Luisfree
Veterano |
# jan/04
MyDoom é a primeira explosão de vírus de 2004
No final da tarde da última segunda-feira foi descoberto um vírus de rápida propagação que já gerou alertas não só de empresas antivírus, mas também de empresas de segurança, como a ISS. Trata-se do worm W32/MyDoom-A ou W32.Novarg.A ou mesmo Mimail.R. A companhia britânica MessageLabs apresenta dados mostrando que já interceptou até a manhã de terça-feira nada menos que 1,2 milhão de cópias do worm, em 168 países. São processadas entre 50 mil e 60 mil cópias a cada hora. "Esta é certamente a primeira grande explosão de vírus de 2004", disse Mark Sunner, Chief Technology Officer da empresa. A empresa calcula que um em cada 12 e-mails que circulam na Internet carrega o vírus.
De fato, a partir da noite de segunda-feira a redação de InfoGuerra começou a receber várias mensagens contaminadas pelo novo vírus, o que mostra que a praga já chegou ao Brasil. Um dos efeitos do MyDoom que mais chamam a atenção é que o código maléfico foi programado para lançar ataques de negação de serviço ao site da fabricante de software SCO, que angariou antipatia de muita gente depois dos processos contra o Linux por violação de direitos autorais. A Trend Micro informa que os ataques estão marcados para começar no dia primeiro de fevereiro e terminar no dia 12 do mesmo mês, data em que também se encerra a maioria das rotinas do worm.
De acordo com a Sophos, que lançou um alerta "de emergência", o worm também tem capacidade de instalar uma backdoor (porta oculta) no computador, que dá a usuários mal-intencionados acesso externo à máquina. Segundo a ISS, o MyDoom ainda instala no sistema um servidor proxy que transforma a máquina da vítima num meio para enviar spam, uma tendência de vários worms recentes.
MyDoom se espalha por e-mail e por pastas compartilhadas da rede de troca de arquivos KaZaA. As mensagens eletrônicas que o carregam, na forma de um anexo com várias extensões, têm assuntos e conteúdos também variados. Entre os assuntos que mais observamos nas mensagens contaminadas recebidas estão "Hello" e "Test", com anexos de extensão .ZIP, principalmente. Já o corpo das mensagens trazia comumente frases como "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment." (A mensagem não pode ser representada em codificação ASCII de 7 bits e foi enviada como um anexo binário.) e "The message contains Unicode characters and has been sent as a binary attachment." (A mensagem contém caracteres Unicode e foi enviada como um anexo binário.)
Isto faz do MyDoom um worm diferente de outros vistos anteriormente, segundo Graham Cluley, consultor da Sophos. "Ele não tenta seduzir os usuários a abrir o anexo oferecendo fotos sexy de celebridades ou mensagens privadas, mas pode se passar por uma mensagem que soa como técnica, alegando que o corpo do e-mail foi posto num arquivo anexo". Veja uma cópia de uma das mensagens recebidas por InfoGuerra:
Quando salvo no disco rígido, o anexo usado pelo MyDoom pode simular o ícone de um arquivo de texto, conforme se vê abaixo:
Ao ser executado, o anexo faz uma cópia de si mesmo na pasta System do Windows, com o nome de taskmon.exe, que também é o nome de um aplicativo legítimo do sistema. O worm descarrega ainda outro arquivo, chamado shimgapi.dll, uma backdoor que permite conexões externas pela porta TCP 3127. Além disso, são adicionados valores ao registro do Windows, para que o código maléfico seja executado toda vez que o sistema é iniciado. Para se enviar por e-mail, o MyDoom recolhe os endereços do destinatário e do remetente de vários arquivos presentes no sistema infectado, portanto, a origem das mensagens não corresponde necessariamente ao verdadeiro remetente.
O MyDoom está sendo considerado de risco médio a alto pelas empresas antivírus. A maior parte delas já atualizou suas definições de vírus para detectar a praga, por isso é importante que você atualize seu programa também, caso ele não tenha esta função automaticamente.
|