Empresa especializada no combate a vírus, a Network Associates está disponibilizando na Internet, em sua página, informações atualizadas sobre o Remote Explorer (mais detalhes na edição anterior de Informática) e também outro vírus do gênero, o Picture.exe.

Ela explica na Web ter sido a autora da descoberta do vírus Remote Explorer, que atingiu recentemente a rede de computadores da MCI WorldCom, no que foi considerado "o primeiro incidente legítimo do CyberTerrorismo" que já havia sido visto. Em torno de 10 sites e milhares de servidores e estações foram infectados, não ficando claro se o vírus chegou pela Internet ou se foi implantado internamente.

Além dos arquivos DOC, também os arquivos de extensão XLS são encriptados com uma chave de criptografia, impedindo o acesso pelos usuários. Esta chave de criptografia já foi quebrada pela Network Associates, sendo possível recuperar os computadores infectados.

Segundo os técnicos da Network Associates, o vírus não pode se propagar em ambientes Unix ou Netware, porém pode utilizar qualquer link que possa identificar recursos do NT. O Remote Explorer possui um mecanismo de tempo que faz com que se propague mais rapidamente entre as 15 horas e as 6 horas da manhã, horário em que a administração de rede está tipicamente reduzida.

Outro – Já o Picture.exe é um "cavalo de Tróia" que se propaga através de spam (e-mails enviados para um mailing do qual o usuário faz parte sem a sua autorização). O usuário recebe um e-mail com um arquivo EXE anexado e a contaminação de seu computador ocorre através da execução desse arquivo.

Explica a Network Associates que o programa [MANAGER.EXE] (e não o [PICTURE.EXE]) é o lançador oficial da contaminação; quando executado, inicia também o [NOTE.EXE] de dentro do subdiretório Windows e adiciona aquele arquivo à linha RUN do [WIN.INI], de forma a ser executado sempre que o usuário iniciar o sistema.

Quando o [NOTE.EXE] é executado, procura pela existência do arquivo [$2321.EXE] nas pastas Windows. Não existindo o arquivo procurado, tenta criar um arquivo temporário na raiz de [C:\] chamado [FILE0001.CHK], camuflando-se assim como um dos arquivos gerados pela verificação de integridade do disco rígido. Uma vez criado com sucesso, constrói uma lista de arquivos [.TXT] e HTML no drive, repetindo a operação para todos os drives, até encontrar um no qual não possa criar o arquivo temporário (normalmente o drive de CD-ROM). A listagem é então escrita para um arquivo chamado [$2321.dat], que será encriptado adicionando 5 para cada caracter ASCII.

Na próxima inicialização do sistema infectado (e conseqüente execução do [NOTE.EXE]), é lido esse arquivo DAT, um novo arquivo (denominado [$4135.dat]) é criado numa pasta Windows, também codificado com a subtração de 5 de cada caracter ASCII. Se o usuário possuir o software cliente do American On Line instalado no sistema, o programa verifica o subdiretório [c:\AOL\IDB\MAIN.IDX] contendo os arquivos de cache com username e senha, presumindo-se que seja para enviar ao autor do programa. A próxima vez que [MANAGER.EXE] é executado, tenta enviar os arquivos [$2321.DAT] e [$4135.DAT] para um endereço e-mail na China.

Veja mais:
Hacker gasta mais de 200 horas para desenvolver novo vírus
Internet tem detecção gratuita instantânea
Certificada a primeira solução antivírus para múltiplas plataformas