Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano99/9901cvir.htm
*Publicado originalmente pelo editor de Novo Milênio no caderno Informática do jornal A Tribuna de Santos, em 19/1/1999.
Última modificação em (mês/dia/ano/horário): 01/07/00 14:06:09
ALERTA
Hacker gasta mais de 200 horas para desenvolver novo vírus 

Remote Explorer usa recursos do Windows NT para se replicar

Está surgindo uma nova geração no processo evolutivo dos vírus de computador: o Remote Explorer inaugura outra forma de infecção e disseminação, dispensando que o usuário  comande a execução de um arquivo para que o vírus possa cumprir sua missão nefasta. O novo vírus tem como alvos principais os sistemas rodando Windows NT Server e workstations (sendo o primeiro a se replicar em tais ambientes), disseminando-se através de redes locais (LANs) e de área ampla (WANs).

Segundo Sérgio Pires, da empresa NetSafe Informática, especializada em soluções de segurança e privacidade em computação, o vírus se instala como um serviço do NT chamado Remote Explorer, daí o nome. Quando está residente em memória, ele encripta arquivos com extensões EXE, TXT e HTML. Se os arquivos TASKMGR.SYS ou IE403R.SYS estiverem listados como processos, é sinal de que o sistema está infectado.

Autônomo – A principal característica do Remote Explorer é a capacidade de auto-deslocamento, sem a intervenção do usuário (via disquetes, e-mails etc.) para a replicação. O vírus se instala no sistema criando uma cópia de si mesmo no diretório NT Driver e se nomeando como IE403R.SYS. Ele também se instala como um serviço chamado Remote Explorer. Há ainda uma biblioteca de ligação dinâmica (DLL) que funciona nos processos de infecção e encriptação.

O vírus usa os privilégios de segurança do administrador do domínio para efetuar sua disseminação. Isto lhe confere capacidade de replicação em outros sistemas. Uma vez infectados, os arquivos são comprimidos e encriptados. Podendo infectar qualquer arquivo EXE, usa nessa tarefa uma rotina de compressão que torna tal arquivo inoperante.

Grande – Extremamente grande e complexo (por ser um vírus, já que a maioria deles é escrita em uma ou poucas linhas de código), o Remote Explorer tem 125 Kb, com aproximadamente 50 mil linhas de código. Escrito em linguagem C, o vírus deve ter consumido aproximadamente 200 horas de programação de seu criador.

A rotina de infecção do vírus roda das 15 horas de qualquer sábado às 6 horas do domingo seguinte. O vírus não possui data marcada para ataque, completa Sérgio Pires, que se prontifica a oferecer maiores detalhes pelo telefone (011) 5506.2566 ou pelo e-mail.

Veja mais:
Internet tem detecção gratuita instantânea
Certificada a primeira solução antivírus para múltiplas plataformas
Net tem detalhes sobre o Remote Explorer e um novo cavalo de Tróia