Capa » Notícias

Vírus altamente destrutivo ganha nova versão

Quinta, 20 de março de 2003, 13h29
A McAfee Security está alertando os usuários de computador para o surgimento do novo vírus W32/Holar.d@MM, altamente destrutivo, segundo a empresa. Descoberto ontem, 19 de março, o Holar.D é muito semelhante à variante anterior, C. A praga se dissemina por e-mail, ICQ, compartilhamento de redes P2P e PalTalk.

O Holar.D consiste de 3 componentes: dropper (que descarrega outra ameaça na máquina), componente de propagação e biblioteca SMTP (essa é considerada "inocente"). Por ser similar ao da variante C, o componente dropper será detectado pelos produtos de gateway da McAfee como “Multidropper-EY”, a partir do Engine 4240 e DAT 4248 ou superiores.

O segundo componente - de propagação - é escrito para o diretório System do Windows como “MEDIA PLAYER.EXE”, e possui 25.776 bytes de tamanho. O arquivo também adiciona uma chave de registro para ser carregado na inicialização da máquina. Uma característica peculiar do Holar.D é que o vírus faz múltiplas cópias de si mesmo para o diretório raiz do sistema (C:\), usando nomes de arquivos já existentes no local, porém substituindo a extensão por “[2].PIF”.

A propagação por mensagens se dá por meio da captura de endereços de e-mail de determinados arquivos da máquina da vítima, como arquivos temporários da Internet, por exemplo. Os endereços são armazenados no registro do Windows, conforme os valores abaixo:

HKEY_CURRENT_CONFIG\System "Emails1" = endereço capturado
HKEY_CURRENT_CONFIG\System "Emails2" = próximo endereço capturado

Seqüências de programação contidas no código do vírus sugerem o envio de mensagens formatadas de diversas maneiras, como os dois exemplos abaixo:

Assunto: '''*< Love Speaks it all >*'''
Corpo da mensagem: Hii
Try this great program allowing u to translate 100 languages .
just write a passage in english and chose a language to get the traslation
one of my friends used it with his arabian gf and it worked successfully ;)
so , Now we can say ' Love Speaks it All ' :)

Assunto: Co0o0o0o0oL
Corpo da mensagem: i thing the subject is enough to describe the attached file !
check it out and replay your opinion
Cya

Quando executado na máquina, o Holar.D lança uma carga altamente destrutiva, convertendo para zero byte arquivos com as seguintes extensões: htm, html, zip, doc, mdb, xls, txt, ppt, pps, mpg, jpg, pdf, rar, ram, mp3, frm, dpr, php, cpp, swf, sql, mde, wav, rm e mpeg.

Via compartilhamento de rede P2P (KaZaA), a variante D se espalha por meio de múltiplas cópias criadas no diretório System do Windows, usando nomes de arquivos atraentes, com a propriedade “Somente Leitura” e “Oculto”. Alguns exemplos destes arquivos são: Aint_it_Funny.pif; Beauty_VS_Your_FaCe.pif; Anal_Sex_Ass_fxxxing.pif; AniMaL_N_Burning_Ladies.pif; HaWawi_N_Hawaii.pif; Asian_girls.pif; Shakiraz_Big_ass.pif.

Finalmente, o vírus lança o arquivo C:\MSG.HTM, contendo a seguinte mensagem do autor:

MaDe iN HaWaWi
By ZaCker & MyLife
2003/03/03
We BeLieVe Dat Filling
Da HD With Data Will
Hurt The PC
Oops
We Could Deal With it
Hawa ;) Bye

No momento, a McAfee considera o W32/Holar.d@MM como de baixo risco de propagação.

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2002. Todos os direitos reservados.