Capa » Notícias

Vírus traiçoeiro finge ser alerta da Symantec

Segunda, 14 de maio de 2001, 11h03
Como se já não bastassem todos os e-mails sobre falsos vírus, agora o internauta tem de lidar com um alerta sobre um falso vírus que é, ele próprio, um vírus. Trata-se do VBS/Hard-A, que chega em uma mensagem de e-mail fazendo-se passar por um aviso da Symantec, produtora do Norton Antivírus. Segundo a empresa britânica Sophos, que hoje publicou informações sobre a praga, já foram relatados vários casos de infecção pelo VBS/Hard-A. As informações são do site InfoGuerra.

O e-mail dá a entender que foi repassado por outros usuários, pois vem com uma lista de endereços e a sigla "FW", de "Forward", comum em mensagens que são enviadas de uma pessoa para outra. Na linha de assunto está escrito "FW: Symantec Anti-Virus Warning" (FW: Aviso da Symantec Antivírus). O corpo da mensagem possui as seguintes características:

----- Original Message -----
From: warning@symantec.com
To: supervisor@av.net;
security@softtools.com ;
mark_fyston@storess.net ; directorcut@ufp.com ;
pjeterov@goldenhit.org ;
kim_di_yung@freeland.ch ;
james.heart@macrosoft.com
Subject: FW: Symantec Anti-Virus Warning

Hello,
There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!
Symantec has first noticed it on April 04, 2001. The attached file is a description of the worm and how to
protect your pc against it.
With regards,
F. Jones
Symantec senior developer

Ou seja, um aviso, assinado por um suposto funcionário da Symantec, de que há um novo worm na rede, muito perigoso e espalhando-se rapidamente. A empresa o teria descoberto no dia 4 de abril. A mensagem também afirma que a descrição sobre o worm, bem como a forma de se proteger, fazem parte do arquivo anexado.

O nome do arquivo é "www.symantec.com.vbs" e, é claro, nele está escondido o vírus. O usuário que acreditar na história e clicar no anexo abrirá um arquivo em forma de página HTML similar a uma página de informações da Symantec. O texto descreve um worm inexistente de nome VBS.AmericanHistoryX_II@mm.

O vírus então descarrega no drive C um arquivo Visual Basic Script de nome www.symantec_send.vbs e muda o registro para ser rodado quando o Windows for reiniciado. A chave de registro alterada está localizada em Hot_Key_Current_User\Software\Microsoft\Windows\CurrentVersion\Run.

Feito isso, o VBS/Hard-A envia uma cópia de si mesmo a todos os contatos da lista de endereços do Outlook. No dia 24 de novembro, ele apresenta uma mensagem com o seguinte texto:Don't look surprised!
It is only a warning about your stupidity
Take care!
(Não fique surpreso! É apenas um alerta sobre sua estupidez. Tome cuidado!)

O esquema é ardiloso e pode enganar muita gente. Novamente, a orientação é simples: não abra arquivos anexados, a menos que você tenha certeza do que se trata.

Giordani Rodrigues

Volta para a capa | Volta para as notícias