Ir ao conteúdo
  • Comunicados

    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Guest Fracarolli820

[Resolvido] Novo vírus finge ser e-mail da microsoft

Recommended Posts

Guest Fracarolli820

<font color='#0000FF'>Vírus e Cia

Segunda, 19 de maio de 2003, 12h19

Novo vírus finge ser e-mail da Microsoft

   

Giordani Rodrigues

Várias empresas antivírus estão distribuindo alertas sobre um vírus descoberto ontem e batizado de Palyh, Mankx e também de Sobig.B, devido a algumas semelhanças com o W32/Sobig@MM. O vírus chega em uma falsa mensagem que simula ser da Microsoft e está se espalhando com rapidez por vários países.

A F-Secure afirma que recebeu muitos exemplares do vírus, principalmente dos Estados Unidos, Reino Unido, Dinamarca e Nova Zelândia. A empresa já está classificando o Palyh como de nível 1, o que significa alto risco de infecção de acordo com seus critérios. A MessageLabs, que oferece um serviço de análise de e-mails antes que cheguem aos destinatários, informa que já interceptou mais de 11 mil mensagens contaminadas pelo vírus em 69 países. A primeira delas veio da Holanda e atualmente os países mais atingidos são Reino Unido, Estados Unidos e Hong Kong, segundo as estatísticas da companhia.

Em sua versão atual, o Palyh não tem capacidade de destruir arquivos da máquina infectada, mas de acordo com a F-Secure a praga tem capacidade de se conectar a quatro diferentes Web sites e fazer download de novas funcionalidades para seu código. "Como resultado, o worm é capaz de atualizar a si mesmo e instalar outros aplicativos, tais como trojans", alerta o comunicado da empresa.

O Palyh é escrito em linguagem Microsoft Visual C++ e comprimido com o utilitário UPX. O worm se propaga por compartilhamentos de redes ou chega como um anexo de e-mail, cujo tamanho pode variar entre aproximadamente 49 KB e 54 KB. Ao ser descompactado, o arquivo tem aproximadamente 110 KB de tamanho. As mensagens que o carregam trazem no campo do remetente o endereço support@microsoft.com (obviamente forjado) e no corpo o texto "All information is in the attached file" (Todas as informações estão no arquivo anexo). Como assunto e nome do anexo há uma série de comninações possíveis, conforme se vê abaixo:

Assuntos: Your details

Approved (Ref: 38446-263)

Re: Approved (Ref: 3394-65467)

Your password

Screensaver

Re: My details

Cool screensaver

Re: Movie

Re: My application

Anexos: your_details.pif

ref-394755.pif

approved.pif

password.pif

doc_details.pif

screen_temp.pif

screen_doc.pif

movie28.pif

application.pif

A McAfee, que considera o vírus como de médio risco de infecção, informa que, de modo similar ao Sobig, as mensagens construídas pelo Palyh podem ter uma aspa final omitida no nome do arquivo anexo. Isto pode fazer com que alguns programas de e-mail removam um caracter do nome do arquivo, de modo que a extensão PIF se torne PI.

As mensagens infectadas são enviadas por meio de um serviço SMTP próprio do Palyh. Os endereços para os quais o worm se auto-envia são retirados do catálogo do Windows (arquivos com extensão WAB), de mensagens do Outlook e Outlook Express (extensões DBX e EML), de páginas HTML e de arquivos de texto (TXT) armazenados no computador infectado.

De acordo com a F-Secure, o worm está programado para se espalhar apenas até 31 de maio de 2003, após o que cessará suas tentativas de propagação. A companhia avisa, porém, que a capacidade de atualização do worm continua após esta data, portanto a praga poderá incorporar novos comandos e voltar a se replicar. Além disso, a data é baseada na contagem de tempo do sistema local, por isso se o relógio do sistema estiver atrasado o worm continuará se espalhando até que o processador registre o dia 31 de maio de 2003.

Quando executado, o Palyh lança três arquivos no diretório de instalação do Windows. Um deles tem o nome "msccn32.exe" e é uma cópia do próprio vírus, os outros dois são arquivos de configuração de nomes "hnks.ini" e "mdbrr.ini". O worm também rastreia os compartilhamentos de rede e tenta se copiar para as seguintes pastas, se o caminho estiver acessível: Documents and SettingsAll UsersStart MenuProgramsStartup WindowsAll UsersStart MenuProgramsStartup

Finalmente, chaves de registro são adicionadas ao sistema, para que o Palyh tenha seu código carregado na inicialização da máquina. As chaves são as seguintes:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "System Tray" = %WinDir%msccn32.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "System Tray" = %WinDir%msccn32.exe

Foi detectado um bug em algumas amostras do vírus, que faz com que os arquivos maléficos às vezes sejam copiados para pastas diferentes das planejadas pelo criador da praga. Nestes casos, o código do vírus não será carregado na próxima inicialização do sistema. Várias empresas antivírus já dispõem de atualizações capazes de detectar e eliminar o Palyh.

 

InfoGuerra

Copyright © InfoGuerra 2000-2003 Todos os direitos reservados

Terra</font>

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×