| Destaque |
Novo vírus da Copa destrói programas antivírus
12/6/2002 - 10:53 Giordani Rodrigues
Foi descoberto o segundo vírus que usa a Copa do Mundo de Futebol como tema para enganar suas vítimas. É o Bat.WCup@mm, um worm que se propaga por e-mail e por canais de bate-papo do IRC. A praga tem a capacidade de destruir arquivos de programas antivírus, inutilizando-os, e afetar a inicialização do Windows.
A mensagem que carrega o vírus tenta convencer os usuários a abrir um arquivo com supostas notícias da Copa. As características do e-mail são as seguintes, de acordo com a Symantec:
Assunto: World Cup News! (Notícias da Copa do Mundo)
Texto: Read me for more world cup news! (Leia-me para mais notícias da copa do mundo)
Anexo: Worldcup_score.vbs
Worldcup_score.vbs é um arquivo de lote (batch) DOS e o vírus propriamente. Se for executado, serão criados e posteriormente deletados vários arquivos com os nomes de países participantes do Mundial, incluindo o Brasil. Os arquivos são os seguintes:
Argentina.bat
Worldcup.bat
World_cup_.bat
Germany.bat
China.bat
Turkey.bat
Russia.bat
Denmark.bat
Wini.bat
Costarica.bat
Spain.bat
Funny.bat
Italy.bat
Worldcup_score.vbs
Japan.vbs
England.vbs
Ireland.vbs
Uraguay.vbs
Paraguay.vbs
Brazil.vbs
Dd.ini
Eyeball.reg
Pif.lnk
Vbs.lnk
Estes arquivos são criados nas pastas \Windows ou Windows\System, com exceção do arquivo Turkey.bat, criado na pasta que contém o menu "Iniciar", em \Windows\StartMenu\Programs\Startup.
Na raiz do drive C, o worm cria uma pasta de nome "ThisIsOnlyASimpleWorm" (Este é apenas um simples worm), o que pode ser um bom indicativo de sua presença no sistema. Os arquivos Win.ini e System.ini são modificados e neles são postos comandos para que um dos arquivos descarregados pelo vírus seja executado.
Os arquivos de lote do Windows, incluindo o Autoexec.bat, são sobrescritos com o código do worm. O registro também é modificado, de modo que a praga seja executada toda vez que o sistema é iniciado. As modificações fazem com que apenas a seção de boot da máquina seja carregada e os scripts descarregados sejam executados.
Finalmente, os programas antivírus são prejudicados. Os seguintes arquivos podem ser deletados:
Progra~1\Norton~1\*.exe
Progra~1\Norton~1\S32integ.dll
Progra~1\Kasper~1\Avp32.exe
Progra~1\Trojan~1\Tc.exe
Progra~1\F-Prot95\Fpwm32.dll
Progra~1 \Mcafee\Scan.dat
Progra~1\Tbav\Tbav.dat
Progra~1\Avpersonal\Antivir.vdf
Na propagação em massa por e-mail, o Bat.WCup@mm envia cópias de si mesmo a todos os contatos do catálogo de endereços do Outlook, em uma mensagem idêntica à recebida. O vírus também modifica o arquivo SCRIPT.INI do programa mIRC, a fim de se espalhar em canais de IRC freqüentados pelo usuário cuja máquina foi infectada. Segundo o site VSAntivirus, o worm contém o seguinte texto em seu código:
this w0rm is d0ne t0 make pe0ple aware of w0rldcup! :P (este worm foi feito para informar as pessoas sobre a Copa do Mundo)
O site dá algumas dicas para os usuários do mIRC: "Jamais aceite arquivos SCRIPT através do IRC. Eles podem gerar respostas automáticas com intenções maliciosas. No caso do mIRC, mantenha desabilitadas em sua configuração funcões como "send" ou "get" e comandos como "/run" e "/dll". Se seu software suporta mudar a configuração de "DCC" para transferências de arquivos, selecione-o para que pergunte sempre ou para que diretamente se ignorem os pedidos de envio ou recepção dos arquivos".
