Capa » Notícias

Segundo vírus ligado aos atentatos é destrutivo

Quarta, 11 de setembro de 2002, 20h04

VEJA TAMBÉM » Vírus usa aniversário dos ataques terroristas como isca

Foi descoberto nas últimas horas mais um vírus que usa os atentados terroristas ocorridos há exatamente um ano como mote para infectar computadores. Batizado pela Panda Software de VBS/Nedal, este worm escrito em Visual Basic Script tem capacidade de se espalhar por email e programas de bate-papo e destruir arquivos de vários tipos, incluindo arquivos do sistema.

O e-mail que carrega o Nedal (Laden escrito ao contrário) vem com a frase "Osama Bin Laden Comes Back!" (Osama Bin Laden está de volta!) no campo do assunto. O corpo da mensagem traz o seguinte texto:

Hello People,
You have received Email from Osama Bin Laden.
Allah is The One Of God. No god in the World Accept Allah!
All people in the world love peace and no wars. America and Israel must be destroy to prevent from wars.
Your Sincerely,
Osama Bin Laden
Al-Qaeda Network

A mensagem afirma que o e-mail foi enviado por Osama Bin Laden e que os EUA e Israel devem ser destruídos para evitar guerras. Segundo a Panda, o código do vírus está embutido no documento HTML que lhe serve de suporte. Ao ser ativado, o vírus envia cópias de si mesmo a todos os endereços do catálogo presente na máquina infectada.

O Nedal cria alguns arquivos nas pastas do Windows. Um deles é chamado "Osama.exe" e serve para sobrescrever arquivos executáveis. O vírus também deleta o conteúdo da pasta Windows\System e destrói arquivos com as extensões vbs, vbe, gif, jpg, bmp, avi, mp3, mpg, zip, cab, mdb, xls, lnk, doc, txt e rtf. Logo depois de ser executado, o vírus exibe imagens no computador, entre as quais, as duas abaixo

Outra forma de disseminação do Nedal é através dos softwares mIRC e o pIRCH, usados para bate-papo em canais de IRC. Uma vez presente em um sistema, o worm verifica se estes programas estão instalados. Em caso positivo, cria arquivos para enviar uma cópia de si mesmo com o nome "OsamaBinLanden.vbs" a outros usuários conectados nas salas de chat.

O worm muda o nome do usuário registrado no Windows para "OsamaBinLaden" e a página inicial do Internet Explorer é substituída para o endereço https://melhacker.netfirms.com/BinLaden.exe, que contém o vírus. A página contendo o arquivo já foi retirada do ar, mas o site Mel Hacker continua ativo.

O Nedal ainda faz modificações no registro do sistema para evitar que seja enviado novamente pelos mesmos métodos descritos acima. Finalmente, o vírus contém os seguintes dados em seu código:

'VBS.OsamaLaden@mm
'Create By Vladimor Chamlkovic & Nur Mohammad Kamil
'11 September 2002, Wednesday, 2:22p.m.
'<--- Allah is The One! --->
'<--- Allah Bless you Osama and all people in the world including me! --->

A Panda informa que já possui vacina para o Nedal, e também que o vírus possui algumas falhas que podem impedi-lo de funcionar em alguns sistemas da forma como foi programado.

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.