Usuários ACESSA.com estão protegidos
Fernanda Monteiro
28/01/04

Trata-se do worm W32/MyDoom-A, que também recebe o nome de W32.Novarg.A ou mesmo Mimail.R. Ele chegou ao Brasil na última segunda-feira, dia 26 de janeiro. O país já está na sétima colocação entre os locais mais contaminados.
Alívio com precaução
No entanto, os assinantes da ACESSA.com podem ficar descansados. O
antivírus do Provedor barra os e-mails contaminados. "O MyDoom chama a
atenção pela velocidade que se propagou. Mas, conseguimos ser mais rápidos
que ele", afirma a gerente de suporte da ACESSA.com, Josiane Bitar
Severo. Ela alerta que, como o vírus pode ser transmitido por outros
meios (como arquivos os compartilhados na Web), além da mensagem eletrônica, é importante manter um antivírus
atualizado no computador.
Os usuários da ACESSA.com podem fazer o downloald do antivírus AVG (grátis) no endereço http://download.artnet.com.br da área de assinantes. O antivírus possui atualização automática toda a vez que o usuário entra na internet. Assim fica mais fácil evitar a contaminação. Independente disso, como já alertou Josiane, o antivírus do Provedor providencia o bloqueio.
Identificando o MyDoom
MyDoom se espalha por e-mail e por pastas compartilhadas da rede de troca de
arquivos KaZaA.
As mensagens com o novo vírus costumam vir com "Hello" ou "Test", no campo 'assunto' (ou subject) e têm anexos de extensão . ZIP, na maioria dos casos. O corpo da mensagem vem com frases do tipo "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment." (A mensagem não pode ser representada em codificação ASCII de 7 bits e foi enviada como um anexo binário) e "The message contains Unicode characters and has been sent as a binary attachment." (A mensagem contém caracteres Unicode e foi enviada como um anexo binário), dando a entender que trata-se de informação técnica.
Efeitos
O efeito mais característico é o código que programa o computador infectado
para lançar ataques de negação (DoS) ao site da fabricante de software SCO,
que moveu processos contra o Linux por violação de direitos autorais. O
início dos ataques está marcado para o dia primeiro de fevereiro. A empresa
SCO está oferecendo US$ 250 mil para quem fornecer pistas sobre o autor do
vírus.
O worm também tem capacidade de instalar uma porta oculta no computador, que dá a usuários mal-intencionados acesso externo à máquina. Josiane Bitar explica que, assim, o invasor poderá ter acesso a tudo o que estiver na máquina, podendo, inclusive, modificar seu conteúdo.
O MyDoom ainda instala no sistema um servidor proxy, que transforma a máquina da vítima num meio para enviar spam.
Quando salvo no disco rígido, o anexo usado pelo MyDoom pode simular o ícone
de um arquivo de texto. Ao ser executado, o anexo faz uma cópia de si mesmo
na pasta System do Windows, com o nome de taskmon.exe, que também é o nome
de um aplicativo legítimo do sistema. O worm descarrega outro arquivo,
chamado shimgapi.dll, uma 'porta' que permite conexões externas pela porta
TCP 3127. Além disso, são adicionados valores ao registro do Windows, para
que o código maléfico seja executado toda vez que o sistema é iniciado.
Para se enviar por e-mail, o MyDoom recolhe os endereços do destinatário e do remetente de vários arquivos presentes no sistema infectado. Desta forma, a mensagem que distriui o vírus não vem, necessariamente, do remetente que está sendo mostrado.
Fontes: Folha Online e Info Guerra.