| Rio, 25 de fevereiro de 2004 Uma nova variante do vírus MyDoom, o MyDoom.F está se alastrando com muita rapidez nas máquinas e tem capacidade de destruir arquivos, além de atacar o site da RIAA. É altamente recomendável atualizar os antivirus e tomar medidas prudentes para não deixar que a máquina seja infectada pela praga. Ele vem em mensagens de e-mail, geralmente com os seguintes assuntos: O corpo da mensagem pode ser um destes: O anexo, na qual contém o vírus pode ser um destes: Estes anexos podem vir com as seguintes extensões: Note que qualquer deles pode vir com o velho truque da extensão dupla, como por exemplo: readme.doc.exe test.html.scr document.txt.bat Fazendo com que um usuário distraído pense que o anexo seja um documento comum. Também é muito comum estes anexos se apresentarem em formato zipado, com o vírus dentro. Por exemplo: readme.zip test.zip document.zip Sendo que o virus ( readme.exe; test.scr; document.bat ) estão dentro do arquivos zipado. Deste modo, clicando no anexo o vírus infecta a máquina. Para que a máquina seja infectada o usuário precisa executar o anexo, ou seja, clicar nele. Assim que a máquina é infectada, o worm procura todos os endereços no catálogo de endereços e manda mensagens com o vírus para outros endereços de e-mail com o remetente que está no catálogo de endereços. Por exemplo, digamos que João, cujo endereço de e-mail é joao@provedor.com, esteja contaminado pelo worm. João tem em seu catálogo o endereço de e-mail de Maria, que é maria@provedor.com. Ao invés do worm mandar mensagens viróticas com o endereço do João, ele manda com o endereço de Maria, ou seja maria@provedor.com. Fazendo com que as pessoas pensem que Maria e não João esteja infectada. Este procedimento dificulta e muito a localização da máquina infectada. Uma das características do MyDoom.F é fazer um ataque de negação de serviço (DdoS ) ao site da RIAA, famosa por tomar várias atitudes radicais contra serviços de compartilhamento de arquivos P2P ( KaZaA, Morpheus, etc..). Para o usuário os dois maiores perigos desta praga são: I ) Abertura de uma porta de conexão: Este vírus abre uma porta de conexão ( porta TCP 1080 ) para acesso remoto. Isto significa que uma máquina, uma vez infectada pelo vírus ficará exposta a invasões de micros remotos. Alguém que tenha as ferramentas necessárias ( portscan e exploit ) poderá acessar a máquina infectada e tendo privilégios administrativos poderá fazer o que quiser ( renomear, criar e deletar arquivos ). Além disso esta máquina poderá ser infectada por vírus que exploram falhas, como o Blaster e o Doomjuice, que infectam máquinas sem necessidade de abertura de e-mails. II ) O MyDoom.F faz uma verificação em todas as unidades de disco, de C a Z procurando por arquivos cujas extensões sejam: Caso encontre arquivos com estas extensões, ele os deletará. Lembro que estas extensões são muito comuns a arquivos de banco de dados, excel, processadores de texto, fotos e videos. É altamente recomendável deletar as mensagens que porventura tenham as características descritas acima, bem como deixar seu antivirus atualizado e sempre fazer um Scan de vírus antes de abrir qualquer anexo que seja de origem conhecida. Anexos de origem desconhecida podem e devem ser deletados sem dó. Caso esteja desconfiado ( ou tenha certeza ) de que sua máquina esteja com o MyDoom.F, baixe a vacina gratuita da McCafee para remover a praga clicando aqui. Maiores informações: Symantec McCafee Thadeu Camargo |