Total Security - www.totalsecurity.com.br
Vírus MyDoom.F ataca Riaa e destrói arquivos
Descoberto entre quinta-feira e sexta-feira da semana passada, o worm MyDoom.F só passou a causar maior preocupação a partir de ontem, dia 24, devido à quantidade de cópias da praga que continuam sendo detectadas.Similar ao MyDoom original, a versão F do worm lança um ataque de negação de serviço (DoS) contra o site da RIAA, a associação das gravadoras americanas que tem perseguido usuários de redes P2P, e também contra o site da Microsoft, como já fazia o MyDoom.B.
Outra característica danosa da praga é destruir arquivos no disco rígido em que se instala. Empresas como McAfee e F-Secure já aumentaram de baixo para médio o risco associado ao MyDoom.F.
O worm se dissemina por e-mail em mensagens com múltiplas características, usando seu próprio mecanismo SMTP.
A linha de assunto, o corpo das mensagens e os nomes dos anexos são retirados de listas com muitas opções, tornando difícil a catalogação de uma mensagem padrão usada pelo MyDoom.F. Algumas expressões usadas na linha do assunto também são empregadas pelo worm Sober.C. A extensão dos arquivos anexos também é variável. Da mesma forma como suas versões anteriores, o MyDoom.F coleta endereços de e-mail do catálogo do Windows (arquivos com extensão .wab) e de vários outros tipos de arquivos presentes na máquina infectada, utilizando-os aleatoriamente para preencher os campos do remetente e do destinatário. Isto torna as mensagens enviadas pelo worm completamente forjadas.
Enquanto procura por endereços de e-mail, em todas as pastas de todos os drives do disco rígido, o worm compara as extensões dos arquivos com uma lista presente em seu código. Caso encontre arquivos com extensões referentes principalmente a documentos e arquivos multimídia, irá apagá-los dentro de certas probabilidades variáveis para cada extensão, segundo a F-Secure.
Além da propagação por e-mail, o worm busca por pastas compartilhadas para se disseminar por redes locais e remotas, como redes P2P, afirma a Trend Micro. Isto é feito quando uma cópia do worm é depositada nestas pastas, possibilitando que outros usuários baixem e executem os arquivos.
A partir do dia 1 de fevereiro de 2004, o MyDoom.F tenta lançar ataques de negação de serviço aos sites www.riaa.com e www.microsoft.com. Os ataques estão programados para durar até 14 de fevereiro de 2006, segundo a Trend Micro, quando então boa parte das atividades do worm cessará, com exceção da funcionalidade da backdoor (porta oculta) que instala nas máquinas afetadas.
Esta backdoor é instalada na porta 1080, a qual poderá ser usada por invasores para tomar controle do sistema remotamente. A praga também tem a capacidade de abrir várias portas entre 3000 e 5000, usá-las para se conectar a servidores SMTP e enviar mensagens de e-mail.
Quando o arquivo anexo é executado, uma falsa (e variável) mensagem de erro é apresentada na tela. A partir do momento da execução, o MyDoom.F faz cópias de si mesmo na pasta System do Windows, nas versões 95, 98, ME, NT, 2000 e XP. Também modifica chaves do registro de modo a ser carregado toda vez que o sistema é iniciado. Outra característica do worm é finalizar processos associados a várias marcas de programas antivírus
De acordo com empresas do setor, o MyDoom.F traz o seguinte trecho em seu código: "I am Irony, made by jxq7" (Eu sou "Irony", feito por jxq7).
Os internautas devem atualizar seus antivírus, pois a maioria já é capaz de detectar e eliminar a praga.
Outra característica danosa da praga é destruir arquivos no disco rígido em que se instala. Empresas como McAfee e F-Secure já aumentaram de baixo para médio o risco associado ao MyDoom.F.
O worm se dissemina por e-mail em mensagens com múltiplas características, usando seu próprio mecanismo SMTP.
A linha de assunto, o corpo das mensagens e os nomes dos anexos são retirados de listas com muitas opções, tornando difícil a catalogação de uma mensagem padrão usada pelo MyDoom.F. Algumas expressões usadas na linha do assunto também são empregadas pelo worm Sober.C. A extensão dos arquivos anexos também é variável. Da mesma forma como suas versões anteriores, o MyDoom.F coleta endereços de e-mail do catálogo do Windows (arquivos com extensão .wab) e de vários outros tipos de arquivos presentes na máquina infectada, utilizando-os aleatoriamente para preencher os campos do remetente e do destinatário. Isto torna as mensagens enviadas pelo worm completamente forjadas.
Enquanto procura por endereços de e-mail, em todas as pastas de todos os drives do disco rígido, o worm compara as extensões dos arquivos com uma lista presente em seu código. Caso encontre arquivos com extensões referentes principalmente a documentos e arquivos multimídia, irá apagá-los dentro de certas probabilidades variáveis para cada extensão, segundo a F-Secure.
Além da propagação por e-mail, o worm busca por pastas compartilhadas para se disseminar por redes locais e remotas, como redes P2P, afirma a Trend Micro. Isto é feito quando uma cópia do worm é depositada nestas pastas, possibilitando que outros usuários baixem e executem os arquivos.
A partir do dia 1 de fevereiro de 2004, o MyDoom.F tenta lançar ataques de negação de serviço aos sites www.riaa.com e www.microsoft.com. Os ataques estão programados para durar até 14 de fevereiro de 2006, segundo a Trend Micro, quando então boa parte das atividades do worm cessará, com exceção da funcionalidade da backdoor (porta oculta) que instala nas máquinas afetadas.
Esta backdoor é instalada na porta 1080, a qual poderá ser usada por invasores para tomar controle do sistema remotamente. A praga também tem a capacidade de abrir várias portas entre 3000 e 5000, usá-las para se conectar a servidores SMTP e enviar mensagens de e-mail.
Quando o arquivo anexo é executado, uma falsa (e variável) mensagem de erro é apresentada na tela. A partir do momento da execução, o MyDoom.F faz cópias de si mesmo na pasta System do Windows, nas versões 95, 98, ME, NT, 2000 e XP. Também modifica chaves do registro de modo a ser carregado toda vez que o sistema é iniciado. Outra característica do worm é finalizar processos associados a várias marcas de programas antivírus
De acordo com empresas do setor, o MyDoom.F traz o seguinte trecho em seu código: "I am Irony, made by jxq7" (Eu sou "Irony", feito por jxq7).
Os internautas devem atualizar seus antivírus, pois a maioria já é capaz de detectar e eliminar a praga.
Fonte:
Terra
URL Fonte: http://www.totalsecurity.com.br/noticia/535/visualizar/
Comentários