O vírus W32/BadTrans.B, descoberto na última sexta-feira, 23, em poucos dias se espalhou velozmente por vários países e hoje já é mais o ativo do mundo. As principais companhias antivírus estão lançando alertas sobre sua rápida disseminação. Segundo a empresa britânica MessageLabs, que rastreia mensagens de e-mail em busca de vírus, o BadTrans.B já foi encontrado em 111 países, incluindo o Brasil. Ontem, o vírus chegou a ser detectado a uma taxa de 102 mensagens infectadas por minuto, uma das mais altas que a empresa já registrou. A média manteve-se em nove mensagens infectadas por minuto.Desde sexta-feira, a MessageLabs já interceptou cerca de 32 mil cópias do vírus, sendo quase 13 mil apenas nas últimas 24 horas. Isto fez com que a praga assumisse o primeiro lugar em infecções, desbancando o SirCam, o qual permaneceu nesta posição na maior parte dos últimos quatro meses. A intensa atividade do BadTrans fez a Symantec aumentar de 3 (moderado) para 4 (severo) o risco de infecção pelo vírus, numa escala que vai até 5 (muito severo). A McAfee também aumentou a classificação de risco para "Médio em Observação" para usuários corporativos e "Alto" para usuários domésticos.
Segundo a MessageLabs, 60% dos casos de contaminação são de usuários domésticos. Os usuários corporativos, que não estavam sendo muito atingidos durante o final de semana, quando boa parte das empresas fecha, agora já representam 37% das infecções. Os países mais atingidos, de acordo com as estatísticas da empresa, são Reino Unido, Alemanha e Estados Unidos, nessa ordem.
No Brasil, a atividade do vírus não está tão intensa quanto na Europa, ao menos por enquanto. Segundo Patrícia Ammirabile, analista de suporte e membro do McAfee Avert (Anti-Virus Emergency Response Team), a companhia recebeu relatos de infecção de 40 empresas de médio a pequeno porte no Brasil. O número total de computadores atingidos ainda não está disponível. "As infecções deveram-se principalmente à desatualização ou configuração incorreta dos programas antivírus", diz Ammirabile.
A Trend Micro, por sua vez, considera o BadTrans.B de baixo risco, "pois criou a vacina e a distribuiu para seus clientes com muita rapidez", segundo sua assessoria de imprensa. No Brasil, a empresa relata apenas cinco computadores infectados. Na América Latina, este número foi de 15 computadores e no mundo todo apenas mil, de acordo com as pesquisas da empresa. "A maior incidência está sendo na Europa, seguida pela América do Norte e Austrália. Em nenhum dos continentes do globo o BadTrans é o número um entre os dez vírus mais detectados pela Trend Micro", informa sua assessoria.
Forma de atuação
O BadTrans original foi descoberto em abril deste ano. Assim como a primeira versão, o BadTrans.B chega por e-mail e pode infectar o computador apenas com a leitura ou pré-visualização da mensagem, devido a uma falha do Internet Explorer (IE). Mensagens que possuem um cabeçalho MIME (Multi-purpose Internet Mail Extension) incorreto, podem fazer com que anexos recebidos pelo Oulook sejam executados automaticamente pelo navegador. (O padrão MIME gerencia a transferência de arquivos em correio eletrônico pela Internet)
A praga também descarrega um cavalo de Tróia (trojan), identificado como KDLL.DLL ou Trojan.PSW.Hooker, capaz de registrar tudo o que o usuário escreve — incluindo senhas e números de cartões de crédito — e enviar as informações para um endereço de e-mail supostamente pertencente ao criador do vírus.
A mensagem que carrega o vírus não possui nenhum texto em seu corpo. A linha de assunto é retirada do mesmo campo de outra mensagem que esteja no computador infectado e vem com a partícula "Re:", dando a impressão de que se trata de uma resposta legítima de outra pessoa.
Até ontem, havia a hipótese de que o nome do arquivo anexado era formado a partir de três listas, uma para a primeira parte do nome, e as outras para as duas extensões do arquivo. Mas a prática tem demonstrado algo diferente. Segundo, a MessageLabs, todas as mensagens detectadas possuíam apenas os seguintes anexos:
stuff.MP3.pif
info.DOC.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
HAMSTER.DOC.pif
Me_nude.MP3.scr
fun.MP3.pif
news_doc.DOC.scr
images.DOC.pif
Humor.MP3.scr
New_Napster_Site.MP3.pif
docs.DOC.pif
README.MP3.scr
Sorry_about_yesterday.MP3.pif
Pics.DOC.scr
SETUP.DOC.scr
YOU_are_FAT!.MP3.scr
Card.DOC.pif
Também há a possibilidade de que toda a primeira parte do nome apareça em letras maiúsculas. Assim: YOU_ARE_FAT!.MP3.scr. É interessante notar que alguns desses nomes (New_Napster_Site.MP3.pif, por exemplo) também são usados pelo vírus MTX.
Se o usuário clicar no anexo ou se ele for executado automaticamente, o vírus faz uma cópia de si mesmo no diretório Windows\System, com o nome Kernel32.exe (ou Kern32.exe, segundo algumas empresas antivírus). O registro do Windows também é modificado para que o vírus seja executado quando o PC for iniciado. A seguinte chave é criada: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe (ou kern32.exe).
Após instalado, o vírus envia cópias de si mesmo usando diferentes métodos: respondendo a mensagens que chegam, e enviando e-mails para endereços encontrados em arquivos contendo as extensões ".HT*" e ".ASP".
O trojan descarregado na máquina coleta informações sobre a conta de acesso à rede, nome de usuário e nome do computador infectado. O arquivo KDLL.DLL grava tudo que é digitado, a data, a hora, o nome de usuário e o nome do aplicativo no qual a digitação foi feita. As informações são criptografadas, guardadas em um arquivo de nome CP_25389.NLS e enviadas, por e-mail, para um endereço específico.
Como se proteger
- Atualize seu programa antivírus. Aproveite que está lendo esta reportagem e faça isso agora!
- Mesmo que seu antivírus esteja atualizado, não deixe de aplicar as correções para o IE que evitam a execução automática de anexos em e-mails. O BadTrans é só um dos vírus que se aproveitam dessa vulnerabilidade, mas ultimamente vários outros têm surgido. O IE 6.0 já vem com a correção na configuração padrão. Para baixá-lo, clique aqui. Se você possui as versões 5.0 e 5.5 do navegador, pode encontrar mais informações e a correção para o bug aqui.
- Você também deve configurar o seu Windows para não ocultar as extensões de arquivos conhecidos, evitando assim que a segunda extensão de anexos usados por vírus fique escondida. Para isso, vá em "Meu Computador", clique em "Exibir", depois em "Opções de Pasta". Em "Modo de Exibição", desmarque a opção "Ocultar extensões para tipos de arquivos conhecidos".
- Se seu PC já foi infectado pelo BadTrans.B, você pode usar uma ferramenta para remoção automática do vírus, disponibilizada pela Panda Software. Para obtê-la, clique aqui.