Empresas como McAfee e Sophos estão alertando o público para o aparecimento do novo vírus W32/InvalidSSL@MM. O Invalid, como também tem sido chamado, é um worm de envio em massa de e-mails e um codificador de arquivos, descoberto na última quinta-feira.Para tentar enganar os usuários, o Invalid usa um truque que tem se tornado comum entre os criadores de vírus: uma falsa mensagem de e-mail da Microsoft. O texto da mensagem simula ser um alerta sobre um certificado SSL (Secure Socket Layer) inválido, que causaria uma falha no Internet Explorer e permitiria que outras pessoas tivessem acesso ao computador.
O e-mail vem com um arquivo anexado, que seria a correção para a falha. Na verdade, trata-se do vírus. A mensagem possui as seguintes características:
De: "Microsoft Support" support@microsoft.com
Assunto: Invalid SSL Certificate
Corpo:
Hello,
Microsoft Corporation announced that an invalid SSL certificate that web sites use is required to be installed on the user computer to use the https protocol. During the installation, the certificate causes a buffer overrun in Microsoft Internet Explorer and by that allows attackers to get access to your computer. The SSL protocol is used by many companies that require credit card or personal information so, there is a high possibility that you have this certificate installed. To avoid of being attacked by hackers, please download and install the attached patch. It is strongly recommended to install it because almost all users have this certificate installed without their knowledge.
Have a nice day,
Microsoft Corporation
Anexo: sslpatch.exe
Executanto o anexo, o virus tenta encontrar endereços de e-mail em arquivos com extensões .HT* dentro da pasta Meus Documentos. A partir de então, ele tenta remeter uma cópia de si mesmo para estes endereços, via SMTP, o protocolo para envio de mensagens eletrônicas.
Finalmente, o vírus codifica todos os arquivos .EXE no diretório em que estiver instalado. Isto faz com que os arquivos deixem de ser executáveis. Se, por exemplo, o arquivo CALC.EXE for afetado, quando o usuário clicar nele receberá a seguinte mensagem: "C:\WINDOWS\CALC.EXE is not a valid Win32 application".
"No momento, esse worm é considerado de risco baixo, apesar de várias chamadas recebidas na Europa, em busca de informações sobre o mesmo", explica Patrícia Ammirabile, representante do McAfee AVERT (Anti Virus Emergency Response Team).