Informática

» Notícias

» Download

» Vírus e Cia.

» Ajuda

» Análises

» Colunistas

» Imagens

» Especiais

» Contato

CANAIS

» IDG Now!

» PC World

» Wired News

» Computerworld

» Macmania

» Tucows

» Publish

» WD/Jobs

RELACIONADOS

» Outer Space

» Games

» Jornal do Brasil

» MP3Box

» Personal Web

BOLETIM

Username
Senha

Assinar
Cancelar


Sem Username?
BUSCA

digite + enter

» Terra Busca

Capa » Notícias

Alerta para os novos vírus Eversaw.worm e W32/Liac@MM

Segunda, 08 de julho de 2002, 20h14

A McAfee alerta o mercado para o aparecimento de dois novos vírus, denominados W32/Eversaw.worm e W32/Liac@MM.

O W32/Eversaw.worm é um internet worm que tenta se enviar através de alguns mecanismos, como por exemplo: se anexando a mensagens de emails e se enviando a todos os contatos do Outlook, via mIRC e pIRCh (programa usado para acesso IRC) e via arquivo compartilhado do Kazaa.

O componente VBS do worm é necessário para sua propagação via email e este já é detectado como VBS/Generic@MM pelos arquivos Dats atuais da McAfee Security. O componente IRC também é detectado pelos Dats atuais, como MIRC/Generic.

O Eversaw chega como um arquivo batch e, quando executado, tenta se copiar para o drive A:\ - isso ocorre apenas em sistemas Win9x - e descarrega uma série de outros arquivos, como:

1. Um arquivo batch encriptado - RUN.BAT
2. Um script para criar um script VBS - CR.VBS - e decriptar o arquivo RUN.BAT
3. Um script para criar um arquivo de imagem JPEG - C:\SOULCONTROL.JPG - que possui o tamanho de 32,966 bytes.

O Eversaw tenta deletar determinados arquivos de assinaturas de produtos Antivirus e arquivos de mIRC e pIRCh, modifica o arquivo win.ini para executar uma cópia dele mesmo, modifica arquivos de mIRC e pIRCh na tentativa
de se enviar por esses canais e modifica chaves de registro para alterar a configuração de arquivos compartilhados do Kazaa. Essas chaves de registro podem ser notadas como:


HKCU\Software\Kazaa\LocalContent "Dir0" = 012345:c:\
HKCU\Software\Kazaa\LocalContent "DisableSharing" = 00 00 00 00

O vírus descarrega e executa um script VBS - OL.VBS - o qual envia uma cópia do worm a todos os endereços encontrados na lista de contatos do Outlook.

Já o W32/Liac@MM é também um worm escrito em Visual Basic e utiliza o Microsoft Outlook para se enviar a todos os endereços encontrados na lista de contato. Uma vez executado, uma falsa mensagem de erro é mostrada. Depois, o worm se copia para o diretório temporário do Windows com o nome de "LILAC_WHAR_A_WONDERFULNAME.EXE" e adiciona sua chamada a uma chave de registro para que possa ser carregado na inicialização do sistema.

O Liac também se envia por e-mail contendo o seguinte formato de mensagem:

Subject: FW:FW: LILAC project video attach
Body: Things that the govt. dont want you to know
Attachment:LILAC_WHAT_A_WONDERFULNAME.AVI.EXE
A McAfee considera os vírus W32/Eversaw.worm e W32/Liac@MM de baixo risco devido ao pequeno número de reportes recebidos no Brasil e no mundo. A McAfee recomenda, mesmo assim, que os produtos antivírus sejam atualizados
semanalmente e estejam configurados para proteção em arquivos compactados (Compressed Files).

Divulgação

Volta para a capa | Volta para as notícias

  FÓRUM
Deixe a sua opinião sobre esta e outras notícia
 » Conheça o Terra em outros paísesResolução mínima de 800x600 © Copyright 2002,Terra Networks, S.AProibida sua reprodução total ou parcial
  Anuncie | Assine | Central de Assinate | Clube Terra | Fale com o Terra | Aviso Legal | Política de Privacidade