[SECURITY-L] Novo vírus rouba senhas e é mais rápido que o SirCam

[Daniela Regina Barbetti]

From: "Paulo Serrano" <pserrano em ccuec.unicamp.br>
Subject: Novo vírus rouba senhas e é mais rápido que o SirCam 
To: <daniela em ccuec.unicamp.br>
Date: Mon, 26 Nov 2001 12:55:00 -0200
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)



Segunda-feira, 26 de Novembro de 2001 - 11h10

Fonte: IDG Now!

Circula pela Internet um novo vírus com grande capacidade para causar
transtornos. Trata-se do Badtrans.B, praga virtual que é enviada
automaticamente por e-mail e traz um cavalo de Tróia, conhecido como PWS
(destinado a roubar senhas do usuário).
A Symantec, empresa que comercializa o Norton Antivirus, já classificou a
ameaça como nível 3, em sua escala que vai até 5, por conta de seu grande
potencial de disseminação e por já ter identificado vários casos. Só a
MessageLabs, empresa que realiza serviço de checagem de e-mails para
corporações, já identificou mais de 12 mil arquivos contaminados em apenas
três dias, o que valeu a classificação de alto risco, com 100 novas mostras
identificadas por minuto, superando o SirCam. Porém, a Trend Micro, por não
ter recebido muitos comunicados até o momento, classifica a ameaça como
“baixo risco”,

O vírus chega por correio eletrônico com o campo de assunto em branco ou com
"RE:" e um arquivo anexado que pode ter vários nomes, como Me_Nude.zip.scr e
S3msong.mp3.pif. O objetivo de ter .zip.scr ou mp3.pif, por exemplo, é
enganar o destinatário, que acredita estar recebendo um arquivo de música ou
foto. Para criar o nome do arquivo, o vírus combina textos, relacionando
partes entre as palavras abaixo:

HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS


Já a primeira extensão pode ser .doc, .mp3 ou .zip, enquanto que a segunda é
sempre .pif ou .scr. Com isso, surgem arquivos como card.doc.pif,
news_doc.mp3.scr, etc. Para agravar a situação, começam a surgir versões com
outros textos, como "Sorry about yesterday" e algumas funções diferentes.

Segundo a Message Labs, não é preciso sequer clicar no arquivo anexado para
que o vírus entre em ação. Basta ler a mensagem ou visualizar no preview do
Outlook para que ele entre ação. Ao ser executado, ele passa a enviar
e-mails contaminados e instala o cavalo de Tróia PSW, que rouba senhas do
usuário e números de cartão de crédito, entre outras informações, pois
monitora a digitação. Os dados confidencias são enviados para um hacker para
endereços como ld8dl1 em mailandnews.com e uckyjw em hotmail.com.

“O BadTrans.B está se propagando mais rápido que qualquer outro vírus que já
vimos, superando inclusive o SirCam como o mais disseminado no momento”,
afirma Mark Sunner, diretor de tecnologia da MessageLabs.

Versões atualizadas de antivírus já identificam e brecam a ameaça. A
Symantec também recomenda que as empresas criem filtros para bloquear todos
os e-mails com extensões .scr e pif.


Paulo Serrano
GTTEC/CCUEC-Unicamp