NOTÍCIAS 2002

McAfee Security alerta sobre vírus do KaZaa

Além das variantes do Enerkaz, há também o Supova

A McAfee Security, linha de produtos da Network Associates (especializada em soluções antivírus corporativas), está alertando o mercado para o aparecimento de dois novos vírus, denominados: W32/Enerkaz.worm.a e W32/Enerkaz.worm.b.

De origem desconhecida, são vermes (vírus de rede) que se espalham através de arquivos compartilhados do KaZaa (programa de compartilhamento de arquivos entre internautas, via Internet, muito usado para obter cópias piratas de músicas e programas de computador), em uma rede. Para que sua propagação ocorra, é necessário que o programa KaZaa esteja executando. Também é necessário que pelo menos 98 pastas, com conteúdos locais diferentes, estejam compartilhadas. Quando o código do verme é executado, uma mensagem é mostrada ao usuário:

No caso da variante .A, a tela a ser exibida é a seguinte:

Já, para a variante .B:

Ele cria uma pasta dentro do diretório de instalação do Windows, denominada
\Sys32 e se copia para esta, como turbo_forkaza.exe (no caso da variante .A)
e como spank_britney.exe (no caso da variante .B). Dessa forma, o verme modifica a pasta compartilhada do KaZaa, apontando-a para a nova pasta criada. Isso é feito através de uma chave de registro que pode ser identificada como:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent\
dir99=012345:C:\WINDOWS\sys32

Adicionalmente, uma outra chave de registro é criada para assegurar que a alteração de compartilhamento do KaZaa está habilitada. Essa chave é identificada como:

HKEY_CURRENT_USER\Software\KAZAA\LocalContent\DisableSharing=0

A McAfee Security considera os vírus W32/Enerkaz.worm.a e W32/Enerkaz.worm.b de Baixo Risco devido ao pequeno número de reportes recebidos no Brasil e no mundo. A McAfee Security recomenda que os produtos antivírus sejam atualizados semanalmente, além de estar configurados para proteção em arquivos compactados (compressed files).

Outro - Além desse vírus, também o verme Supova, descoberto em 7/2002 pela McAfee, usa o KaZaA e o MSN Messenger para contaminar os computadores dos internautas, enviando mensagens que convidam os usuários a abrir um anexo ou copiar um arquivo. Se o internauta seguir as instruções da mensagem, o vírus criará vários arquivos na pasta C:\Windows\Media do computador e também alterará o registro do sistema operacional para ser ativado sempre que o PC for ligado. Em seguida, tentará usar o comunicador instantâneo MSN Messenger para enviar cópias de si mesmo para os usuários da lista de contatos. A mensagem pode chegar das seguintes formas:

Hehe, check this out :-)
Funny, check it out
LOL!! See this :D
LOL!! Check this out :)
Hehe, this is fun :-)

O internauta deve atentar para a lista de arquivos que o verme gera e evitar de baixá-los na rede do programa KaZaA:

No Outlook Express - Outro vírus descoberto em 7/2992 pela McAfee tenta usar o Outlook Express para se espalhar pela rede: o Wabbin chega ao internauta por mensagem eletrônica sem anexos ouy códigos virais em scripts, mas apenas com o endereço de um site com um arquivo executável que é o responsável pela disseminação do vírus. Segundo a McAfee, o site foi retirado da Web logo após a descoberta do vírus.