Foi descoberta, ontem, uma nova versão do vírus Sobig ― a variante E. Este código já causou estragos anteriormente, e o Sobig.E também tem se disseminado em um nível suficiente para ser classificado como de médio risco pelas empresas antivírus. O worm se dissemina por e-mail e por redes locais e instala um programa (backdoor) na máquina afetada, abrindo uma porta pela qual um cracker pode executar arquivos no sistema.
Por e-mail, o Sobig.E chega em uma mensagem com diferentes assuntos e diferentes nomes de arquivo anexo. Segundo a F-Secure, o arquivo que carrega o worm tem cerca de 86,5 KB comprimido e 130 KB ao ser descompactado. A empresa afirma que, apesar das várias possibilidades de mensagens e nomes de arquivo gravados no código do vírus, até agora só foram interceptados e-mails com um único anexo e dois assuntos diferentes, o que leva a crer que a rotina do vírus para apresentar várias mensagens contém um bug.
Os assuntos até agora encontrados foram "Re: Application" ou "Re: Movie", e o arquivo contaminado tinha o nome "your_details.zip". Ao ser descompactado, o arquivo liberava outro, de nome DETAILS.PIF. Para se enviar por e-mail, o Sobig.E utiliza um mecanismo de envio (SMTP) próprio e uma lista de servidores encontrada em seu código. O worm recolhe os endereços dos destinatários em arquivos com extensões WAB, DBX, HTM, HTML, EML e TXT, encontrados no sistema infectado. O campo De: (From:) da mensagem contém endereços forjados, que podem ser "support@yahoo.com" ou outros retirados da máquina da vítima. Portanto, receber um e-mail infectado do endereço de um amigo não significa necessariamente que o computador dele tenha sido
atacado.
O corpo da mensagem tem apresentado o seguinte texto: "Please see the attached zip file for details" (Por favor, para detalhes veja o arquivo zip anexo). Abaixo está uma cópia de um desses e-mails:
Em redes locais, o vírus enumera os equipamentos conectados e modifica o registro para se inserir nas pastas "Iniciar". Após ser reiniciado, o computador remoto conectado à rede se torna infectado.
Assim como variantes anteriores, o Sobig.E tem uma data prevista para deixar de agir ― o dia 14 de julho de 2003. No entanto, a backdoor inserida no sistema pelo worm abre uma porta pela qual um atacante pode baixar e rodar arquivos. Tal artifício permite a um cracker enviar uma URL para o worm, fazendo com que a praga baixe arquivos de atualização e ganhe novas funcionalidades, ou permite enviar trojans e outras pragas para o sistema.
O vírus infecta sistemas operacionais Windows 9x, ME, NT, 2000 e XP. Dois arquivos são descarregados no diretório Windows do computador afetado. Um chamado "winssk32.exe", que contém o código do worm, e o outro "msrrf.dat", usado para rotinas internas. Ele também cria duas chaves no registro do sistema, de modo a garantir que seja executado toda vez que o Windows é iniciado.
Empresas como Symantec, McAfee, Trend Micro, Panda e F-Secure classificam o Sobig.E como de médio risco de infecção. Já a empresa britânica MessageLabs, que vende serviços antivírus para análise de mensagens antes de serem entregues, classifica a praga como de alto risco. Os dados da empresa mostram que o Sobig.E foi o código maléfico mais detectado por seu mecanismo nas últimas horas, com mais de 25 mil ocorrências, quase duas vezes e meia a quantidade de casos do segundo colocado, o Klez.H. Os países mais atingidos foram Estados Unidos e Bélgica.
As principais empresas já desenvolveram vacinas capazes de detectar e eliminar o Sobig.E. A F-Secure criou uma ferramenta especial para remover o vírus e todos os seus traços do sistema. A ferramenta pode ser baixada aqui e as instruções de uso (em inglês), aqui. Já a McAfee atualizou o seu programa Stinger, e a Panda fez o mesmo com o PQRemove, os quais também já elimimam especificamente o Sobig.E.
|
boletim
fóruns
fale conosco
Virus e Cia.
Notícias
