Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano02/0205e040.htm
Última modificação em (mês/dia/ano/horário): 06/14/02 14:41:52
Clique na imagem para ir ao índice de Notícias 2002
NOTÍCIAS 2002 - COPA-2002
Mais vírus aproveitam o campeonato mundial

Confirmando o que já alertavam as empresas de segurança de computação, o período da Copa do Mundo é atrativo para os desenvolvedores de vírus de computador, pela maior facilidade de disseminação, já que aumenta o número de mensagens trocadas entre os internautas. Assim, depois do surgimento do W32/Chick.f@M, a McAfee Security, uma linha de produtos da desenvolvedora de soluções antivírus corporativas Network Associates, está alertando o mercado para o aparecimento de dois novos vermes (vírus de rede), denominados BAT/Bwg.b@MM e W32/Fishlet@MM.

De origem desconhecida, o BAT/Bwg.b@MM chega em uma mensagem de correio eletrônico como um anexo denominado WorldCup.BAT, e será enviado para todos os endereços encontrados no livro de endereços do programa Outlook. A mensagem tem este formato:

Assunto (Subject): WorldCup News!
Corpo (Body): read me for more world cup news!
Anexo (Attachment): WorldCup.BAT

Quando o anexo é executado, o vírus pode lançar no sistema os arquivos Argentina.Bat, world_cup_.bat, germany.bat, china.bat, WorldCup.Bat, eyeball.reg, worldcup_score.vbs,  japan.vbs, england.vbs, brazil.vbs, costarica.bat. Alguns desses arquivos podem ser apagados pelo próprio verme.

O BAT/Bwg.b@MM cria o arquivo "worldcup_score.vbs", que tem como função enviar o verme para outros destinatários. Após essa operação, o arquivo é apagado. A pasta C:\ThisIsOnlyASimpleWorm é criada e uma cópia do vírus é copiada para dentro dela, com o nome de WorldCup.BAT.

Já o arquivo eyeball.reg criado tem o objetivo de editar chaves de registro. É então, adicionada a seguinte chave contendo a chamada do vírus:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
"cqlyg"=windows directory\world_cup_.bat

ou

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, "eifxi"=
windows directory\china.bat

A partir daí, todos os arquivos .REG serão sobrescritos para que tenham também editada, em suas estruturas, a chave mostrada acima, enquanto que todos os arquivos .VBS serão sobrescritos para executar o arquivo "germany.bat" a partir do diretório Windows. O vírus também sobrescreverá os arquivos .BAT com seu próprio código viral, incluindo o AUTOEXEC.BAT.

Finalmente, os seguintes arquivos de programas antivirus poderão ser apagados:
* C:\progra~1\norton~1\*.exe 
* C:\progra~1\trojan~1\tc.exe
* C:\progra\norton~1\s32integ.dll
* C:\progra\f-prot95\fpwm32.dll
* C:\progra \mcafee\scan.dat
* C:\progra\tbav\tbav.dat
* C:\progra\avpersonal\antivir.vdf
* C:\tbavw95\tbscan.sig

O W32/Fishlet@MM é um verme para envio massivo de mensagens eletrônicas, de multi-componentes, escrito em Visual Basic 6.0. O verme contém seu próprio mecanismo SMTP e tenta se auto-enviar para os endereços de correio eletrônico extraídos do Windows Address Book, da lista de contatos do Outlook e de arquivos temporários da Internet.

Os formatos de mensagens utilizados pelo Fishlet são:

Assunto (Subject): vários, incluindo: 'Advice Note', 'Order Report', 'Order'

De (From): Várias possibilidades, incluindo:
'Online Marketplace' (orderrobot@ebay.com), ou
'eMarket Services' (mailrobot@ebayservice.com)

Anexo (Attachment): nome aleatório (------.EXE), 57,444 bytes (se não estiver
corrompido)
Corpo (Body): Dear eBay customer,
Thank you for using eBay services.
__________________________

O corpo da mensagem continua com detalhes de um Pentium 4 PC, solicitando o
usuário a executar o arquivo 'Secure Transfer Plugin' (que é o próprio verme)
para proceder com sua tarefa.

Uma vez executado o anexo na máquina da vítima, os endereços de correio eletrônico encontrados são escritos para o arquivo %WINDIR%\FISHLET.BIN (onde %WINDIR% é o diretório de instalação do Windows). Esse arquivo é posteriormente
apagado. Adicionalmente, os seguintes arquivos são lançados no sistema:
* %WINDIR%\SSH261.EXE (57,344 bytes) - cópia do verme
* %WINDIR%\CCFP.EXE (20,480 bytes)
* %WINDIR%\SNDVX.EXE (40,960 bytes)

O verme adiciona várias chaves de registro para armazenar configurações e se
auto-executar na inicialização do sistema. Essas chaves podem ser notadas como:
* \Run "SndVX" = C:\WINDOWS\SNDVX.EXE
* \Virus Protection\6.0 "Cache Protect"
* \Virus Protection\6.0 "Created"
* \Virus Protection\6.0 "DefAddress"
* \Virus Protection\6.0 "DefSMTPServer"
* \Virus Protection\6.0 "InstallDate"

Adicionalmente, duas imagens (.GIF) e um arquivo HTML são jogados no sistema, para dentro do diretório temporário. A página HTML mostra um formulário para obter informações de cartões de crédito do usuário, e o envia para um endereço remoto, o qual não está mais disponível.

O verme também tenta se espalhar via rede procurando por caminhos de diretórios que levem à pasta "Startup" de máquinas remotas. Dessa forma, ele se auto-copia para essas pastas como AVSHIELD.EXE.

A McAfee Security considera os vírus BAT/Bwg.b@MM e W32/Fishlet@MM de baixo
risco devido ao pequeno número de casos reportados no Brasil e no mundo. A empresa recomenda que os produtos antivírus sejam atualizados semanalmente, além de estar configurados para proteção em arquivos compactados.