VÃrus perigoso envia arquivos do usuário por e-mail
Quarta, 18 de julho de 2001, 12h02
Várias empresas antivÃrus estão alertando para o surgimento de uma nova praga virtual que tem infectado muitos computadores. Trata-se do W32/SirCam que, a exemplo do Magistr, possui sua própria rotina de propagação por mensagens eletrônicas e tem a capacidade de roubar e enviar arquivos do usuário cujo PC foi contaminado. A Symantec, que afirma ter recebido várias amostras do vÃrus de usuários corporativos, descreve que o SirCam pode chegar como uma mensagem de e-mail em espanhol ou em inglês. O assunto da mensagem varia e assume o nome do arquivo que o vÃrus anexou para se enviar. O corpo da mensagem também pode variar, mas sempre terá as seguintes linhas iniciais e finais: Em espanhol: Linha inicial: Hola como estas? Linha final: Nos vemos pronto, gracias. Em inglês: Linha inicial: Hi! How are you? Linha final: See you later. Thanks Entre estas duas linhas, a mensagem pode conter: Em espanhol: Te mando este archivo para que me des tu punto de vista Espero me puedas ayudar con el archivo que te mando Espero te guste este archivo que te mando Este es el archivo con la informacion que me pediste Em inglês: I send you this file in order to have your advice I hope you can help me with this file that I send I hope you like the file that I send you This is the file with the information that you ask for Para enviar a si mesmo, o SirCam usa os endereços de e-mail do catálogo do Windows e das páginas Web armazenadas nas pastas de arquivos temporários (cache). Quando executado, ele se esconde na pasta oculta C:\RECYCLED com o nome SirC32.exe. Também modifica o registro do Windows, de modo a ser carregado toda vez que um arquivo executável é rodado. Isto faz com que o vÃrus infecte o arquivo executável e dificulta sua remoção do sistema. Além disso, o vÃrus faz uma cópia de si mesmo para a pasta Windows\System com o nome Scam32.exe e cria uma chave no registro para ser carregado automaticamente. Segundo a McAfee, o SirCam cria dois arquivos no diretório System. Um deles é chamado de SCD1.DLL e serve para reunir os endereços que serão usados para que o vÃrus seja enviado. O outro é chamado de SCD.DLL e serve para construir uma lista dos arquivos encontrados na pasta Meus Documentos. Estes arquivos possuem a extensão .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS e .ZIP e são enviados para outros usuários junto com o vÃrus. O SirCam acrescenta uma cópia dos arquivos ao seu código e anexa esta cópia à mensagem, usando uma segunda extensão, que pode ser .BAT, .COM, .EXE e .LNK. Por exemplo: o vÃrus poderia ser enviado como um arquivo chamado Foto.JPG. A mensagem teria a palavra "Foto" na linha de assunto e o arquivo anexado poderia ser Foto.JPG.EXE, sendo que esta segunda extensão fica oculta na configuração padrão do Windows. A Symantec informa que o vÃrus foi descoberto ontem (dia 17) e que ainda o está analisando. Novas informações estarão disponÃveis nas próximas horas. Por enquanto, a empresa classifica o SirCam como de alto poder de distribuição e risco 3, em uma tabela que vai até 5. A MCAfee o classifica como de médio risco e a F-Secure o coloca em nÃvel de alerta 2, usado para ameaças potencialmente perigosas. O site uruguaio Video Soft também afirma que recebeu numerosos casos de usuários de lÃngua espanhola infectados pelo vÃrus, nas últimas horas.
Giordani Rodrigues
Volta para a capa |
Volta para as notÃcias
Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.
|