NOTÍCIAS 2002 - COPA-2002
Mais vírus aproveitam o campeonato mundial
Confirmando o que já alertavam as empresas de segurança de computação, o período da Copa do Mundo é atrativo para os
desenvolvedores de vírus de computador, pela maior facilidade de disseminação, já que aumenta o número de mensagens trocadas entre
os internautas. Assim, depois do surgimento do W32/Chick.f@M, a
McAfee Security, uma linha de produtos da desenvolvedora de soluções antivírus corporativas
Network Associates, está alertando o mercado para o aparecimento de dois novos
vermes (vírus de rede), denominados BAT/Bwg.b@MM e W32/Fishlet@MM.
De origem desconhecida, o BAT/Bwg.b@MM chega em uma mensagem de correio eletrônico como um
anexo denominado WorldCup.BAT, e será enviado para todos os endereços encontrados no livro de endereços do programa Outlook. A
mensagem tem este formato:
Assunto (Subject): WorldCup News!
Corpo (Body): read me for more world cup news!
Anexo (Attachment): WorldCup.BAT
Quando o anexo é executado, o vírus pode lançar no sistema os arquivos Argentina.Bat,
world_cup_.bat, germany.bat, china.bat, WorldCup.Bat, eyeball.reg, worldcup_score.vbs, japan.vbs, england.vbs, brazil.vbs,
costarica.bat. Alguns desses arquivos podem ser apagados pelo próprio verme.
O BAT/Bwg.b@MM cria o arquivo "worldcup_score.vbs", que tem como função enviar o verme para
outros destinatários. Após essa operação, o arquivo é apagado. A pasta C:\ThisIsOnlyASimpleWorm é criada e uma cópia do vírus é
copiada para dentro dela, com o nome de WorldCup.BAT.
Já o arquivo eyeball.reg criado tem o objetivo de editar chaves de registro. É então,
adicionada a seguinte chave contendo a chamada do vírus:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
"cqlyg"=windows directory\world_cup_.bat
ou
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
"eifxi"=
windows directory\china.bat
A partir daí, todos os arquivos .REG serão sobrescritos para que tenham também editada, em
suas estruturas, a chave mostrada acima, enquanto que todos os arquivos .VBS serão sobrescritos para executar o arquivo
"germany.bat" a partir do diretório Windows. O vírus também sobrescreverá os arquivos .BAT com seu próprio código viral, incluindo o
AUTOEXEC.BAT.
Finalmente, os seguintes arquivos de programas antivirus poderão ser apagados:
* C:\progra~1\norton~1\*.exe
* C:\progra~1\trojan~1\tc.exe
* C:\progra\norton~1\s32integ.dll
* C:\progra\f-prot95\fpwm32.dll
* C:\progra \mcafee\scan.dat
* C:\progra\tbav\tbav.dat
* C:\progra\avpersonal\antivir.vdf
* C:\tbavw95\tbscan.sig
O W32/Fishlet@MM é um verme para envio massivo de mensagens eletrônicas, de
multi-componentes, escrito em Visual Basic 6.0. O verme contém seu próprio mecanismo SMTP e tenta se auto-enviar para os endereços
de correio eletrônico extraídos do Windows Address Book, da lista de contatos do Outlook e de arquivos temporários da Internet.
Os formatos de mensagens utilizados pelo Fishlet são:
Assunto (Subject): vários, incluindo: 'Advice Note', 'Order Report', 'Order'
De (From): Várias possibilidades, incluindo:
'Online Marketplace' (orderrobot@ebay.com), ou
'eMarket Services' (mailrobot@ebayservice.com)
Anexo (Attachment): nome aleatório (------.EXE), 57,444 bytes (se não estiver
corrompido)
Corpo (Body): Dear eBay customer,
Thank you for using eBay services.
__________________________
O corpo da mensagem continua com detalhes de um Pentium 4 PC, solicitando o
usuário a executar o arquivo 'Secure Transfer Plugin' (que é o próprio verme)
para proceder com sua tarefa.
Uma vez executado o anexo na máquina da vítima, os endereços de correio eletrônico
encontrados são escritos para o arquivo %WINDIR%\FISHLET.BIN (onde %WINDIR% é o diretório de instalação do Windows). Esse arquivo é
posteriormente
apagado. Adicionalmente, os seguintes arquivos são lançados no sistema:
* %WINDIR%\SSH261.EXE (57,344 bytes) - cópia do verme
* %WINDIR%\CCFP.EXE (20,480 bytes)
* %WINDIR%\SNDVX.EXE (40,960 bytes)
O verme adiciona várias chaves de registro para armazenar configurações e se
auto-executar na inicialização do sistema. Essas chaves podem ser notadas como:
* \Run "SndVX" = C:\WINDOWS\SNDVX.EXE
* \Virus Protection\6.0 "Cache Protect"
* \Virus Protection\6.0 "Created"
* \Virus Protection\6.0 "DefAddress"
* \Virus Protection\6.0 "DefSMTPServer"
* \Virus Protection\6.0 "InstallDate"
Adicionalmente, duas imagens (.GIF) e um arquivo HTML são jogados no sistema, para
dentro do diretório temporário. A página HTML mostra um formulário para obter informações de cartões de crédito do usuário, e o
envia para um endereço remoto, o qual não está mais disponível.
O verme também tenta se espalhar via rede procurando por caminhos de diretórios que levem à
pasta "Startup" de máquinas remotas. Dessa forma, ele se auto-copia para essas pastas como AVSHIELD.EXE.
A McAfee Security considera os vírus BAT/Bwg.b@MM e W32/Fishlet@MM de baixo
risco devido ao pequeno número de casos reportados no Brasil e no mundo. A empresa recomenda
que os produtos antivírus sejam atualizados semanalmente, além de estar configurados para proteção em arquivos compactados. |