Vírus MyDoom se espalha pela Web; veja como se livrar da
praga
Da Redação Em
São Paulo
Um novo vírus conhecido como MyDoom (ou Novarg ou Shimgapi)
vem se espalhando rapidamente pela Internet via e-mail e pode ser tão
catastrófico quando o BugBear e o Sobig, dois vírus causadores de infecções
históricas. Em apenas algumas horas, milhares de equipamentos em países
distintos foram infectados.
Segundo a empresa de antivírus MessageLabs,
1 em cada 12 e-mails circulando pela Web carregam o vírus. A empresa já barrou
mais de 577 mil e-mails infectados com o MyDoom, em 168 países. Os Estados
Unidos são o país mais afetado, com cerca de 60% dos ataques.
O
objetivo fundamental do Mydoom.A.worm é causar colapsos nos sistemas de
informática empresariais, impedindo os usuários de trabalharem com o
computador. O vírus utiliza uma técnica de engenharia social, capaz de enganar
todo tipo de usuário, mas principalmente administradores de rede, visto que
contém mensagens técnicas referentes a um erro no servidor do correio
eletrônico ou uma falha na transação.
As companhias infectadas ficam
paralisadas. Ao reenviar-se automaticamente aos contatos de e-mail encontrados
no computador infectado, o Mydoom.A causa um grande tráfego na rede.
O
novo worm não tira vantagem de nenhuma falha ou vulnerabilidade de software, e
foi projetado para convencer os destinatários de um e-mail a abrir um arquivo
anexo e executar os programas nele contidos.
O MyDoom chega em
mensagens com um arquivo de extensão exe, .scr, .zip ou .pif, e pode conter na
linha de assunto as palavras "status" ou "test". Ele ataca somente
computadores que usam o sistema operacional Windows.
O MyDoom também se
envia aos endereços de e-mail arquivados no PC do destinatário, e está
congestionando os servidores de e-mail das redes nas empresas.
O vírus
também abre a porta TCP 3127 da máquina infectada, permitindo que um hacker
obtenha o controle do equipamento, podendo até mesmo roubar, manipular ou
destruir todo tipo de informações. Além disso, ele está preparado para lançar
um ataque de negação de serviço (DoS) ao site www.sco.com, no próximo dia 1º
de fevereiro.
Saiba mais sobre o vírus:
Nome:
MyDoom, Novarg ou Shimgapi Assunto: (Aleatório) Corpo da
Mensagem: (Pode variar) A mensagem não pode ser representada em código
7-bit ASCII e está sendo enviada em binário (anexo). Anexo:
(variado - chega em um arquivo .ZIP com o tamanho de 22,528 bytes)
O
ícone usado pelo anexo faz com que o mesmo pareça ser um arquivo texto. Quando
esse é executado, ele se copia para o sistema local com os seguintes
nomes:
O
Mydoom também usa uma DLL que cria o seguinte arquivo no diretório System do
Windows:
c:\WINDOWS\SYSTEM\shimgapi.dll (4,096 bytes)
Finalmente
ele cria a seguinte chave de registro para que tenha seus códigos carregados
na inicialização da
máquina:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_CurrentVersion\ Run
"TaskMon" = %SysDir%\taskmon.exe
O Mydoom também pode se propagar via
diretório compartilhado do KaZaa.
As principais fabricantes de
antivírus já possuem vacinas para o novo vírus. Para se proteger, basta
atualizar seu antivírus via Internet.
Até o momento, a Panda Software é
a única empresa com uma ferramenta de remoção automática do MyDoom (www.pandasoftware.com/download/utilities)Caso
você tenha sido infectado e seu antivírus não consiga remover a praga, é
necessário mexer no registro do Windows. Veja como:
Clique em Iniciar e em Executar (A caixa de diálogo Executar será
exibida).
Digite regedit e clique em OK. (O Editor do Registro será aberto).
Navegue até a seguinte
chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
No painel direito, exclua o valor: "Taskmon"="%System%\taskmon.exe"
Navegue até a seguinte
chave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte
chave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte
chave: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
No painel direito, modifique o valor como
abaixo: "(Default)"="%System%\webcheck.dll"
Saia do Editor do
registro e reinicie o computador. Passe o antivírus novamente para se
certificar de que o micro não está mais infectado.
OBSERVAÇÃO: O
Windows Me tem um sistema de backup automático das configurações do sistema.
Antes de iniciar os procedimentos de remoção do vírus, é necessário desligar o
backup
Vírus MyDoom se espalha rapidamente pela internet da Folha Online
Os administradores de rede estão
tendo trabalho para barrar um novo vírus que se espalha rapidamente por e-mail
em todo o mundo. A praga parece uma mensagem comum de erro de envio de e-mail,
mas na realidade contém um código responsável por sua disseminação, que também
deixa o computador infectado aberto a invasões.
Chamado de MyDoom, mas
também conhecido como Novarg ou Mimail.R, o vírus se propagou tão rapidamente
que algumas redes corporativas chegaram a travar poucas horas após a sua
aparição, nesta segunda-feira. Seu mecanismo de e-mail é capaz de enviar até
100 mensagens infectadas em apenas 30 segundos, de acordo com
especialistas.
