28/11/2002 - 14:33 Giordani Rodrigues

Várias empresas antivírus estão emitindo alertas sobre o surgimento do vírus Winevar (ou Korvar ou Korean worm), descoberto no último final de semana, na Coréia. Apesar de ainda não ter atingido um número excessivamente alto de computadores, a praga já foi encontrada em vários países e tem grande poder de destruição.

O Winevar é um worm de envio massivo de mensagens capaz de desabilitar programas antivírus e firewalls e, sob certas circunstâncias, apagar todos os dados do disco rígido. Escrito em linguagem Microsoft Visual C++, o vírus atinge apenas as plataformas Windows (todas as versões) e pode descarregar uma outra praga virtual no computador, o W32.FunLove.4099, assemelhando-se, assim, ao vírus Bridex recentemente descoberto.

O vírus chega em uma mensagem de e-mail variável, mas uma parte dessas mensagens traz no campo assunto o nome AVAR, que designa a Associação de Pesquisadores Antivírus da Ásia, cuja conferência anual estava se realizando na cidade de Seul, na Coréia do Sul, no mesmo período em que o criador do vírus o lançou. A mensagem traz arquivos anexos, cujos nomes também podem variar, mas possuem os seguintes formatos:

WIN[caracteres aleatórios].TXT (12.6 KB) MUSIC_1.HTM
WIN[caracteres aleatórios].GIF (120 bytes) MUSIC_2.CEO
WIN[caracteres aleatórios].PIF

O arquivo com extensão “.HTM” explora uma vulnerabilidade de um controle ActiveX da máquina virtual da Microsoft, na tentativa de registrar o arquivo “.CEO” como um executável padrão (.EXE). De acordo com a Trend Micro, este arquivo também contém um link para o site oficial da AVAR.

Ao mesmo tempo, a mensagem de e-mail é formatada de modo a explorar outra vulnerabilidade, desta vez no Internet Explorer. A falha, relacionada a mensagens de e-mail com cabeçalhos contendo dados incorretos, tem sido largamente explorada por vírus recentes para que anexos sejam automaticamente executados. No entanto, segundo a Symantec, um erro no código do vírus faz com que esta ação não seja realizada.

Ao ser ativado pela primeira vez, o Winevar tentará deter programas antivírus, firewalls e debbugers (depuradores de erros), usando uma lista com trechos de palavras como “vir”, “scan”, “anti”, “fir”, “debu”, “dbg”, e vários outros. Ao encontrar serviços e processos relacionados a estes trechos, tentará desativá-los. Outra ação do vírus é tentar continuamente fazer o download da página inicial da Symantec, criando uma espécie de ataque de negação de serviço ao site da empresa, caso ele se torne largamente disseminado.

O worm altera o registro e faz uma cópia de si mesmo na pasta “System” do Windows, de modo a ser executado toda vez que o sistema é iniciado. Depois de alterar o registro e ser executado pela primeira vez, o Winevar tentará deletar programas antivírus, mas um bug em seu código faz com que destrua todos os arquivos do disco rígido. Os únicos que sobram são aqueles que estiverem sendo usados no momento da execução do vírus, mas o computador já não poderá ser iniciado corretamente depois disso. Esta rotina é acompanhada da mensagem abaixo (que significa algo como “que besteira você fez”):


Antes de destruir os dados do sistema, o vírus tentará enviar uma cópia de si mesmo a todos os endereços de e-mail encontrados em arquivos com extensões .HTM e .DBX (usados pelo Outlook Express).

A maioria das empresas está classificando a praga como de médio risco de contaminação. O spaíses mais atingidos por enquanto pertencem à Àsia, mas o vírus já chegou até a Europa e América do Norte. A MessageLabs registrou cerca de 1,3 mil casos de infecção do vírus em todo o mundo, desde sua descoberta no dia 22. Além de atualizar os programas antivírus, os usuários devem evitar clicar em anexos desconhecidos e, caso ainda não o tenham feito, precisam aplicar as correções para a falha do componente ActiveX da máquina virtual da Microsoft e para a falha que permite execução automática de arquivos.