Usu?rios ACESSA.com est?o protegidos
Fernanda Monteiro
28/01/04
Mais de cem milh?es de e-mails infectados em todo o mundo, cerca de 55 mil
c?pias por hora. Com n?meros
assim, o v?rus MyDoom est? sendo considerado a praga mais r?pida de todos os
tempos. S? nas primeiras 24 horas de vida, espalhou 1,2 milh?es de c?pias
em 168 pa?ses, ultrapassando o SoBig.F, que havia feito
um milh?o de c?pias no mesmo per?odo.Trata-se do worm W32/MyDoom-A, que tamb?m recebe o nome de W32.Novarg.A ou mesmo Mimail.R. Ele chegou ao Brasil na ?ltima segunda-feira, dia 26 de janeiro. O pa?s j? est? na s?tima coloca??o entre os locais mais contaminados.
Al?vio com precau??o
No entanto, os assinantes da ACESSA.com podem ficar descansados. O
antiv?rus do Provedor barra os e-mails contaminados. "O MyDoom chama a
aten??o pela velocidade que se propagou. Mas, conseguimos ser mais r?pidos
que ele", afirma a gerente de suporte da ACESSA.com, Josiane Bitar
Severo. Ela alerta que, como o v?rus pode ser transmitido por outros
meios (como arquivos os compartilhados na Web), al?m da mensagem eletr?nica, ? importante manter um antiv?rus
atualizado no computador.
Os usu?rios da ACESSA.com podem fazer o downloald do antiv?rus AVG (gr?tis) no endere?o http://download.artnet.com.br da ?rea de assinantes. O antiv?rus possui atualiza??o autom?tica toda a vez que o usu?rio entra na internet. Assim fica mais f?cil evitar a contamina??o. Independente disso, como j? alertou Josiane, o antiv?rus do Provedor providencia o bloqueio.
Identificando o MyDoom
MyDoom se espalha por e-mail e por pastas compartilhadas da rede de troca de
arquivos KaZaA.
As mensagens com o novo v?rus costumam vir com "Hello" ou "Test", no campo 'assunto' (ou subject) e t?m anexos de extens?o . ZIP, na maioria dos casos. O corpo da mensagem vem com frases do tipo "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment." (A mensagem n?o pode ser representada em codifica??o ASCII de 7 bits e foi enviada como um anexo bin?rio) e "The message contains Unicode characters and has been sent as a binary attachment." (A mensagem cont?m caracteres Unicode e foi enviada como um anexo bin?rio), dando a entender que trata-se de informa??o t?cnica.
Efeitos
O efeito mais caracter?stico ? o c?digo que programa o computador infectado
para lan?ar ataques de nega??o (DoS) ao site da fabricante de software SCO,
que moveu processos contra o Linux por viola??o de direitos autorais. O
in?cio dos ataques est? marcado para o dia primeiro de fevereiro. A empresa
SCO est? oferecendo US$ 250 mil para quem fornecer pistas sobre o autor do
v?rus.
O worm tamb?m tem capacidade de instalar uma porta oculta no computador, que d? a usu?rios mal-intencionados acesso externo ? m?quina. Josiane Bitar explica que, assim, o invasor poder? ter acesso a tudo o que estiver na m?quina, podendo, inclusive, modificar seu conte?do.
O MyDoom ainda instala no sistema um servidor proxy, que transforma a m?quina da v?tima num meio para enviar spam.
Quando salvo no disco r?gido, o anexo usado pelo MyDoom pode simular o ?cone
de um arquivo de texto. Ao ser executado, o anexo faz uma c?pia de si mesmo
na pasta System do Windows, com o nome de taskmon.exe, que tamb?m ? o nome
de um aplicativo leg?timo do sistema. O worm descarrega outro arquivo,
chamado shimgapi.dll, uma 'porta' que permite conex?es externas pela porta
TCP 3127. Al?m disso, s?o adicionados valores ao registro do Windows, para
que o c?digo mal?fico seja executado toda vez que o sistema ? iniciado.
Para se enviar por e-mail, o MyDoom recolhe os endere?os do destinat?rio e do remetente de v?rios arquivos presentes no sistema infectado. Desta forma, a mensagem que distriui o v?rus n?o vem, necessariamente, do remetente que est? sendo mostrado.
Fontes: Folha Online e Info Guerra.