A McAfee Security, uma Linha de Produtos da Network Associates, líder mundial no oferecimento de soluções antivírus, alerta o mercado para o aparecimento de um novo Trojan, denominado: Qdel234.
De origem desconhecida e descoberto hoje, 20/05/02, o Qdel234 é um simples trojan executável em DOS que, quando carregado, deleta arquivos críticos do sistema da máquina da vítima.
Até o momento, foi constatado que o trojan tem sido enviado manualmente para outros usuários, anexado à mensagem de e-mail na qual o remetente declara ter hackeado seu site na Web, dizendo por exemplo:
To prove that I did a small HACK to an area in your site and I renamed that “CMP”. You can see that by viewing this attachment.
Sendo o anexo CMP.EXE.
Quando executado na máquina da vítima, a seguinte mensagem é mostrada ao usuário:
<<…OLE_Obj…>>
Uma vez que o usuário pressiona uma tecla, os seguintes arquivos são deletados da máquina:
*.INI e *.EXE do diretório C:windowssystem
*.DLL e *.EXE do diretório C:windows
Os caminhos de diretório acima são inseridos nos códigos do Trojan.
A McAfee Security considera o Qdel234 de baixo risco devido ao pequeno número de reportes recebidos no Brasil e no mundo. A McAfee Security recomenda que os produtos antivírus sejam atualizados semanalmente e estejam configurados para proteção em arquivos compactados (Compressed Files).
Site: Network Associates
Novo vírus: W32/Benjamin.worm
De origem alemã, o W32/Benjamin.worm é mais uma ameaça que, quando executada, se autocopia para o diretório %Windir%SystemExplorer.scr, onde %Windir% é o diretório de instalação do Windows.
Dessa forma, ele adiciona a chamada de %Windir%SystemExplorer.scr à chave de registro a seguir:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystem-Service
Para que o worm se espalhe, é necessário que o software Kazaa (que permite ao usuário compartilhar arquivos de multimídia) esteja instalado na máquina. O Benjamin.worm cria uma pasta denominada %Windir%TempSys32 e modifica as configurações do Kazaa de forma que os usuários remotos possam baixar arquivos desse diretório. Ele, então, se autocopia para o diretório mencionado, com diferentes nomes que podem ser procurados pelos usuários.
O tamanho dos arquivos criados pelo worm pode variar, uma vez que o vírus acrescenta códigos inúteis aos arquivos, aumentando a quantidade de bytes.
O método de propagação do Benjamin pode ser comparado ao do VBS/GWV.worm.
A McAfee Security considera o W32/Benjamin.worm de baixo risco devido ao pequeno número de reportes recebidos no Brasil e no mundo, porém alerta sobre o poder de tornar-se uma ameaça de médio e/ou alto risco. A McAfee Security recomenda que os produtos antivírus sejam atualizados semanalmente e estejam configurados para proteção em arquivos compactados (Compressed Files).
Site: Network Associates