|
O MyDoom.B, variante do worm MyDoom, que já é considerada a praga de disseminação mais rápida da história, está preocupando as empresas de segurança, devido ao seu potencial de impedir que os programas antivírus instalados nas máquinas afetadas sejam atualizados para reconhecer as duas variantes do worm.
Isto é feito substituindo-se o arquivo HOSTS presente no sistema por outro contendo uma lista de sites pertencentes a empresas antivírus, como "www.f-secure.com", "networkassociates.com" e "update.symantec.com" e a outros sites comerciais. A lista atribui a estes sites o endereço IP 0.0.0.0, tornando-os, assim, inacessíveis. A lista completa dos sites pode ser encontrada na página da Trend Micro com a descrição sobre o vírus.
A nova versão tem características muito semelhantes às do seu antecessor, mas tem um novo alvo para o ataque de negação de serviço: o site norte-americano da Microsoft. Apesar de algumas empresas antivírus afirmarem que o MyDoom.B está programado para atacar também o site da SCO, alvo da primeira versão do worm, o US-CERT, organização norte-americana de resposta a ameaças de segurança na Internet, afirma que a informação ainda não foi confirmada.
De acordo com o alerta da F-Secure, o MyDoom.B está programado para realizar um ataque de negação de serviço contra o site "www.microsoft.com" a partir do dia 3 de fevereiro às 11hs, horário de Brasília. Caso as informações da F-Secure sobre o suposto ataque de negação de serviço do MyDoom.B ao site "www.sco.com" estejam corretas, o worm vai se unir aos ataques planejados no código do MyDoom.A a partir do dia 1º de fevereiro, às 14hs.
Um conhecido site brasileiro de notícias de informática publicou hoje uma nota afirmando que o MyDoom.B tem capacidade de execução automática, isto é, não é ncessário clicar no anexo para que ele se instale na máquina, bastaria abrir a mensagem. Mas esta informação também não é confirmada e aparentemente se trata de um mero boato.
O MyDoom.B se propaga por e-mail, como um arquivo anexo, ou pelo programa de troca de arquivos peer-to-peer (P2P) Kazaa. Por e-mail, o worm usa assuntos aleatórios, como: "Mail Transaction Failed", "Unable to deliver the message", "Status", "Delivery Error", "Mail Delivery System", "hello", "hi", "Error", "Server Report". O texto das mensagens também é aleatório e varia de acordo com o assunto, assim como os nomes dos anexos infectados. Os arquivos, no entanto, têm as seguintes extensões: .ZIP, .PIF, .EXE ou .SCR. No caso dos arquivos compactados num arquivo .ZIP, eles podem ter também as extensões .CMD e .BAT.
Na rede P2P do Kazaa, o worm busca pastas compartilhadas usando a chave de Registro HKEY_CURRENT_USERSoftwareKazaaTransferDlDir0 para enviar uma cópia de si mesmo para máquinas vulneráveis. O MyDoom.B também pode ser disseminado em uma rede corporativa, gerando automaticamente um endereço IP falso e verificando a existência de máquinas conectadas para onde ele envia cópias de si mesmo.
Além dos ataques de negação de serviço, o novo worm também deixa uma porta de comunicação aberta nas máquinas infectadas, instalando o arquivo ctfmon.dll na pasta WindowsSystem. Inicialmente, o worm tenta utilizar a porta 1080. Caso ela esteja ocupada com operações legítimas, o MyDoom.B tenta usar as portas 3128, 80, 8080 ou 10080. Segundo o US-CERT, crackers já estão desenvolvendo ferramentas para se aproveitar dessa porta oculta (backdoor) nas máquinas infectadas e instalar códigos de sua escolha.
O MyDoom.B está agendado para finalizar suas rotinas maliciosas no dia primeiro de março deste ano.
|
boletim
fóruns
fale conosco
Virus e Cia.
Notícias
Infográfico
