Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano99/9911avir.htm
Publicado originalmente pelo editor de Novo Milênio no caderno Informática do jornal A Tribuna de Santos, em 2/11/1999.
Última modificação em (mês/dia/ano/horário): 01/05/00 11:21:09
VÍRUS
Thus terá ação principal no dia 13 de dezembro

A empresa de origem japonesa Trend Micro descobriu um novo vírus de macro, batizado de W97M_THUS, que apesar de seu simples processo de infecção (não se replica como o Melissa, por exemplo), possui grande capacidade de destruição.

Um documento infectado com o vírus THUS, ao ser aberto, inicialmente desabilita a proteção contra macro do Word e depois infecta o arquivo [Normal.dot] do Microsoft Word, além de qualquer outro arquivo que seja aberto pelo programa. No entanto, apesar do simples método de infecção, a sua rotina destrutiva, que é acionada no dia 13 de dezembro, irá excluir todos os arquivos contidos no drive [C:\] do computador.

A Trend Micro já oferece proteção contra este vírus, e todos os clientes devem atualizar sua lista de vírus. Quem não possuir o antivírus da Trend pode usar o HouseCall, o primeiro rastreador gratuito da Internet. 

Freelink – A empresa também alerta a todos os usuários de microcomputadores para que se previnam contra a disseminação do vírus VBS_Freelink, originalmente descoberto em 6/1999, mas que tem sido recentemente detectado no Wild-List, espalhando-se rapidamente por vários sites de empresas. O VBS_Freelink é um criptografado Worm escrito na linguagem de VBScript, muito semelhante ao Melissa, e infecta as versões de Windows 95, 98 e 2000. Este vírus se replica automaticamente através do MS-Outlook, MIRC, PIRCH e drivers mapeados da rede.

A mensagem e-mail emitida pelo vírus tem como Assunto [Check this]. Texto no corpo da mensagem: [Have fun with these links. Bye]. Este e-mail também contém um anexo "Link.vbs". Uma vez executado, este worm cria um arquivo nomeado de [RUNDLL.VBS] no diretório [Windows\System], adicionando no registro [HKEY_LOCAL_MACHINE\Software\] a entrada [Microsoft\Windows\CurrentVersion\Run\Rundll=Rundll.vbs]. Em seguida, envia uma cópia de si mesmo (Link.vbs) para todos os drivers mapeados da rede e para usuários do MS-Outlook, inclusive como um anexo.

Ao dar a entrada no Registro do Windows, este programa sempre executará o [RUNDLL.VBS] cada vez que for iniciado. Depois de infectar o sistema, o vírus exibe uma mensagem com o título "Free XXX links", com o seguinte conteúdo: "This will add a shortcut to free XXX links on your desktop. Do you want to continue". Se o usuário seleciona "yes", o vírus cria um atalho apontando para algum site da Web com conteúdo adulto. 

O worm então procura pelos programas de chat [MIRC32.EXE] e [PIRCH98.EXE, nos diretórios [C:\MIRC], [C:\PIRCH98], [C:\PROGRAM FILES], e os respectivos subdiretórios. Se o worm entrar em algum destes programas, modifica o correspondente arquivo [SCRIPT.INI] ou [EVENTS.INI] localizado no mesmo diretório. Isto faz com que o vírus seja enviado para outros usuários através de sessões de IRC. Todos os produtos da Trend Micro com a lista 594 já detectam e limpam este vírus.

Skeptic – Outro vírus de macro, batizado de W97M_60thSKEPTIC, foi também descoberto pela Trend Micro. Esta nova ameaça reúne técnicas de infecção semelhantes às dos vírus Melissa e Class.

Ao ser aberto, o W97M_60thSKEPTIC replica-se através de e-mail para os 60 usuários cadastrados no Catálogo de Endereços do Microsoft Outlook contido na máquina infectada. O campo [Assunto] indica a mensagem: "Important Message From <usuário>", enquanto no corpo do e-mail aparece: "Look what I found...", bem semelhante ao Melissa. Assim como o Class, o vírus também infecta o arquivo [Normal.Dot] do Microsoft Word 97, além de qualquer outro arquivo que seja aberto ou criado pelo programa.

O W97M_60thSKEPTIC ainda cria uma chave no Registro do Windows, chamada de "Sixtieth Skeptic", no [HKEY_CURRENT_USER\Software\Microsoft\Office\], com o valor "Where's Jamie?". Esta chave é criada para que o vírus certifique se os e-mails foram enviados ou não. Todos os produtos da Trend Micro com a lista 579 já detectam e limpam este vírus. Há mais informações no site.

Veja mais:
Trend Micro promove palestras sobre Segurança da Informação