Repórter News - reporternews.com.br
Brasil é o 3º país mais atingido pelo vírus Bagle
O Bagle.AC está se alastrando rapidamente pela Internet e já colocou o Brasil em terceiro lugar no ranking dos países mais atingidos. No topo da lista estão os Estados Unidos e Canadá. A informação é de um boletim da Trend Micro.
A nova variante chega por e-mail, anexado como um arquivo compactado .ZIP, que contém um executável e um arquivo do tipo HTML. Se for executado, o worm vasculha o HD da máquina infectada em busca de endereços eletrônicos de e-mail para os quais se auto-enviar, tenta conectar¿se a sites maliciosos na Internet e ainda finaliza a execução de programas de segurança instalados no computador, como antivírus e firewall.
O worm já recebeu vários nomes, como Beagle.AL, Bagle.AL, I-Worm.Bagle.al, TROJ_BAGLE.AC, W32/Bagle-AQ, W32/Bagle.AJ@mm, Win32/Bagle.AG.Worm, Win32/Bagle.AI, Win32/WDirect.DLL.Worm e Win32/WDirect.Trojan, dependendo da empresa antivírus pela qual foi detectado.
O e-mail usado para sua propagação contém um endereço de remetente forjado, o campo de assunto é vazio e o corpo da mensagem apresenta o texto "new price". Caso o arquivo anexado possua uma senha, o texto da mensagem é acrescido com "The password is" e "Password:", seguidos da senha.
Os arquivos anexos podem vir nomeados como 08_price.zip, new_price.zip, newprice.zip, price.zip, price_08.zip, price_new.zip e price2.zip. Em seu interior estão o arquivo "price.html" e uma pasta contendo o executável price.exe. Ao dar um duplo clique no HTML, o arquivo .exe é executado e o sistema será contaminado. Este arquivo HTML é detectado por alguns antivírus como Win32/IE.DWord (Exploit) ou JS/IllWill.
Ao entrar em atividade, o worm faz uma cópia de si mesmo para c:windowssystem32windirect.exe e também libera um arquivo DLL em c:windowssystem32_dll.exe. A DLL é injetada como umo processo do EXPLORER.EXE, um dos programas básicos do Windows, simulando suas ações e, assim, mantendo-se oculta na lista de processos ativos do sistema.
O worm ainda adiciona as seguintes entradas no registro do Windows:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun win_upd2.exe =
c:windowssystem32windirect.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRun win_upd2.exe =
c:windowssystem32windirect.exe
De acordo com a Sophos, a nova variante do Bagle ainda tenta acessar diversos sites hospedados na Internet, para fazer o download de um falso arquivo de imagem do tipo JPG que, na verdade, trata-se de um .EXE renomeado. Todos os endereços dos sites possuem "2.jpg" como referência à imagem. Assim que o acesso é feito, o worm copia o arquivo 2.JPG como ~.EXE para a pasta do Windows, onde é executado automaticamente (c:windows~.exe). Esse procedimento é refeito a cada 10 horas.
O Bagle também cria um mutex (objetos de exclusão mútua), para impedir a execução simultânea de si mesmo e, como em suas versões anteriores, bloqueia a atividade do Netsky na mesma máquina. Além disso, ainda abre a porta TCP/80 e uma porta UDP ao acaso, para notificar sua presença a um usuário remoto.
Outra forma de propagação do Bagle.AC é via pastas compartilhadas em rede que contenham a palavra "shar" no nome. O alerta das empresas de segurança é para que os usuários não abram arquivos anexados de procedência duvidosa e atualizem seus antivírus.
A nova variante chega por e-mail, anexado como um arquivo compactado .ZIP, que contém um executável e um arquivo do tipo HTML. Se for executado, o worm vasculha o HD da máquina infectada em busca de endereços eletrônicos de e-mail para os quais se auto-enviar, tenta conectar¿se a sites maliciosos na Internet e ainda finaliza a execução de programas de segurança instalados no computador, como antivírus e firewall.
O worm já recebeu vários nomes, como Beagle.AL, Bagle.AL, I-Worm.Bagle.al, TROJ_BAGLE.AC, W32/Bagle-AQ, W32/Bagle.AJ@mm, Win32/Bagle.AG.Worm, Win32/Bagle.AI, Win32/WDirect.DLL.Worm e Win32/WDirect.Trojan, dependendo da empresa antivírus pela qual foi detectado.
O e-mail usado para sua propagação contém um endereço de remetente forjado, o campo de assunto é vazio e o corpo da mensagem apresenta o texto "new price". Caso o arquivo anexado possua uma senha, o texto da mensagem é acrescido com "The password is" e "Password:", seguidos da senha.
Os arquivos anexos podem vir nomeados como 08_price.zip, new_price.zip, newprice.zip, price.zip, price_08.zip, price_new.zip e price2.zip. Em seu interior estão o arquivo "price.html" e uma pasta contendo o executável price.exe. Ao dar um duplo clique no HTML, o arquivo .exe é executado e o sistema será contaminado. Este arquivo HTML é detectado por alguns antivírus como Win32/IE.DWord (Exploit) ou JS/IllWill.
Ao entrar em atividade, o worm faz uma cópia de si mesmo para c:windowssystem32windirect.exe e também libera um arquivo DLL em c:windowssystem32_dll.exe. A DLL é injetada como umo processo do EXPLORER.EXE, um dos programas básicos do Windows, simulando suas ações e, assim, mantendo-se oculta na lista de processos ativos do sistema.
O worm ainda adiciona as seguintes entradas no registro do Windows:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun win_upd2.exe =
c:windowssystem32windirect.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRun win_upd2.exe =
c:windowssystem32windirect.exe
De acordo com a Sophos, a nova variante do Bagle ainda tenta acessar diversos sites hospedados na Internet, para fazer o download de um falso arquivo de imagem do tipo JPG que, na verdade, trata-se de um .EXE renomeado. Todos os endereços dos sites possuem "2.jpg" como referência à imagem. Assim que o acesso é feito, o worm copia o arquivo 2.JPG como ~.EXE para a pasta do Windows, onde é executado automaticamente (c:windows~.exe). Esse procedimento é refeito a cada 10 horas.
O Bagle também cria um mutex (objetos de exclusão mútua), para impedir a execução simultânea de si mesmo e, como em suas versões anteriores, bloqueia a atividade do Netsky na mesma máquina. Além disso, ainda abre a porta TCP/80 e uma porta UDP ao acaso, para notificar sua presença a um usuário remoto.
Outra forma de propagação do Bagle.AC é via pastas compartilhadas em rede que contenham a palavra "shar" no nome. O alerta das empresas de segurança é para que os usuários não abram arquivos anexados de procedência duvidosa e atualizem seus antivírus.
Fonte:
InfoGuerra
URL Fonte: https://reporternews.com.br/noticia/376699/visualizar/
Comentários