A empresa de segurança Central Command confirmou cerca
de 3.800 infecções do MyDoom apenas 45 minutos depois da primeira detecção do
vírus.
Para os especialistas, o vírus tem todas as características para
entrar na lista das piores pragas.
Divulgação/McAfee
Tela de mensagem contendo o vírus, recebida
em e-mail do
Yahoo
Autêntica
Diferentemente
dos vírus de disseminação em massa, o MyDoom não tenta enganar suas vítimas
com promessas de fotos pornográficas ou falsas mensagens. Ao invés disso, um
dos textos usados pela praga traz a seguinte mensagem: "The message contains
Unicode characters and has been sent as a binary attachment." Algo como "esta
mensagem contém caracteres Unicode e por isso foi enviada como um anexo
binário".
Exatamente por soar tão técnico, as pessoas acreditam
tratar-se de algo legítimo, disse Steve Trilling, diretor de pesquisas da
Symantec.
As linhas de texto e remetentes variam, mas incluem, entre
outras, frases como "Mail Delivery System" e "Mail Transaction Failed". Os
anexos possuem extensões .exe, .scr, .cmd ou .pif, e vem compactadas em
arquivos zip.
Além de disseminar o e-mail infectado, o código contido
no MyDoom deixa uma porta aberta para que piratas da internet invadam o
computador.
A Symantec, Trend Micro e McAfee, entre outras, já classificam a praga como de alto
risco. Vacinas para o MyDoom estão disponíveis nos sites dessas
empresas.
Para cancelar sua assinatura deste grupo, envie um e-mail
para:
[EMAIL PROTECTED]
Subject: [VotoEletronico] Re:
[VotoEletronico] Notícias gratuitas. E outras quase
Marko,
Por falar em My Doom.
O meu provedor
mandou uma correspondência alertando que meu endereço foi usado para
enviar correspondência para outro endereço meu desconhecido, que continha
o vírus W32My Doom-A.
Conhece esse bicho?
F.
Santana
----- Original Message ----- From: "Marko Ajdaric" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent:
Wednesday, February 04, 2004 4:47 PM Subject: [VotoEletronico] Notícias
gratuitas. E outras quase
> > 1) Canjas para a a
lista > > Mydoom: com a palavra (e as dicas) a Asociacion de
Internautas > http://www.neorama.com.br/_7_4fev3.html > >
http://jornal.publico.pt/publico/2004/02/03/Mundo/I10.html >
Menos britânicos dispostos a votar nas européias > > http://jornal.publico.pt/publico/2004/02/03/Mundo/I08.html >
Escutas telefônicas no caso Juppé > > http://online.expresso.pt/1pagina/artigo.asp?id=24742568 >
Angola: o MPLA condiciona data das eleições > > http://www.lefigaro.fr/eco-monde/20040202.FIG0310.html >
Force Ouvrière : um alentado perfil de Marc Blondel [em
francês] > > 2) Por menos de 50 centavos (preço da Hora do Povo
Pegar o Quércia e > Xevrar), dentre as 450 notícias de hoje, meus
assinantes da newsletter > integral ficaram sabendo
.... > > ESTANTE > Livros com voz para cegos, em
Portugal > Um olhar sobre a poesia palestina de resistência > A
França celebra o bicentenário de George Sand > A questão dos véus na
França, segundo Wole Soyinka > 'Para além da Política' está chegando
ao Brasil, traduzido > Resenha: Karl Marx e Bertand Russell, na
coleção 'Filósofos em 90 Minutos' > > MUSICA > Uma
introdução à música bahá'í > Getúlio Vargas e as modas de
viola > Entrevista: Paulo César Pinheiro, no papel de autor >
Alto preço invibializa a compra de CDs de música clássica > A
franciscana que mantem uma orquestra sinfônica em Catolé do
Rocha > > CINEMA > Nelson Pereira dos Santos lança 'Raízes
do Brasil' > Projeto cearense prevê cinema popular para
jovens > > Charges do dia > Na chuva, com Lulinha >
O salário deles e o nosso > Genoíno manda no trem-Lula > Iraque:
caíram os EUA na real? > Flagelados desconfiam de Lula > Assim
terminou o namoro PT/PC do B em Fortaleza > Schwarzenegger já banca o
Exterminador na Califórnia > > SAÚDE NATURAL E
SOCIAL > > COFINS de Lula deve elevar preço dos remédios >
FIOCRUZ: cresce a satisfação popular com o PSF > Epidemia de diarréia
na Guatemala já matou 12 pessoas > A Sociedade Médica de Sergipe
contra os planos de saúde > O novo dia para a Mobilização Nacional dos
médicos já tem data > > Filha de Che Guevara participa de missão
médica na Venezuela > > Promotoria vai apurar nepotismo de dona
Marta na área de saúde > Mulheres com HIV/aids têm pior qualidade de
vida que os homens > > Hospital Geral Otávio de Freitas: o
CREMEPE instaura sindicância > Surto de leishmaniose visceral atinge
Imperatriz e João Lisboa (MA) > Suspeita de irregularidade suspende
