Vírus ataca sites de rebeldes da Chechênia

Uma variante do worm W32/Maslan foi usada para lançar um ataque contra sites dos rebeldes separatistas da Chechênia. O vírus Maslan.C se propaga por e-mail e por redes que utilizem senhas consideradas fracas. Também explora vulnerabilidades em sistemas Windows não atualizados, já exploradas por worms como Sasser e Blaster. Conforme a Sophos, a praga chega por e-mail com o assunto "123¿ e a mensagem contém textos como "Hello¿ e "Best regards¿, seguidos do nome do remetente. Contém ainda um anexo com o nome "Playgirls2.exe¿. Quando este arquivo é executado, o sistema é infectado e usado para disseminar o worm entre outros usuários que participarão do ataque DoS.

Para se propagar por e-mail, o worm captura endereços eletrônicos armazenados no sistema da vítima. Também se aproveita de sistemas que apresentem vulnerabilidades no protocolo RPC/DCOM) e no serviço LSASS (Local Security Authority Subsystem Service), já corrigidas pela Microsoft.

A praga faz uma cópia de si mesma para a pasta System do Windows e cria outros arquivos com seus componentes. Também instala o worm W32/Sdbot-RW, que permite o acesso remoto ao sistema infectado.

Em seguida, cria uma entrada no registro do Windows para que entre em atividade toda vez que o sistema for iniciado. O worm também copia todos os executáveis existentes na máquina da vítima para um novo local, nomeado como "___b", e coloca cópias de si mesmo onde estavam os arquivos originais.

O Maslan.C age no primeiro dia de cada mês e ataca Web sites ligados ao movimento rebelde da Chechênia, como "kavkazcenter.com¿, "kavkaz.tv¿, "chechenpress.com¿ e "chechenpress.info¿.