Repórter News - reporternews.com.br
Vírus usa cartão de Natal para se propagar
Uma nova variante do worm Zafi está se espalhando pela Internet. O vírus usa como isca as festividades de final de ano. O Zafi.D chega como um arquivo anexo em e-mails contendo mensagens natalinas em variados idiomas.
Além de desativar várias ferramentas do sistema operacional, contém uma backdoor (porta oculta) que permite a instalação e execução remota de arquivos na máquina da vítima. O e-mail contaminado traz no campo de assunto a frase "Feliz Natal!", em idiomas como português, inglês, espanhol e russo, dentre outros. No texto da mensagem, as felicitações pelo Natal vêm acompanhadas de smileys, caracteres usados na Internet para representar um sorriso.
Para se enviar por e-mail, o worm utiliza um mecanismo SMTP próprio. Os endereços eletrônicos dos destinatários são coletados de arquivos com variadas extensões, incluindo wab, eml, htm, txt. dbx, asp, php, e outras. O idioma das mensagens depende do sufixo do país presente no endereço de e-mail. Assim, um endereço terminado em .pt, receberá uma mensagem em português, enquanto um terminado em .es receberá uma mensagem em espanhol. De acordo com a F-Secure, a lista inclui 19 países, principalmente da Europa.
O arquivo anexo, com nomes variados, possui extensões do tipo .pif, .cmd, .bat, .com ou .zip. O corpo da mensagem possui ainda uma pequena imagem gif em forma de dois sorrisos. Abaixo está a reprodução de uma dessas mensagens, em inglês:
Ao ser executado, o worm mostra uma falsa mensagem de erro em, que se lê: "Error in packed file!". Enquanto isso, faz cópias de si mesmo para a pasta System do Windows com nomes variados de arquivos .dll e também como "Norton Update.exe". Em seguida, cria uma chave no registro do Windows para ser executado sempre que o sistema for iniciado. Além disso, vasculha todos os diretórios existentes no computador da vítima e lança outras cópias com os nomes "winamp 5.7 new!.exe" ou "ICQ 2005a new!.exe" em pastas que contenham as palavras share", "upload" ou "music" em seus nomes.
O Zafi.D ainda desativa todos os aplicativos que contenham as palavras "firewall" e "virus". Várias ferramentas do Windows, como o Gerenciador de Tarefas (Task Manager) e o Editor de Registro (Registry Editor), também são desabilitados assim que o worm é ativado. Como se não bastasse, ainda instala uma backdoor que fica "escutando" na porta 8181 e tem capacidade de executar arquivos.
Além de desativar várias ferramentas do sistema operacional, contém uma backdoor (porta oculta) que permite a instalação e execução remota de arquivos na máquina da vítima. O e-mail contaminado traz no campo de assunto a frase "Feliz Natal!", em idiomas como português, inglês, espanhol e russo, dentre outros. No texto da mensagem, as felicitações pelo Natal vêm acompanhadas de smileys, caracteres usados na Internet para representar um sorriso.
Para se enviar por e-mail, o worm utiliza um mecanismo SMTP próprio. Os endereços eletrônicos dos destinatários são coletados de arquivos com variadas extensões, incluindo wab, eml, htm, txt. dbx, asp, php, e outras. O idioma das mensagens depende do sufixo do país presente no endereço de e-mail. Assim, um endereço terminado em .pt, receberá uma mensagem em português, enquanto um terminado em .es receberá uma mensagem em espanhol. De acordo com a F-Secure, a lista inclui 19 países, principalmente da Europa.
O arquivo anexo, com nomes variados, possui extensões do tipo .pif, .cmd, .bat, .com ou .zip. O corpo da mensagem possui ainda uma pequena imagem gif em forma de dois sorrisos. Abaixo está a reprodução de uma dessas mensagens, em inglês:
Ao ser executado, o worm mostra uma falsa mensagem de erro em, que se lê: "Error in packed file!". Enquanto isso, faz cópias de si mesmo para a pasta System do Windows com nomes variados de arquivos .dll e também como "Norton Update.exe". Em seguida, cria uma chave no registro do Windows para ser executado sempre que o sistema for iniciado. Além disso, vasculha todos os diretórios existentes no computador da vítima e lança outras cópias com os nomes "winamp 5.7 new!.exe" ou "ICQ 2005a new!.exe" em pastas que contenham as palavras share", "upload" ou "music" em seus nomes.
O Zafi.D ainda desativa todos os aplicativos que contenham as palavras "firewall" e "virus". Várias ferramentas do Windows, como o Gerenciador de Tarefas (Task Manager) e o Editor de Registro (Registry Editor), também são desabilitados assim que o worm é ativado. Como se não bastasse, ainda instala uma backdoor que fica "escutando" na porta 8181 e tem capacidade de executar arquivos.
Fonte:
Infoguerra
URL Fonte: https://reporternews.com.br/noticia/364457/visualizar/
Comentários