:: Vírus de rápida disseminação abre o PC a crackers

Fonte: Site Info Guerra
17/2/2004 - 20:27 Giordani Rodrigues

As principais empresas antivírus do mercado estão alertando para o surgimento, hoje, dia 17, de um novo vírus, batizado de Bagle.B ou Tanx.A. Trata-se de um código maléfico que está se espalhando rapidamente por e-mail e chega na forma de um arquivo anexo. Uma vez instalado no sistema, o arquivo abre uma porta que se oculta na máquina (backdoor), através da qual um cracker poderia executar remotamente comandos de sua escolha.

A empresa britânica MessageLabs afirma que interceptou 10 mil cópias do vírus em apenas uma hora e que a primeira mensagem infectada veio da Polônia. No Brasil também já foram detectadas cópias do Bagle.B. A mensagem que o carrega sempre traz na linha de assunto o texto "ID (caracteres aleatórios)... thanks" e um arquivo anexo com extensão .EXE e nome aleatório. No corpo da mensagem, outra referência a ID, mais caracteres aleatórios e novamente um agradecimento (“Thank”).

Para se espalhar, o Bagle.B, que tecnicamente é um worm, recolhe endereços de e-mail de arquivos com extensões WAB, TXT, HTM e HTML e insere tais endereços nos campos do remetente e do destinatário das mensagens contaminadas. Por isso, não se pode dizer que uma máquina foi realmente infectada apenas porque o endereço de e-mail de seu proprietário estava no campo "from:" de uma dessas mensagens.

Outro truque para enganar os usuários, caso estes salvem o anexo antes de executá-lo, é associá-lo ao ícone de um arquivo de áudio.

Caso o arquivo seja executado, o worm tenta carregar o gravador de som do Windows, rodando o aplicativo "sndrec32.exe". Uma vez instalado, o Bagle.B cria uma cópia de si mesmo em um arquivo com o nome "au.exe" no diretório “System” do Windows e acrescenta uma nova entrada no registro do sistema para garantir sua execução toda vez que o computador for reiniciado. O Bagle.B está programado para deixar de se disseminar no dia 25 de fevereiro de 2004.

A backdoor aberta pelo worm fica aguardando conexões remotas na porta TCP 8866, que poderia ser usada para instalar outros programas maléficos ou atualizar o código da praga com novas funcionalidades. Esta porta também é usada para se conectar a três sites na Alemanha (www.47df.de, www.strato.de e intern.games-ring.de) e enviar informações sobre o sistema infectado.

Do ponto de vista técnico, o Bagle.B é um programa simples, mas sua rápida disseminação ? como também aconteceu com a primeira versão do worm ? está sendo atribuída a dois fatores: a aparência inocente da mensagem que o carrega, com um anexo cujo ícone imita um arquivo de áudio, e o fato de ter sido inicialmente enviado a uma grande quantidade de pessoas, na forma de spam.

"No momento, é difícil estimar quanto estrago este worm irá causar", opina Mikael Albrecht, diretor de produtos da empresa antivírus F-Secure. "A backdoor que ele contém pode ser muito perigosa, pois permite que o autor do vírus injete código malicioso no sistema, em um momento posterior. Este tipo de técnica pode ser usado, por exemplo, para plantar nos computadores infectados agentes que servirão para o envio de spam". O alerta do executivo vem reforçar a idéia de que spammers e criadores de vírus definitivamente juntaram forças, hipótese que vem sendo levantada desde o surgimento de alguns dos mais bem-sucedidos códigos maléficos da História, como o Sobig-F e o MyDoom.A.

Para quem desconfia que teve seu sistema contaminado pelo worm, já foram desenvolvidos programas para remoção da praga, como a ferramenta especial lançada pela F-Secure ou o PQRemove, da Panda Software. O serviço antivírus gratuito de InfoGuerra também já está atualizado para detectar sistemas infectados pelo Bagle.B.