Informática

Notícias

Download

Análises

Compras

Boletim

Wired News

Negócios

Cultura

Política

Tecnologia

IDG Now!

Business

Carreira

Corporate

E-commerce

Internet

PC News

Telecom

PC World

Update

Testes

FileWorld

Guia de compras

Prática

ZDNet

Downloads

Ajuda

Tutoriais

Dicas

Dúvidas

Vírus

Glossário

Games

Outerspace

Terra Games

Games Now!

Colunistas

Sandra Pecis



Computerworld

Publish

WebWorld

WD/Jobs

Istoé Digital

Macmania

MP3Box

Personal Web

Surf Point

Busca
digite + enter


Terra Busca

Capa » Notícias

Infoguerra Vírus Bin Laden é executado sem auxílio do usuário

Quinta, 25 de outubro de 2001, 19h06

Um novo vírus de computador está atacando sob o nome de Osama Bin Laden. O W32/Toal-A, mais conhecido como Bin Laden, chega por e-mail e traz um assunto relacionado com os conflitos no Afeganistão, e o corpo da mensagem em branco. O arquivo em anexo, de nome BinLaden_Brasil.exe, contém o vírus, e pode ser executado apenas com a visualização da mensagem.

Entre os assuntos que ele pode trazer, a Sophos cita os seguintes:

"Bin Laden toillete paper !!" (Papel higiênico do Bin Laden)
"Sadam hussein & BinLaden IN LOVE" (Sadam hussein & BinLaden apaixonados)
"Is Osama Bin Laden BAD-LOVED ?" (Osama bin Laden é mal-amado?)
"USA against Geneva Convention ?" (EUA contra a Convenção de Genebra?)
"Anthrax mail is true(not a joke)" (E-mail do Anthrax é verdadeiro, não é piada)
"Biological weapons: Preventing !" (Armas biológicas: prevenindo!)

O vírus foi codificado para usar um formato incorreto do padrão MIME de e-mail, o que faz com que o anexo seja executado automaticamente, apenas com a visualização da mensagem. Isso é possível graças a uma vulnerabilidade do Internet Explorer 5.01/5.5 (com exceção da versão 5.01 com o Service Pack 2). O patch (correção) para proteger os sistemas atingidos por essa falha, pode ser encontrado no site da Microsoft. Para obtê-lo, clique aqui.

Segundo a Mcafee, o vírus Bin Laden infecta apenas sistemas Windows9x (95 e 98) e WindowsME. Os ambientes WindowsNT e Windows 2000 não correm riscos.

Quando o anexo é executado, é baixado um arquivo de nome invictus.dll no diretório Windows/System. O vírus propriamente dito está num arquivo com extensão .EXE, com um nome de três letras maiúsculas aleatórias. Ele é gravado na pasta do Windows e também pode ser copiado para o drive C. Esses arquivos são ocultos e somente de leitura.

Por meio de códigos contidos no arquivo invictus.dll, o vírus infecta os arquivos hh.exe e explorer.exe, que estão na pasta Windows, e além disso pode seguir infectando outros arquivos. De acordo com a Sophos, ele geralmente irá atingir o Netstat.exe (verifica o status da rede) e o Calc.exe (calculadora). O vírus roda a cada vez que o Windows Explorer é aberto.

O arquivo System.ini também é modificado, fazendo com que o vírus seja carregado a cada vez que o sistema for iniciado. A alteração pode ser notada da seguinte forma: na seção [boot], a linha shell=explorer.exe em Win9x é substituída por shell=explorer.exe [3 caracteres maiúsculos].EXE.

A Sophos diz ainda que aproximadamente uma em cada 159 infecções pode conter uma carga visual. Quando isso ocorre, mostram-se vários slogans coloridos na área de trabalho, junto com uma caixa de diálogo com o seguinte texto:

Bush, you need more hashish in your life
Why to take the Amazon from brazil. if you like polution?
Brazilian ppl wants the USA destruction, not likeour president, smelling Bush's balls
You are not the cops of the world, and World Trade Center was the first
Now you take the freedom from your own people, and the world is laughing ...
Ohhhh is this the famous American Way of Life ? HAHAHAHA !!!
BUGS EVERYWHERE
You kill more people per day than AIDS, giving money and arms to other countries
Now you are feeling the taste of your own poison...
Ohhhhhh i am sorry.. It isn't sweet ?

O texto acusa o presidente dos EUA de querer tirar a Amazônia do Brasil; diz que os brasileiros querem a destruição dos EUA, ao contrário do presidente (FHC), que seria bajulador; que os americanos querem ser a polícia do mundo e os atentados ao WTC foram conseqüência dessa política; e sugere que Bush consuma mais haxixe, um derivado da planta que produz a maconha.

Para se propagar, o vírus tenta conectar a página do ICQ “White Pages” (que mostra informações sobre vários assuntos e pessoas) para encontrar endereços de e-mail de novas vítimas. Depois ele se envia a esses endereços junto com o arquivo em anexo infectado.

Além disso, o W32/Toal-A procura por programas antivírus que estão rodando e tenta fechá-los. Os produtos afetados são os da Kaspersky Labs, Network Associates e Symantec. Ele também tenta fechar produtos como Zone Alarm, Freedom e and Avconsol.

De acordo com a McAfee, o vírus Osama Bin Laden foi descoberto no dia 23 de outubro, é originário da Ásia e é considerado de baixo risco. Tanto a McAfee como a Sophos já disponibilizaram a vacina para o vírus.

Priscila Perdoncini

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.



Fórum
Deixe a sua opinião sobre
esta notícia



Mais
Clique nas imagens para ler as notícias dos canais:

Wired News
IDG Now!
PC World
Computerworld
Macmania
WebWorld

Boletim
Receba notícias e outras informações por e-mail
 » Conheça o Terra em outros países Resolução mínima de 800x600 © Copyright 2001,Terra Networks, S.A Proibida sua reprodução total ou parcial
  Anuncie  | Assine | Central do Assinante | Clube Terra | Fale com o Terra | Aviso Legal | Política de Privacidade