Trojan Xombe se disfarça de atualização do Windows XP

A F-Secure, empresa de segurança finlandesa, emitiu nesta sexta-feira um alerta sobre um cavalo de Tróia que está se espalhando rapidamente pela Internet via e-mail.O Trojan.Win32.Xombe foi enviado como spam para um grande número de pessoas, sob o pretexto de ser uma atualização crítica da Microsoft, e contém um anexo que faz o download automático de um outro trojan no computador da vítima.

O Xombe usa como disfarce uma mensagem com endereço de rementente windowsupdate@microsoft.com e o assunto "Windows XP Service Pack 1 (Express) - Critical Update". O conteúdo da mensagem, em inglês, alega que a Microsoft determinou que a máquina em questão estava rodando uma versão beta do Windows XP SP1 e por isso deverá instalar uma nova versão do software. Para tanto, deve rodar o arquivo anexo, que tem o nome de "winxp_sp1.exe".

Ao ser executado, o arquivo acessa a Internet e faz o download de um trojan, chamado de "msvchost.exe". Este arquivo é o principal componente do Xombe e é controlado por uma página Web. Serve para fazer o download de arquivos da Internet para vários propósitos e instalá-los no sistema infectado. O arquivo é instalado na pasta System do diretório Windows da máquina infectada e cria uma entrada no registro do sistema ("HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunmssvc") para ser executado automaticamente.

Além desse arquivo, o cavalo de Tróia instala o arquivo "http_f.dll", que tem a função de cliente HTTP, podendo ser usado para fazer ataques de negação de serviço contra um site que hospeda fóruns de discussão.

A reprodução integral da mensagem e outros detalhes sobre o Xombe podem ser encontrados em http://www.f-secure.com/v-descs/xombe.shtml