Capa » Notícias

Vírus infecta mensagens que ainda serão enviadas

Segunda, 11 de fevereiro de 2002, 06h56
Um novo vírus anunciado pela Sophos chama a atenção não pela velocidade de expansão, que até agora é baixa, mas pelo método pouco usual de infecção. Batizado de W32/Tariprox-B, o vírus se espalha por e-mail, mas não envia mensagens automáticas à lista de contatos do usuário. Em vez disso, o Tariprox infecta as mensagens legítimas escritas pelos usuários, no exato momento em que o botão "enviar" é acionado.

O vírus chega como um anexo de e-mail com o nome .doc.pif, em que é o nome do destinatário da mensagem. Se for executado, faz uma cópia de si mesmo para o diretório Windows com o nome MMOPLIB.EXE e cria uma chave no registro, de modo a ser executado toda vez que a máquina é reiniciada. Em seguida, a praga cria ou substitui o arquivo "Hosts", que serve para relacionar os enderços IP aos nomes das máquinas ou domínios na Internet.

Tal arquivo é usado por vários programas que fazem uso da rede, incluindo o Outlook e o Outlook Express. Se o arquivo estiver presente na máquina, o programa utiliza as informações gravadas para resolver rapidamente o endereço IP de servidores e fazer a conexão apropriada. O Windows vem com um arquivo de nome Hosts.sam, que serve para exemplificar seu uso.

O vírus cria um outro arquivo "Hosts" (sem extensão) ou substitui o original, assumindo o lugar deste. O arquivo criado relaciona o servidor SMTP (para envio de mensagens) à máquina local (127.0.0.1). O Tariprox permanece ativo em segundo plano, esperando que seja feita uma conexão na porta 25, que é a porta padrão para servidores SMTP.

Quando o usuário tenta enviar um e-mail, o programa (por exemplo, o Outlook Express) utiliza as informações guardadas no novo arquivo "Hosts" e faz a conexão pelo endereço 127.0.0.1, no lugar da porta 25, conectando-se assim ao vírus. Então, a praga estabelece uma conexão com o verdadeiro servidor SMTP e age como um intermediário, isto é, um proxy, anexando seus próprios dados à mensagem no momento em que esta é enviada.

Tal método tem muito mais chances de enganar o destinatário do e-mail, que recebe uma mensagem legítima (quem sabe uma mensagem que estava sendo aguardada?), porém infectada com um arquivo que possui o seu nome.

O vírus também evita enviar repetidos e-mails para a mesma pessoa. Para isso, mantém uma lista dos últimos cinco destinatários e não anexa seu código a estes usuários.

Em algumas redes, a mesma máquina funciona como servidor de mensagens recebidas e enviadas. Neste caso, quando o programa de e-mail tenta se conectar ao servidor para baixar as mensagens, o Tariprox aceita a conexão mas não envia uma resposta, evitando que o usuário receba novas mensagens.

Outros programas que utilizam o arquivo "Hosts" para resolver endereços IP (por exemplo, Telnet) também não conseguem estabelecer uma conexão com o servidor SMTP, porque o vírus irá tentar se conectar ao endereço 127.0.0.1.

O W32/Tariprox-B é um executável Windows PE (Portable Executable) e possui 40.960 bytes de tamanho. Também existem versões compactadas com o utilitário UPX, as quais possuem um tamanho aproximado de 21Kb. O vírus foi projetado para funcionar primordialmente com o Outlook Express e pode não funcionar com outros programas de e-mail. No código do vírus há o seguinte texto: "W32.Taricone-B.worm@proxy by I.V.E.L."

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.