Capa » Notícias

Vírus envia e-mail ao presidente dos EUA

Terça, 25 de março de 2003, 09h25
A McAfee está reportando a descoberta do W32/Wanor@MM, um vírus do tipo worm, que se propaga em massa por e-mail, através dos principais programas P2P (eDonkey2000, KaZaA, Morpheus, Grokster, Bearshare) e também pelo ICQ. A característica marcante do Wanor é usar mensagens contra a guerra, uma das quais é enviada ao atual presidente dos Estados Unidos, George W. Bush. Ao mesmo tempo, as mensagens servem para atrair a atenção das pessoas para que executem o vírus.

De origem desconhecida, o Wanor se envia a todo o catálogo de endereços do Windows (WAB) via MAPI (Messaging Application Programming Interface, uma biblioteca de funções que permite enviar e-mails usando o subsistema de correio do Windows). As mensagens podem ter diferentes assuntos e textos, mas seguem o esquema abaixo:

Assunto:
SAY NOT WAR
Mobilizations against the War
very good!
di NO a LA GUERRA
See content
moooola, maaaazo
See content!

Corpo da Mensagem:
que caña tio
NOT WAR!!
que guay macho!!
SAY NOT WAR, NOT WAR, NOT WAR
WAR ([Yes] | [Not])
WAR ([Yes?] | [Not?]), see file

As mensagens trazem como anexo os arquivos Winscr.scr ou Winscr.exe, que carregam o vírus. No corpo das mensagens são inseridos ainda os endereços https://www.punchdown.org/rvb/F15/ (fotos de protestos contra a guerra no mundo) e https://www.sundayherald.com/28224/, uma reportagem do jornal The Sunday Herald, sobre documentos mostrando o interesse dos EUA no petróleo do Iraque cinco meses antes dos atentados terroristas de 2001.

Uma das mensagens, com o anexo Winscr.scr e os endereços citados acima, é enviada para president@whitehouse.gov, o e-mail do presidente dos EUA na Casa Branca. A mensagem tem as seguintes características:

Para: president@whitehouse.gov

Assunto: NOT WAR! ARE YOU THE ONLY DANGER FOR THE WORLD, FOR THE HUMANITY
AND FOR THE HUMAN BEING (Não à guerra! Você é o único perigo para o mundo, para a humanidade e para o ser humano)

Corpo da Mensagem: You show us every day the danger that you represent for the world. Leave us in peace. (Você nos mostra diariamente o perigo que representa para o mundo. Deixe-nos em paz.)

Quanto executado, o Wanor se copia para o diretório de instalação do Windows como Winscr.scr e para o subdiretório \INF do Windows, como Winm.exe. Algumas chaves de registro são criadas para que seus códigos sejam carregados na inicialização do sistema. Nos programas P2P, o vírus tenta fazer cópias de si mesmo nas pastas compartilhadas pelos usuários, possibilitando assim a sua propagação.

No diretório System do Windows também são criados dois arquivos: Msdepw32.dll, que contém o número de vezes que o vírus é executado, e Msdtv.dll, um arquivo de zero byte. Se o número indicado pelo arquivo Msdepw32.dll for inferior a 6, é apresentada a seguinte mensagem, em sistemas Windows NT, XP e 2000:


Se o número for superior a 19, os ícones da barra de tarefas e da área de trabalho são ocultados e a seguinte mensagem é apresentada em sistemas Windows 9x e ME:


Desde que os EUA começaram a bombardear o Iraque, este já é pelo menos o terceiro vírus que faz alusão à guerra. No momento, a McAfee classifica o Wanor como de baixo risco de propagação.

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2002. Todos os direitos reservados.