Novo vírus de propagação rápida atinge emails em todo o mundo

27 jan 2004 16:08

Este artigo tem mais de 20 anos

Surgiu na Rússia e rapidamente se propagou ao resto do mundo, nomeadamente aos restantes países de Leste, onde continua particularmente activo. A este ritmo, o Mydoom promete transformar-se numa ameaça tão séria quanto os conhecidos Bugbear e Blaster.

(corrigida)

As principais empresas de segurança informática alertaram esta manhã para a
existência de um novo worm. O W32/Mydoom.A, ou Mydoom - também designado por Novarg ou WORM_MIMAIL.R - foi descoberto ontem, com origem provável na Rússia, propagando-se em poucas horas ao resto do mundo.

O novo vírus chega através de email com uma de várias linhas de assunto, como "Mail Delivery System", "Test" ou "Mail Transaction Failed". O corpo da mensagem contém um ficheiro executável e uma mensagem como "The message contains Unicode characters and has been sent as a binary attachment".

Tal como as mais recentes gerações de vírus, utiliza técnicas de engenharia social para fazer com que os utilizadores executem o ficheiro. O vírus não só infectará a máquina como irá pesquisar novos endereços de correio electrónico na Lista de Contactos do Windows para se reenviar posteriormente. Tira ainda partido de aplicações de partilha de ficheiros como o KaZaA.

Adicionalmente, abre a porta de comunicações TCP 3127 do computador afectado, possibilitando o acesso remoto ao mesmo, o que significa que "qualquer hacker poderá aceder à máquina e retirar, modificar ou simplesmente destruir toda e qualquer informação que deseje", refere em comunicado a Panda Software.

De acordo com o explicado por Victor Ruivo, da MarketWare, empresa que monitoriza a Internet em Portugal, o Mydoom instala na máquina contaminada um cavalo de tróia que recolhe informação daquilo que é digitado no teclado, para posteriormente a enviar para um local onde possa ser recolhida e explorada (o chamado key loggin).

Está igualmente preparado para lançar um ataque de negação de serviços, também conhecido como DDoS, contra o site da SCO no próximo dia 1 de Fevereiro.

O Mydoom é fácil de reconhecer na medida em que logo que chega ao computador é aberta uma janela com o Wordpad, o bloco de notas do Windows, contendo informação sem interesse.

Com um motor capaz de enviar 100 mensagens de correio electrónico em apenas 30 segundos, o Mydoom replicou-se tão rapidamente que passou a constar nos lugares cimeiros das listas dos vírus mais perigosos das principais empresas de segurança informática. Enquanto a McaFee falava em vírus de "alto risco", a Panda atribuia-lhe um "alerta vermelho". "Foi directamente para a terceira posição do top europeu da Panda", afirma Nuno Reis, da Euro Carisma, representante da Panda Software em Portugal.

Segundo o mesmo responsável, os estragos provocados pelo Mydoom podiam ter sido maiores, mas como a propagação na Europa se deu durante a madrugada, entretanto descobriram-se os antídotos e os antivírus foram actualizados. "Quando as pessoas chegaram de manhã aos seus empregos, já se deparavam com as mensagens de alerta".

De acordo com o mapa de vírus da Panda Software, a Polónia e a Eslováquia lideram a lista dos países com maior índice de computadores afectados, com valores acima dos 12 por cento. As últimas actualizações ao mapa mostram que o número de computadores infectados na Europa Ocidental também tem vindo a crescer nas últimas horas, nomeadamente em Portugal.

A MarketWare diz ter registado um tráfego anormal provocado pelo Mydoom, durante o dia de hoje, na Internet portuguesa. "Nove dos sites que constam do nosso Índice foram afectados em termos de desempenho, nomeadamente portais e sites de media", refere Victor Ruivo.