VÍRUS
Thus terá ação
principal no dia 13 de dezembro
A empresa
de origem japonesa Trend Micro descobriu um novo vírus de macro,
batizado de W97M_THUS, que apesar de seu simples processo de infecção
(não se replica como o Melissa, por exemplo), possui grande capacidade
de destruição.
Um documento infectado com o vírus
THUS, ao ser aberto, inicialmente desabilita a proteção contra
macro do Word e depois infecta o arquivo [Normal.dot] do Microsoft Word,
além de qualquer outro arquivo que seja aberto pelo programa. No
entanto, apesar do simples método de infecção, a sua
rotina destrutiva, que é acionada no dia 13 de dezembro, irá
excluir todos os arquivos contidos no drive [C:\] do computador.
A Trend Micro já oferece proteção
contra este vírus, e todos os clientes devem atualizar sua lista
de vírus. Quem não possuir o antivírus da Trend pode
usar o HouseCall, o primeiro rastreador gratuito da Internet.
Freelink – A empresa também
alerta a todos os usuários de microcomputadores para que se previnam
contra a disseminação do vírus VBS_Freelink, originalmente
descoberto em 6/1999, mas que tem sido recentemente detectado no Wild-List,
espalhando-se rapidamente por vários sites de empresas. O VBS_Freelink
é um criptografado Worm escrito na linguagem de VBScript, muito
semelhante ao Melissa, e infecta as versões de Windows 95, 98 e
2000. Este vírus se replica automaticamente através do MS-Outlook,
MIRC, PIRCH e drivers mapeados da rede.
A mensagem e-mail emitida
pelo vírus tem como Assunto [Check this]. Texto no corpo da mensagem:
[Have fun with these links. Bye]. Este e-mail
também contém um anexo "Link.vbs". Uma vez executado, este
worm cria um arquivo nomeado de [RUNDLL.VBS] no diretório
[Windows\System], adicionando no registro [HKEY_LOCAL_MACHINE\Software\]
a entrada [Microsoft\Windows\CurrentVersion\Run\Rundll=Rundll.vbs].
Em seguida, envia uma cópia de si mesmo (Link.vbs) para todos os
drivers mapeados da rede e para usuários do MS-Outlook, inclusive
como um anexo.
Ao dar a entrada no Registro do Windows,
este programa sempre executará o [RUNDLL.VBS] cada vez que for iniciado.
Depois de infectar o sistema, o vírus exibe uma mensagem com o título
"Free XXX links", com o seguinte conteúdo:
"This will add a shortcut to free XXX links on your
desktop. Do you want to continue". Se o usuário seleciona
"yes", o vírus cria um atalho apontando para algum site da Web com
conteúdo adulto.
O worm então procura
pelos programas de chat [MIRC32.EXE] e [PIRCH98.EXE, nos diretórios
[C:\MIRC], [C:\PIRCH98], [C:\PROGRAM FILES], e os respectivos subdiretórios.
Se o worm entrar em algum destes programas, modifica o correspondente arquivo
[SCRIPT.INI] ou [EVENTS.INI] localizado no mesmo diretório. Isto
faz com que o vírus seja enviado para outros usuários através
de sessões de IRC. Todos os produtos da Trend Micro com a lista
594 já detectam e limpam este vírus.
Skeptic – Outro vírus
de macro, batizado de W97M_60thSKEPTIC, foi também descoberto pela
Trend Micro. Esta nova ameaça reúne técnicas de infecção
semelhantes às dos vírus Melissa e Class.
Ao ser aberto, o W97M_60thSKEPTIC
replica-se através de e-mail para os 60 usuários cadastrados
no Catálogo de Endereços do Microsoft Outlook contido na
máquina infectada. O campo [Assunto] indica a mensagem: "Important
Message From <usuário>", enquanto no corpo do e-mail aparece:
"Look what I found...", bem semelhante ao Melissa. Assim como o Class,
o vírus também infecta o arquivo [Normal.Dot] do Microsoft
Word 97, além de qualquer outro arquivo que seja aberto ou criado
pelo programa.
O W97M_60thSKEPTIC ainda cria uma
chave no Registro do Windows, chamada de "Sixtieth Skeptic", no [HKEY_CURRENT_USER\Software\Microsoft\Office\],
com o valor "Where's Jamie?". Esta chave é
criada para que o vírus certifique se os e-mails foram enviados
ou não. Todos os produtos da Trend Micro com a lista 579 já
detectam e limpam este vírus. Há mais informações
no site.
Veja mais:
Trend
Micro promove palestras sobre Segurança da Informação |