Informática

» Notícias

» Download

» Vírus e Cia.

» Ajuda

» Análises

» Colunistas

» Imagens

» Especiais

» Contato

CANAIS

» IDG Now!

» PC World

» Wired News

» Computerworld

» Macmania

» Tucows

» Publish

» WD/Jobs

RELACIONADOS

» Outer Space

» Games

» Jornal do Brasil

» MP3Box

» Personal Web

BOLETIM

Username
Senha

Assinar
Cancelar


Sem Username?
BUSCA

digite + enter

» Terra Busca

Capa » Notícias

Infoguerra Vírus Frethem espalha suas variantes por vários países

Segunda, 15 de julho de 2002, 14h22

Desde as primeiras horas desta segunda-feira, estão se espalhando pela Internet duas variantes de um worm, indicadas pelos nomes Frethem.K e Frethem.L. As principais companhias antivírus já lançaram alertas sobre a praga, a qual está se disseminando por vários países, com predominância nos continentes asiático e europeu. Já há casos confirmados do vírus no Brasil.

O vírus Frethem se espalha por e-mail, em uma mensagem com o assunto "Re:Your Password!" e dois anexos, de nomes "decrypt-password.exe" e "password.txt". O corpo da mensagem, em inglês, tenta convencer o usuário de que os arquivos contêm senhas com as quais poderá acessar importantes informações. Uma característica peculiar do e-mail é que o texto está em letras vermelhas. No final do texto, há o nome de usuário da máquina infectada. Veja a cópia de uma mensagem com o vírus, que chegou até a redação (o endereço do remetente e o nome do usuário foram suprimidos):

vírus

O vírus se aproveita de uma vulnerabilidade do Internet Explorer, versões 5.0 e 5.5, que permite inserir dados incorretos no cabeçalho do e-mail, e possibilita a execução automática de anexos apenas com a pré-visualização da mensagem. Caso o usuário clique no arquivo decrypt-password.exe, o vírus também será posto em ação. O arquivo password.txt é inofensivo e contém apenas o seguinte texto: Your password is W8dqwq8q918213.

Após a execução, o vírus faz uma cópia de si mesmo na pasta do Windows, com o nome de taskbar.exe, e cria a seguinte chave no registro:

HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunTask Bar = %Windows%\taskbar.exe.

Nesta, %Windows% corresponde ao caminho no qual o sistema da Microsoft está instalado, normalmente C:\Windows. Isto faz com que a praga seja executa nas próxima vezes em que o computador for reiniciado

As variantes K e L do Frethem possuem seu próprio mecanismo SMTP para envio das mensagens. O vírus utiliza as informações do servidor de e-mail do usuário para poder se enviar. Os endereços eletrônicos dos destinatários são obtidos do Windows Address Book (WAB) e de arquivos .dbx, usados pelo Outlook Express.

Como acontece muitas vezes com vírus que estão se espalhando rapidamente, nem todas as empresas antivírus possuem as mesmas informações na primeiras horas. A Trend Micro, por exemplo, apresenta uma extensa lista de sites para os quais o Frethem tenta enviar dados, provavelmente como uma forma de conseguir pontos de referência na Web.

Já a Kaspersky informa que o vírus instala uma backdoor no sistema, através da qual consegue executar comandos na máquina afetada. Um desses comandos consiste em se conectar a um site e baixar arquivos executáveis do endereço, os quais servem para atualizar o vírus para novas versões. Se a backdoor for ativada, os arquivos status.ini e win64.ini serão criados no diretório do Windows.

A Panda relata que os endereços de e-mail coletados pelo vírus podem ser retirados de arquivos com as extensões .mbx, .eml e .mdb, usados pelo Outlook e Outlook Express, e também de arquivos com extensões dbx e .wab, já citados antriormente. A companhia afirma ainda que o Frethem possui a capacidade de mudar o endereço do remetente da mensagem infectada. Como resultado, muitos e-mails poderão ter a aparência de que foram enviados por usuários cujas máquinas não estão realmente contaminadas. Esta é uma característica típica de vírus como o Klez, mas que já começou a ser aproveitada por outras pragas virtuais.

Várias empresas também informam que o arquivo Setup.exe pode ser instalado pelo Frethem na pasta do menu "Iniciar", sob determinadas condições, ligadas ao idioma usado pelo sistema que estiver infectado.

O mais importante é que muitas dessas empresas já desenvolveram vacinas para o vírus, por isso é importante você atualizar seu antivírus. A Panda, que batizou as versões K e L com as letras J e K respectivamente, está tornando disponível um removedor automático para o Frethem, o qual pode ser encontrado aqui.

Especialmente importante para quem ainda não o fez, é atualizar o Internet Explorer, a fim de corrigir o bug que possibilita a execução automática dos anexos. Isto pode ser feito no site da Microsoft, clicando aqui (leia as instruções do boletim antes de instalar esta correção).

Um dado curioso é que o criador do vírus agradece as empresas antivírus por "ter descrito a idéia" para gerar a praga. Ele avisa, porém, que nenhuma ação destrutiva foi adicionada às novas versões. Tais informações podem ser vistas no código do vírus, que apresenta o seguinte texto: thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.


  FÓRUM
Deixe a sua opinião sobre esta e outras notícia
 » Conheça o Terra em outros paísesResolução mínima de 800x600 © Copyright 2002,Terra Networks, S.AProibida sua reprodução total ou parcial
  Anuncie | Assine | Central de Assinate | Clube Terra | Fale com o Terra | Aviso Legal | Política de Privacidade