27/01/2004 14h55
Vírus MyDoom se espalha pela Web; veja como se livrar da praga
Da Redação
Em São Paulo
Um novo vírus conhecido como MyDoom (ou Novarg ou Shimgapi) vem se espalhando rapidamente pela Internet via e-mail e pode ser tão catastrófico quando o BugBear e o Sobig, dois vírus causadores de infecções históricas. Em apenas algumas horas, milhares de equipamentos em países distintos foram infectados.
Só o UOL, que instalou um filtro em seus servidores para impedir que mensagens contendo o vírus aportem na caixa postal do assinante, está bloqueando mais de 100 mil mensagens contaminadas por hora.
Segundo a empresa de antivírus MessageLabs, 1 em cada 12 e-mails circulando pela Web carregam o vírus. A empresa já barrou mais de 577 mil e-mails infectados com o MyDoom, em 168 países. Os Estados Unidos são o país mais afetado, com cerca de 60% dos ataques.
O objetivo fundamental do Mydoom.A.worm é causar colapsos nos sistemas de informática empresariais, impedindo os usuários de trabalharem com o computador. O vírus utiliza uma técnica de engenharia social, capaz de enganar todo tipo de usuário, mas principalmente administradores de rede, visto que contém mensagens técnicas referentes a um erro no servidor do correio eletrônico ou uma falha na transação.
As companhias infectadas ficam paralisadas. Ao reenviar-se automaticamente aos contatos de e-mail encontrados no computador infectado, o Mydoom.A causa um grande tráfego na rede.
O novo worm não tira vantagem de nenhuma falha ou vulnerabilidade de software, e foi projetado para convencer os destinatários de um e-mail a abrir um arquivo anexo e executar os programas nele contidos.
O MyDoom chega em mensagens com um arquivo de extensão exe, .scr, .zip ou .pif, e pode conter na linha de assunto as palavras "status" ou "test". Ele ataca somente computadores que usam o sistema operacional Windows.
O MyDoom também se envia aos endereços de e-mail arquivados no PC do destinatário, e está congestionando os servidores de e-mail das redes nas empresas.
O vírus também abre a porta TCP 3127 da máquina infectada, permitindo que um hacker obtenha o controle do equipamento, podendo até mesmo roubar, manipular ou destruir todo tipo de informações. Além disso, ele está preparado para lançar um ataque de negação de serviço (DoS) ao site www.sco.com, no próximo dia 1º de fevereiro.
Saiba mais sobre o vírus:
Nome: MyDoom, Novarg ou Shimgapi
Assunto: (Aleatório)
Corpo da Mensagem: (Pode variar)
A mensagem não pode ser representada em código 7-bit ASCII e está sendo enviada em binário (anexo).
Anexo: (variado - chega em um arquivo .ZIP com o tamanho de 22,528 bytes)
O ícone usado pelo anexo faz com que o mesmo pareça ser um arquivo texto. Quando esse é executado, ele se copia para o sistema local com os seguintes nomes:
C:\Program Files\KaZaA\My Shared Folder\activation_crack.scr
C:\WINDOWS\Desktop\Document.scr
C:\WINDOWS\SYSTEM\taskmon.exe
O Mydoom também usa uma DLL que cria o seguinte arquivo no diretório System do Windows:
c:\WINDOWS\SYSTEM\shimgapi.dll (4,096 bytes)
Finalmente ele cria a seguinte chave de registro para que tenha seus códigos carregados na inicialização da máquina:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_CurrentVersion\
Run "TaskMon" = %SysDir%\taskmon.exe
O Mydoom também pode se propagar via diretório compartilhado do KaZaa.
As principais fabricantes de antivírus já possuem vacinas para o novo vírus. Para se proteger, basta atualizar seu antivírus via Internet.
Até o momento, a Panda Software é a única empresa com uma ferramenta de remoção automática do MyDoom (www.pandasoftware.com/download/utilities)Caso você tenha sido infectado e seu antivírus não consiga remover a praga, é necessário mexer no registro do Windows. Veja como:
Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
Digite regedit e clique em OK. (O Editor do Registro será aberto).
Navegue até a seguinte chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
No painel direito, exclua o valor:
"Taskmon"="%System%\taskmon.exe"
Navegue até a seguinte chave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte chave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte chave:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
No painel direito, modifique o valor como abaixo:
"(Default)"="%System%\webcheck.dll"
Saia do Editor do registro e reinicie o computador. Passe o antivírus novamente para se certificar de que o micro não está mais infectado.
OBSERVAÇÃO: O Windows Me tem um sistema de backup automático das configurações do sistema. Antes de iniciar os procedimentos de remoção do vírus, é necessário desligar o backup.
Clique aqui para verificar se sua máquina está infectada
Leia também:
Vírus MyDoom caminha para ser um dos piores da história
Vírus MyDoom pode ser a arma do mundo Linux contra a SCO
Novo vírus pode ser pior do que o SoBig, dizem experts
Vírus MyDoom se espalha rapidamente pela internet
 |
 |
|
|
|
