|
A mais recente versão do Netsky, detectada pelas empresas antivírus no início
da semana, chega em mensagens com textos em português. Hoje, a avaliação de
risco associado ao Netsky.AF já foi elevada de baixa para média pela McAfee,
devido à sua rápida disseminação. Desde quarta-feira, a Redação InfoGuerra
tem recebido várias mensagens contaminadas por essa variante.
Também batizado como Netsky.B1, I-Worm.NetSky.b, Win32/Netsky.B1, W32.Netsky.AD@mm,
Win32.Netsky.AE, Win32.Netsky.AE!ZIP, W32/Netsky.ag@MM, Netsky.AE, dependendo da
empresa antivírus, o worm chega por e-mail com assuntos e mensagens variáveis,
que procuram aguçar a curiosidade dos usuários brasileiros.
Com falsos endereços de remetentes, as mensagens trazem como assunto uma
extensa lista de frases, como "Abra rapido isso!!!!", "estou
doente veja!!!", "algo a mais", "AmaVoce", "amor
me liga", entre outras.
O corpo da mensagem, também em português, pode ser igual ao campo de
assunto ou então oferecer algo que seja de interesse à vítima, como ¿promocao
de viajens de fim de ano¿, ¿Proposta de emprego!!¿ e ¿sua conta bancaria
zerada¿, entre outros textos.
O e-mail contém um arquivo que pode ser compactado (.ZIP) ou ter extensões
.BAT, .DOC, .SCR e .EXE. A praga faz uma cópia de si mesma para as pastas
compartilhadas de todos os diretórios disponíveis, o que permite que também
se espalhe por meio de redes locais e do tipo P2P, usada para troca de arquivos
pela Internet.
Conforme o alerta da F-Secure,
ao ser executado pelo usuário, uma caixa de diálogo é aberta e tem como título
"Fail" (Falha) e a mensagem "File Corrupted replace this!!"
(arquivo corrompido, substitua-o) e, logo abaixo, um botão de OK para a permissão.
Em seguida, copia-se para o diretório %WinDir% com nomes variáveis como
"MsnMsgrs.exe", "banco!.zip", "bingos!.zip" e
"carros!.zip", entre outros. O worm também cria uma chave no registro
para assegurar que entre em atividade assim que o sistema seja iniciado.
Como suas versões anteriores, a praga ainda vasculha a máquina da vítima
em busca de endereços eletrônicos de e-mail para enviar uma cópia de si mesmo
a outros usuários.
Possivelmente, a nova variante seja o resultado de uma antiga divulgação do
código do Netsky pela Internet, usado como estratégia para dificultar a
identificação do autor original. O jovem alemão Sven Jaschan se declarou
autor confesso dos worms Sasser e Netsky no primeiro semestre de 2004 e estaria
atualmente em treinamento na empresa Securepoint para ser um programador de
software de segurança.
InfoGuerra
Copyright © InfoGuerra 2000-2003 Todos os direitos reservados
|
|