eleição no Hospital da Cruz Vermelha > Uma decisão inédita obriga o
governo do Rio a realocar recursos para a saúde > SBHH, CBH e SBTMO
divulgam manifesto sobre a crise no sistema de > transplantes >
O surto de toxoplasmose de Santa Isabel do Ivaí acabou provocando
avanço em > pesquisas > Uma deliciosa crônica sobre a falta
de medidas sanitárias e os males > transmitidos por
animais > > > CIÊNCIAS > > Tarso Genro escala
sua equipe > Especial: em questão, o Provão > A biopirataria já
ameaça a Antártida > A Uniara diz que não foi avaliada pela
OAB > Consideran aceptable la OPA de Sanofi a Aventis >
Portugal: acesso à advocacia vai exigir pós-graduação > A Pfizer põe a
AstraZeneca para cair na bolsa [em inglês] > Estante: 'A
(Des)Construção do Conhecimento Pedagógico' > A UFRJ não divulgou
resultados de uma pesquisa sobre hantavírus > A volta da lobotomia
como marco do paradigma científico bushista > CEFET Pernambuco:
enquanto a 'grande' imprensa não vê, protestos contra o > desvio de
verbas > Apesar do vazio moral relativo à escolha do sexo dos bebês, a
procura por > este 'serviço' aumenta > > MEIOS DE
COMUNICAÇÃO > > Cervejaria patrocina programa da CUT > A
CUT gasta R$ 300.000 por mês com programa de TV > ACM Neto teria
comprado a Pataxós FM > Jornalistas da Radio France entram em
greve > O spamming inibe compras online, diz estudo > Jornalista
americano que cobriu a invasão do Iraque se suicida > Metade dos
cibernautas troca jornais pelas notícias via Internet > Situação dos
meios de comunicação preocupa o Conselho da Europa > Por que certos
meios de comunicação dedicam cada vez mais tempo aos >
cosméticos > O Sindicato dos Trabalhadores em Rádio, TV e
Publicidade da Bahia quer > coibir abusos das emissoras no sul do
estado > > VÍDEO > > Iça! Rage Against the Machine
ao vivo, em DVD > 10ª Mostra de Vídeo Independente, em Porto
Alegre > > INFORMÁTICA E(M) ARTES > > De onde vem o
Mydoom? > Um segredo do Google é revelado por descuido > Uma
campanha de criatividade online contra Aznar > A Porto Digital vai
pensar a política de desenvolvimento de software do país > Programa
Comunitário de Alfabetização Digital: o novo na UCS > Primera pena de
cárcel en Francia por vender música descargada de Internet > O
escândalo compensa: antivírus geraram receita mundial de US$ 2,3 bi
em > 2003 > > ARTE, CIMENTO DO REAL > >
Demitido pela UCP, Alfredo García é convidado por João Paulo II
para pensar > cultura > Sharon ainda ataca o Museu Anne
Frank > O PV promove concurso de fantasia reciclada > Ribeirão
Pires abre escola adaptada para deficientes > 160.000 fiéis na Romaria
das Candeias, em Juazeiro do Norte > > Religiões e doutrinas
afro-brasileiras ainda sofrem preconceitos > > A 'guerra contra
a pirataria' mostra que é o velho rapa de sempre > >
ARQUITETURA > > Turquia: Recep Erdogan reconhece que é a baixa
qualidade das construções que > causa mortes > >
FOTO > > Uma fotogaleria pelos 80 anos sem Lenin > >
CÊNICAS > > O teatro espanhol fará greve de 2
dias > >
______________________________________________________________ > O
texto acima e' de inteira e exclusiva responsabilidade de seu > autor,
conforme identificado no campo "remetente", e nao > representa
necessariamente o ponto de vista do Forum do Voto-E > > O Forum
do Voto-E visa debater a confibilidade dos sistemas > eleitorais
informatizados, em especial o brasileiro, e dos > sistemas de
assinatura digital e infraestrutura de chaves publicas. >
__________________________________________________ > Pagina, Jornal e
Forum do Voto
Eletronico > http://www.votoseguro.org >
__________________________________________________ > > Esta
mensagem foi verificada pelo E-mail Protegido Terra. > Scan engine:
VirusScan / Atualizado em 29/01/2004 / Versão: 1.4.1 > Proteja o seu
e-mail Terra: http://www.emailprotegido.terra.com.br/ >
______________________________________________________________ O
texto acima e' de inteira e exclusiva responsabilidade de seu autor,
conforme identificado no campo "remetente", e nao representa
necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E
visa debater a confibilidade dos sistemas eleitorais informatizados, em
especial o brasileiro, e dos sistemas de assinatura digital e
infraestrutura de chaves
publicas. __________________________________________________ Pagina,
Jornal e Forum do Voto
Eletronico http://www.votoseguro.org __________________________________________________