V?rus MyDoom bate recordes de infec??o
Usu?rios ACESSA.com est?o protegidos

Fernanda Monteiro
28/01/04

Mais de cem milh?es de e-mails infectados em todo o mundo, cerca de 55 mil c?pias por hora. Com n?meros assim, o v?rus MyDoom est? sendo considerado a praga mais r?pida de todos os tempos. S? nas primeiras 24 horas de vida, espalhou 1,2 milh?es de c?pias em 168 pa?ses, ultrapassando o SoBig.F, que havia feito um milh?o de c?pias no mesmo per?odo.

Trata-se do worm W32/MyDoom-A, que tamb?m recebe o nome de W32.Novarg.A ou mesmo Mimail.R. Ele chegou ao Brasil na ?ltima segunda-feira, dia 26 de janeiro. O pa?s j? est? na s?tima coloca??o entre os locais mais contaminados.

Al?vio com precau??o
No entanto, os assinantes da ACESSA.com podem ficar descansados. O antiv?rus do Provedor barra os e-mails contaminados. "O MyDoom chama a aten??o pela velocidade que se propagou. Mas, conseguimos ser mais r?pidos que ele", afirma a gerente de suporte da ACESSA.com, Josiane Bitar Severo. Ela alerta que, como o v?rus pode ser transmitido por outros meios (como arquivos os compartilhados na Web), al?m da mensagem eletr?nica, ? importante manter um antiv?rus atualizado no computador.

Os usu?rios da ACESSA.com podem fazer o downloald do antiv?rus AVG (gr?tis) no endere?o http://download.artnet.com.br da ?rea de assinantes. O antiv?rus possui atualiza??o autom?tica toda a vez que o usu?rio entra na internet. Assim fica mais f?cil evitar a contamina??o. Independente disso, como j? alertou Josiane, o antiv?rus do Provedor providencia o bloqueio.

Identificando o MyDoom
MyDoom se espalha por e-mail e por pastas compartilhadas da rede de troca de arquivos KaZaA.

As mensagens com o novo v?rus costumam vir com "Hello" ou "Test", no campo 'assunto' (ou subject) e t?m anexos de extens?o . ZIP, na maioria dos casos. O corpo da mensagem vem com frases do tipo "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment." (A mensagem n?o pode ser representada em codifica??o ASCII de 7 bits e foi enviada como um anexo bin?rio) e "The message contains Unicode characters and has been sent as a binary attachment." (A mensagem cont?m caracteres Unicode e foi enviada como um anexo bin?rio), dando a entender que trata-se de informa??o t?cnica.

Efeitos
O efeito mais caracter?stico ? o c?digo que programa o computador infectado para lan?ar ataques de nega??o (DoS) ao site da fabricante de software SCO, que moveu processos contra o Linux por viola??o de direitos autorais. O in?cio dos ataques est? marcado para o dia primeiro de fevereiro. A empresa SCO est? oferecendo US$ 250 mil para quem fornecer pistas sobre o autor do v?rus.

O worm tamb?m tem capacidade de instalar uma porta oculta no computador, que d? a usu?rios mal-intencionados acesso externo ? m?quina. Josiane Bitar explica que, assim, o invasor poder? ter acesso a tudo o que estiver na m?quina, podendo, inclusive, modificar seu conte?do.

O MyDoom ainda instala no sistema um servidor proxy, que transforma a m?quina da v?tima num meio para enviar spam.

Quando salvo no disco r?gido, o anexo usado pelo MyDoom pode simular o ?cone de um arquivo de texto. Ao ser executado, o anexo faz uma c?pia de si mesmo na pasta System do Windows, com o nome de taskmon.exe, que tamb?m ? o nome de um aplicativo leg?timo do sistema. O worm descarrega outro arquivo, chamado shimgapi.dll, uma 'porta' que permite conex?es externas pela porta TCP 3127. Al?m disso, s?o adicionados valores ao registro do Windows, para que o c?digo mal?fico seja executado toda vez que o sistema ? iniciado.

Para se enviar por e-mail, o MyDoom recolhe os endere?os do destinat?rio e do remetente de v?rios arquivos presentes no sistema infectado. Desta forma, a mensagem que distriui o v?rus n?o vem, necessariamente, do remetente que est? sendo mostrado.

Fontes: Folha Online e Info Guerra.


Entre na comunidade de notícias clicando aqui no Portal Acessa.com e saiba de tudo que acontece na Cidade, Região, Brasil e Mundo!