[SECURITY-L] Novos virus: Bin Laden e Kiray

[Daniela Regina Barbetti]

--------------------------------------------------------------------------------------
Vírus Bin Laden rouba senhas e ataca com leitura de e-mail

Fonte:  IDG Now!
Daniel dos Santos

Osama Bin Laden ganhou ?uma versão virtual?. Circula pela Internet
um novo vírus para computador conhecido como W32.Toal.A em mm ou
Binladen_brasil. Segundo a Symantec, que identificou a ameaça, o 
invasor chega por e-mail (com um texto no campo de assunto que pode
estar em vários idiomas) sobre os ataques ao Afeganistão. Já o
corpo da mensagem aparece em branco. Em anexo, traz o arquivo
binladen_brasil.exe.

De acordo com a Symantec, o invasor (classificado tecnicamente como
um worm, por ser enviado automaticamente por correio eletrônico), 
pode infectar o computador mesmo que a vítima não clique no
arquivo anexado, explorando uma vulnerabilidade do Outlook Express.
Assim, basta visualizar a mensagem ou mesmo que ela apareça na opção
preview para que o Binladen entre em ação.

Uma vez no micro, a ameaça instala o arquivo Invictus.dll, que é 
utilizado para infectar arquivos executáveis no sistema. Além
disso, faz o drive C: ser compartilhado. Com isso, o computador
fica vulnerável a ataques de hackers e facilita a proliferação de
vírus em uma rede, como no caso do SirCam. Para completar, ele também
pode roubar senhas de rede e tenta desabilitar o antivírus. Toda vez
que o usuário ligar o computador, o invasor será executado.
Ao mandar um e-mail, o PC infectado enviará também o arquivo com o vírus.

Descoberto hoje, ele foi classificado como nível 2 (até o momento)
numa escala que vai até 5, com danos e distribuição média. O Norton 
AntiVirus detecta o invictus.dll, o que pode bloquear a ação do
vírus, já que o invasor não funciona corretamente sem ele. Ou seja, 
o antivírus não consegue impedir a contaminação mas pode brecar a ação
danosa no micro. De qualquer forma, a empresa trabalha em uma vacina
específica, assim como nos processos adequados para removê-lo.
--------------------------------------------------------------------------------------

Vírus Kiray protesta contra a guerra e ''enlouquece'' o PC


Fonte : IDG Now!

?Please, make peace not war?. Com essa mensagem de paz, o vírus Kiray.exe
circula pela Internet destruindo arquivos.
Segundo a McAfee, a nova praga virtual traz a frase acima no campo de assunto
e o texto ?The Lamers and Idiots Game? (crítica aos que promovem a guerra) no
corpo da mensagem. Em anexo, o arquivo Kiray.exe.

Ao clicar no programa, o internauta dá início à rotina destruidora. O Kiray 
passa a enviar mensagens infectadas para todos o endereços cadastrados no 
Address Book com o uso do Outlook. Em alguns casos, a mensagem vai sem o 
arquivo anexado. Além disso, é criada a chave de registro
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(Default)="c:\windows\temp\kiray.exe", que é executada sempre que um arquivo
.exe é acionado. Com isso, o programa passa a não funcionar adequadamente,
exibindo mensagens de erro. Ele também cria políticas que impedem o acesso a
várias áreas do sistema, como desktop, meu computador e à rede. Finalmente,
ele apaga as pastas abaixo, que incluem o sistema operacional, o que impede
o funcionamento do micro:

c:\windows
c:\windows\system
c:\Program Files\Microsoft Office
c:\Program Files\Internet Explorer

Até o momento, por não ter sido identificado em larga escala, o vírus é
classificado como uma ameaça de baixo risco.
Para não contaminar a máquina, basta não executar o arquivo anexado.
--------------------------------------------------------------------------------------