Notícias

Novo vírus rouba senhas e é mais rápido que o SirCam

Guarulhos, 26 de novembro de 2001

Circula pela Internet um novo vírus com grande capacidade para causar transtornos. Trata-se do Badtrans.B, praga virtual que é enviada automaticamente por e-mail e traz um cavalo de Tróia, conhecido como PWS (destinado a roubar senhas do usuário).

A Symantec, empresa que comercializa o Norton Antivirus, já classificou a ameaça como nível 3, em sua escala que vai até 5, por conta de seu grande potencial de disseminação e por já ter identificado vários casos. Só a MessageLabs, companhia que realiza serviço de checagem de e-mails para corporações, identificou mais de 12 mil arquivos contaminados em apenas três dias, o que valeu à ameaça a classificação de alto risco, com 100 novas mostras identificadas por minuto, superando o SirCam. Sua atividade já foi identificada em quase 40 países, entre eles o Brasil.

O vírus chega por correio eletrônico com o campo de assunto em branco ou com “RE:” e um arquivo anexado que pode ter vários nomes, como Me_Nude.zip.scr e S3msong.mp3.pif. O objetivo de ter .zip.scr ou mp3.pif, por exemplo, é enganar o destinatário, que acredita estar recebendo um arquivo de música ou foto. Para criar o nome do arquivo, o vírus combina textos, relacionando partes entre as palavras abaixo:

HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS

Já a primeira extensão pode ser .doc, .mp3 ou .zip, enquanto que a segunda é sempre .pif ou .scr. Com isso, surgem arquivos como card.doc.pif, news_doc.mp3.scr, etc. Para agravar a situação, começam a surgir versões com outros textos, como “Sorry about yesterday” e algumas funções diferentes.

Segundo a Message Labs, não é preciso sequer clicar no arquivo anexado para que o vírus entre em ação. Basta ler a mensagem ou visualizar no preview do Outlook para infectar o micro. Ao ser executado, ele passa a enviar e-mails contaminados e instala o cavalo de Tróia PSW, que rouba senhas do usuário e números de cartão de crédito, entre outras informações, pois monitora a digitação. Os dados confidencias são enviados para endereços de hackers como ld8dl1@mailandnews.com e uckyjw@hotmail.com.

“O BadTrans.B está se propagando mais rápido que qualquer outro vírus que já vimos, superando inclusive o SirCam”, afirma Mark Sunner, diretor de tecnologia da MessageLabs.

Versões atualizadas de antivírus já identificam e brecam a ameaça. A Symantec também recomenda que as empresas criem filtros para bloquear todos os e-mails com extensões .scr e pif.

Sites relacionados:

· www.antivirus.com
· www.messagelabs.com
· www.symantec.com

Esta informação foi útil para você?