Leia também:
Surge primeiro vírus relacionado à Copa do Mundo 2002
No Mundial, não deixe que os vírus façam um gol
| Destaque |
Novo vírus da Copa destrói programas antivírus
12/6/2002 - 10:53 Giordani Rodrigues
Foi descoberto o segundo vírus que usa a Copa do Mundo de Futebol como tema para enganar suas vítimas. É o Bat.WCup@mm, um worm que se propaga por e-mail e por canais de bate-papo do IRC. A praga tem a capacidade de destruir arquivos de programas antivírus, inutilizando-os, e afetar a inicialização do Windows.
A mensagem que carrega o vírus tenta convencer os usuários a abrir um arquivo com supostas notícias da Copa. As características do e-mail são as seguintes, de acordo com a Symantec:
Assunto: World Cup News! (Notícias da Copa do Mundo)
Texto: Read me for more world cup news! (Leia-me para mais notícias da copa do mundo)
Anexo: Worldcup_score.vbs
Worldcup_score.vbs é um arquivo de lote (batch) DOS e o vírus propriamente. Se for executado, serão criados e posteriormente deletados vários arquivos com os nomes de países participantes do Mundial, incluindo o Brasil. Os arquivos são os seguintes:
Argentina.bat
Worldcup.bat
World_cup_.bat
Germany.bat
China.bat
Turkey.bat
Russia.bat
Denmark.bat
Wini.bat
Costarica.bat
Spain.bat
Funny.bat
Italy.bat
Worldcup_score.vbs
Japan.vbs
England.vbs
Ireland.vbs
Uraguay.vbs
Paraguay.vbs
Brazil.vbs
Dd.ini
Eyeball.reg
Pif.lnk
Vbs.lnk
Estes arquivos são criados nas pastas \Windows ou Windows\System, com exceção do arquivo Turkey.bat, criado na pasta que contém o menu "Iniciar", em \Windows\StartMenu\Programs\Startup.
Na raiz do drive C, o worm cria uma pasta de nome "ThisIsOnlyASimpleWorm" (Este é apenas um simples worm), o que pode ser um bom indicativo de sua presença no sistema. Os arquivos Win.ini e System.ini são modificados e neles são postos comandos para que um dos arquivos descarregados pelo vírus seja executado.
Os arquivos de lote do Windows, incluindo o Autoexec.bat, são sobrescritos com o código do worm. O registro também é modificado, de modo que a praga seja executada toda vez que o sistema é iniciado. As modificações fazem com que apenas a seção de boot da máquina seja carregada e os scripts descarregados sejam executados.
Finalmente, os programas antivírus são prejudicados. Os seguintes arquivos podem ser deletados:
Progra~1\Norton~1\*.exe
Progra~1\Norton~1\S32integ.dll
Progra~1\Kasper~1\Avp32.exe
Progra~1\Trojan~1\Tc.exe
Progra~1\F-Prot95\Fpwm32.dll
Progra~1 \Mcafee\Scan.dat
Progra~1\Tbav\Tbav.dat
Progra~1\Avpersonal\Antivir.vdf
Na propagação em massa por e-mail, o Bat.WCup@mm envia cópias de si mesmo a todos os contatos do catálogo de endereços do Outlook, em uma mensagem idêntica à recebida. O vírus também modifica o arquivo SCRIPT.INI do programa mIRC, a fim de se espalhar em canais de IRC freqüentados pelo usuário cuja máquina foi infectada. Segundo o site VSAntivirus, o worm contém o seguinte texto em seu código:
this w0rm is d0ne t0 make pe0ple aware of w0rldcup! :P (este worm foi feito para informar as pessoas sobre a Copa do Mundo)
O site dá algumas dicas para os usuários do mIRC: "Jamais aceite arquivos SCRIPT através do IRC. Eles podem gerar respostas automáticas com intenções maliciosas. No caso do mIRC, mantenha desabilitadas em sua configuração funcões como "send" ou "get" e comandos como "/run" e "/dll". Se seu software suporta mudar a configuração de "DCC" para transferências de arquivos, selecione-o para que pergunte sempre ou para que diretamente se ignorem os pedidos de envio ou recepção dos arquivos".
Leia também:
Surge primeiro vírus relacionado à Copa do Mundo 2002
No Mundial, não deixe que os vírus façam um gol