Capa » Notícias

Variante do Opaserv ameaça usuários de Windows pirata

Quinta, 26 de dezembro de 2002, 13h32

VEJA TAMBÉM »Opaserv, o vírus da vez

Foi descoberta uma variante do worm Opaserv que, além de apresentar uma mensagem ameaçadora para quem usa Windows pirata, tem a capacidade de destruir arquivos do disco rígido. Batizado de W32/Opaserv.worm.m pela empresa antivírus McAfee, esta nova versão do Opaserv, assim como as anteriores, infecta aproveitando-se de brechas de segurança no Windows e espalha-se por compartilhamento de redes.

O Opaserv.m faz cópias de si mesmo com o nome MQBKUP.EXE no diretório Windows e utiliza o arquivo Win.ini para carregar seus códigos na inicialização do sistema. Para evitar que seja carregado mais de uma vez, o worm cria o código "mkbkup61616", cuja existência indica que o processo de infecção já foi executado naquele local. Para garantir sua execução na incialização da máquina, a praga também cria a seguinte chave de registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "mqbkup" = %WinDir%\mqbkup.exe

De acordo com a McAfee, o Opaserv.m possui um bug que o impede de se propagar em sistemas Windows NT, 2000 e XP. Nas outras versões do Windows em que consegue se espalhar, um dos primeiros sintomas de infecção é um considerável aumento de tráfego na porta 137, usada em compartilhamentos de redes. Esse tráfego pode ser detectado em computadores que possuem firewall. Mas o principal sintoma é mesmo decorrente da presença de um trojan de nome MSLICENF.COM, descarregado pelo Opaserv no drive C e referenciado no arquivo AUTOEXEC.BAT.

Este trojan pode deletar o conteúdo do disco rígido e em seguida reiniciar a máquina por meio de um arquivo de nome BOOT.EXE. Ao ser reiniciado o sistema, o arquivo MSLICENF.COM é executado e apresenta uma mensagem em inglês avisando o usuário que sua cópia do Windows é ilegal e que ele está violando a lei de direitos digitais Digital Millennium Copyright Act (DMCA). Também indica um número telefônico e o site da organização da indústria de software Business Software Alliance (BSA), supostamente para que a situação seja regularizada. A mensagem possui as seguintes características:

NOTICE:

Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!

Your unauthorized license has been revoked.

For more information, please call us at:

1-888-NOPIRACY

If you are outside the USA, please look up the correct contact information on our website, at:

www.bsa.org

Business Software Alliance
Promoting a safe & legal online world.

Tanto a lei DMCA quanto a organização BSA existem, mas logicamente foram usadas de maneira indevida pelo criador do Opaserv.m, que associou as siglas a um vírus de ação destrutiva. Isto causou problemas para a BSA, que chegou a divulgar em seu site um aviso urgente de que a mensagem é falsa e que a entidade não tem qualquer relação com a praga.

Para se proteger de todas as versões do Opaserv, é importante que os usuários apliquem a correção de uma vulnerabilidade do Windows que permite ao worm espalhar-se por redes compartilhadas mesmo que a senha correta não seja informada. Em redes cujos arquivos e pastas estão compartilhados sem senha, o vírus é capaz de se disseminar mesmo que a correção esteja presente no sistema, por isso é necessário tomar certas precauções. As dicas de proteção e outras informações podem ser encontradas aqui.

A McAfee considera como baixo o risco de infecção dessa nova variante do Opaserv, mas informa que este risco pode ser elevado para médio caso aumente o número de casos de contaminação relatados.

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2002. Todos os direitos reservados.