Grupo do Oriente Médio usa AIM para atacar PCs

O risco de ataques remotos por meio de sistemas de instant messaging (IM) não é papo furado.Segundo a empresa de segurança Facetime Security Labs, a praga W32/Sdbot-ADD, que infecta o AOL Instant Messenger (AIM) e foi descoberta em outubro, é muito mais perigosa do que se imaginava.

O novo alerta informa que o rootkit "lockx.exe" instalado pela praga, permite que os sistemas da vítima sejam comprometidos por um grupo de hackers do Oriente Médio. Este grupo instala códigos maliciosos na máquina afetada capazes de roubar dados pessoais e confidenciais do internauta.

Segundo a Facetime, aparentemente, milhares de sistemas podem estar infectados com o rootkit enviado pelo Sdbot-ADD. As máquinas afetadas também podem ser usadas como exércitos de PCs para promover ataques de negação de serviço - denial of service (DoS) - contra determinados web sites.

A praga infecta o sistema pedindo que o internauta abra um link enviado via AIM, supostamente por um amigo da lista de contatos do usuário. Ao clicar no link a sequência de infecção é iniciada, começando pela descarga de uma série de arquivos de adware, incluindo o próprio rootkit lockx.exe.

Uma vez dominado o PC, a praga procura desabilitar o software antivírus e instalar um programa que permite o controle remoto da máquina infectada via instant messaging, abrindo uma porta a futuros ataques. O código malicioso ainda carrega um engine SMTP para coletar endereços de e-mail da vítima.

Além dos ataques, o código malicioso pode roubar nomes de usuários, senhas e outras informações digitadas ou clicadas pelo internauta, incluindo senhas do Outlook Express para a distribuição de ataques adicionais a outros sites ou redes.

A Facetime informou ter publicado em seu site http://facetime.com/ uma ferramenta que varre sistemas para identificar a presença do lockx.exe.