Última versão do MyDoom deixa porta de entrada para novo vírus

28 jul 2004 11:55

Este artigo tem mais de 19 anos

O Zindos A é o mais recente vírus identificado pelas empresas de segurança. Usa uma porta de entrada deixada pela versão M do MyDoom e está programado para lançar ataques DoS ao site da Microsoft, até agora sem consequências graves.

As empresas de segurança detectaram um novo vírus que aproveita uma porta de entrada, desconhecida pelo utilizador, deixada pela mais recente versão do MyDoom nos PCs infectados. O Zindos A está para já classificado como um vírus de perigosidade média, programado para provocar ataques DoS dirigidos ao site da Microsoft.

O MyDoom M ou N, consoante as empresas de segurança, é como as versões anteriores um worm de propagação rápida que utiliza o correio electrónico para se disseminar. Nesta última versão o código malicioso foi programado para, de cada vez que infectasse uma máquina fosse desencadeada uma pesquisa de novos endereços com o mesmo domínio nos motores de pesquisa Google, Yahoo e Altavista e Lycos.

Durante o processo o MyDoom faz o download de um Cavalo de Tróia (Zincite.A) que abre uma backdoor (TCP 1034) em cada sistema infectado. O Zindos A actua precisamente a este nível procurando em diferentes endereços IP a porta que é deixada aberta e contaminando os PCs com esta vulnerabilidade. Depois de instalado o vírus está programado para usar a ligação Internet do utilizador infectado e lançar um ataque DoS contra a página da Microsoft.

Os especialistas acreditam que esta backdoor deixado pela versão M do MyDoom foi pensada para acolher outros códigos maliciosos como agora está a acontecer. Tendo em conta que a variante M do MyDoom teve um pico relativamente curto não são esperados estragos significativos com este novo vírus.

Contudo, a existência destas portas de entrada para novos ataques são motivo de preocupação para os especialistas, já que facilitam o trabalho aos criadores dos códigos maliciosos. Na versão L do MyDoom foi mesmo descoberto um mecanismo que mantinha uma lista dos sistemas infectados possível de ser usada para ataques posteriores.

Os números apresentados pelas empresas de segurança não são consensuais relativamente ao número de PCs infectados pela versão M do MyDoom, que poderão agora ser também atingidos pelo Zindos. A Message Labs, por exemplo, garante ter registado 600 mil emails infectados num período de 24 horas que terminou ontem (terça feira) de manhã, altura em que o ritmo de propagação do vírus começou a abrandar.

Para já as medidas levadas a cabo pela Microsoft têm sido suficientes para manter o site operacional, adiantou a empresa em declarações à imprensa internacional.