de bytes. O método de propagação do Benjamin pode ser comparado ao do VBS/GWV.worm.
 
A McAfee Security considera o W32/Benjamin.worm como sendo de baixo risco devido ao pequeno número de reportes recebidos no Brasil e no mundo, porém alerta
sobre o poder de tornar-se uma ameaça de médio e/ou alto risco. Assim, recomenda que os produtos antivírus sejam atualizados semanalmente e estejam configurados para proteção também em arquivos compactados.

Mais um -  A empresa também alerta para o aparecimento de um novo trojan (invasor de sistemas), denominado Qdel234. De origem desconhecida e descoberto em 20/05/2002, é um simples arquivo executável em DOS que, quando carregado, apaga arquivos críticos do sistema da máquina da vítima.

Nas verificações feitas durante as primeiras 24 horas após a descoberta, a empresa constatou que o trojan tem sido enviado manualmente para outros usuários, anexado à mensagem de correio eletrônico na qual o remetente declara ter hackeado seu site na Web, dizendo por exemplo: "To prove that I did a small HACK to an area in your site and I renamed that "CMP". You can see that by viewing this attachment." - sendo anexado à mensagem o arquivo CMP.EXE. Quando executado na máquina da vítima, a seguinte mensagem é mostrada ao usuário:

Uma vez que o usuário pressiona uma tecla, os seguintes arquivos são apagados da máquina:

*.INI e *.EXE do diretório C:\windows\system
*.DLL e *.EXE do diretório C:\windows

Os caminhos de diretório acima são inseridos nos códigos do trojan, que é considerado pela McAfee Security como de baixo risco, devido ao pequeno número de reportes recebidos no Brasil e no mundo.

Produtos - A McAfee Security é uma linha de produtos da Network Associates, Inc. que protege empresas contra violações de segurança, ataques de vírus e ameaças mistas. Oferece uma abrangente proteção de rede através de tecnologias antivírus,
criptográficas, de firewall para estações de trabalho, de detecção de invasões, de avaliação de vulnerabilidades e de segurança gerenciada.

Todos os produtos e serviços dessa linha contam com o suporte dos laboratórios Avert (Antivirus Response Team, Equipe de Reação de Emergências Antivírus), responsável pela descoberta de curas para grandes epidemias, como LoveLetter, CodeRed e Nimda.

Empresa - Com sede em Santa Clara (Califórnia/EUA), a Network Associates, Inc. se especializou no fornecimento de soluções de segurança e disponibilidade para negócios eletrônicos. Possui três linhas de produtos: McAfee Security, de produtos antivírus e de segurança; Sniffer Technologies, na área de disponibilidade de redes e segurança de sistemas; e Magic Solutions, que fornece soluções de suporte pela Web.