| Autor |
Mensagem |
Luisfree
Veterano |
# Enviado: 28/jan/04 09:51
MyDoom é a primeira explosão de vírus de 2004
No final da tarde da última segunda-feira foi descoberto um vírus de rápida propagação que já gerou alertas não só de empresas antivírus, mas também de empresas de segurança, como a ISS. Trata-se do worm W32/MyDoom-A ou W32.Novarg.A ou mesmo Mimail.R. A companhia britânica MessageLabs apresenta dados mostrando que já interceptou até a manhã de terça-feira nada menos que 1,2 milhão de cópias do worm, em 168 países. São processadas entre 50 mil e 60 mil cópias a cada hora. "Esta é certamente a primeira grande explosão de vírus de 2004", disse Mark Sunner, Chief Technology Officer da empresa. A empresa calcula que um em cada 12 e-mails que circulam na Internet carrega o vírus.
De fato, a partir da noite de segunda-feira a redação de InfoGuerra começou a receber várias mensagens contaminadas pelo novo vírus, o que mostra que a praga já chegou ao Brasil. Um dos efeitos do MyDoom que mais chamam a atenção é que o código maléfico foi programado para lançar ataques de negação de serviço ao site da fabricante de software SCO, que angariou antipatia de muita gente depois dos processos contra o Linux por violação de direitos autorais. A Trend Micro informa que os ataques estão marcados para começar no dia primeiro de fevereiro e terminar no dia 12 do mesmo mês, data em que também se encerra a maioria das rotinas do worm.
De acordo com a Sophos, que lançou um alerta "de emergência", o worm também tem capacidade de instalar uma backdoor (porta oculta) no computador, que dá a usuários mal-intencionados acesso externo à máquina. Segundo a ISS, o MyDoom ainda instala no sistema um servidor proxy que transforma a máquina da vítima num meio para enviar spam, uma tendência de vários worms recentes.
MyDoom se espalha por e-mail e por pastas compartilhadas da rede de troca de arquivos KaZaA. As mensagens eletrônicas que o carregam, na forma de um anexo com várias extensões, têm assuntos e conteúdos também variados. Entre os assuntos que mais observamos nas mensagens contaminadas recebidas estão "Hello" e "Test", com anexos de extensão .ZIP, principalmente. Já o corpo das mensagens trazia comumente frases como "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment." (A mensagem não pode ser representada em codificação ASCII de 7 bits e foi enviada como um anexo binário.) e "The message contains Unicode characters and has been sent as a binary attachment." (A mensagem contém caracteres Unicode e foi enviada como um anexo binário.)
Isto faz do MyDoom um worm diferente de outros vistos anteriormente, segundo Graham Cluley, consultor da Sophos. "Ele não tenta seduzir os usuários a abrir o anexo oferecendo fotos sexy de celebridades ou mensagens privadas, mas pode se passar por uma mensagem que soa como técnica, alegando que o corpo do e-mail foi posto num arquivo anexo". Veja uma cópia de uma das mensagens recebidas por InfoGuerra:
Quando salvo no disco rígido, o anexo usado pelo MyDoom pode simular o ícone de um arquivo de texto, conforme se vê abaixo:
Ao ser executado, o anexo faz uma cópia de si mesmo na pasta System do Windows, com o nome de taskmon.exe, que também é o nome de um aplicativo legítimo do sistema. O worm descarrega ainda outro arquivo, chamado shimgapi.dll, uma backdoor que permite conexões externas pela porta TCP 3127. Além disso, são adicionados valores ao registro do Windows, para que o código maléfico seja executado toda vez que o sistema é iniciado. Para se enviar por e-mail, o MyDoom recolhe os endereços do destinatário e do remetente de vários arquivos presentes no sistema infectado, portanto, a origem das mensagens não corresponde necessariamente ao verdadeiro remetente.
O MyDoom está sendo considerado de risco médio a alto pelas empresas antivírus. A maior parte delas já atualizou suas definições de vírus para detectar a praga, por isso é importante que você atualize seu programa também, caso ele não tenha esta função automaticamente.
|
maggie
Moderadora |
# Enviado: 28/jan/04 10:06
Votar
Eu recebi por email e foi só abrir a msg que infectou e reenviou pra toda lista de endereços.
Se alguém receber um mail meu com o título de Hello, apague.
|
The Black Moon
Veterano |
# Enviado: 28/jan/04 10:09
Votar
com meu AVG atualizado e ad-aware + firewall ativado, quero ver hehehehe, brincadeira, tem q icar esperto mesmo :0
maggie
oie
|
André Gomez
Veterano |
# Enviado: 28/jan/04 12:06
Votar
Eu uso o Ab-aware, Spy Bot, Norton e Fire Wall. Proteção nunca é demais!!!
|
The Black Moon
Veterano |
# Enviado: 28/jan/04 12:12
Votar
André Gomez
Norton é bom + muuuuuuuuito pesado, eu usava e qdo descobri o AVG 7, nossa troquei na hora, muito + leve e muito + atualizado, até quem tem discada faz os updates deste anti-virus. Vale a pena experimentar!
|
André Gomez
Veterano |
# Enviado: 28/jan/04 12:14
Votar
The Black Moon
Pô, eu até que não acho ele muito pesado, mas valeu a dica sobre o AVG 7, vou ver se baixo ele (provavélmente tem no Superdownloads).
Obrigado
|
Luisfree
Veterano |
# Enviado: 28/jan/04 14:22
Votar
é, o norton é pesado, eu uso, e tem evitado dezenas de arquivos que o virus w32, vale a pena.
|
LeandroP
Membro |
# Enviado: 29/jan/04 00:03
Votar
eu já recebi uns três e-mail desses... é verdade mesmo.
|
caiohleal
Veterano |
# Enviado: 29/jan/04 00:49
Votar
heauheaueah, ñ recebi nenhum ñ...
... mas eu nunca abro email q tem título em inglês
|
