MKPlus
Power Member
Especialistas britânicos desmontam código de vírus extorsio
Tomem nota da password “mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw”.
Esta sucessão de 30 caracteres pode revelar-se bastante valiosa caso o computador seja contagiado pelo The Archiveus, um vírus utilizado para práticas extorsionistas no Reino Unido, que acaba de ser “desmontado” por algumas companhias de antivírus.
O The Archiveus aloja-se na pasta “Os Meus Documentos” do Windows e esconde todos os ficheiros que o utilizador tem arquivados no PC.
O vírus é utilizado como ferramenta de extorsão dos seus criadores, que exigem um pagamento para fornecer a password que devolve os ficheiros escondidos ao legítimo proprietário.
Segundo os peritos que descodificaram o vírus, a programação de The Archiveus é pobre – o que poderá não suceder com muitos outros vírus extorsionistas que pairam actualmente sobre a Internet.
Vírus faz-se passar pelo Windows Genuine Advantage
Programadores de vírus informáticos criaram um vírus que se faz passar pelo programa de anti-pirataria da Microsoft, Windows Genuine Advantage (WGA).
O vírus Cuebot-K propaga-se via AOL Messenger disfarçando-se de WGA: O momento do lançamento coincide com a controversa característica do WGA,programa de anti-pirataria que recolhe dados de hardware e software dos equipamentos com Microsoft Windows cada vez que inicia o sistema.
Cuebot-K tenta registar-se a si mesmo como um novo serviço controlador de sistema com o nome de “wgavn”, com o nome de Windows Genuine Advantage Validation Notification.
A partir deste ponto o vírus executa-se a cada reiniciar do sistema. Os utilizadores que tentarem remover o vírus são notificados que se o apagarem do sistema podem provocar graves instabilidades nos sistemas.
Uma vez instalado em máquinas afectadas, o vírus desactiva a firewall e abre uma backdoor na máquina comprometida, entregando o controlo total aos intrusos.
Encontrado Complexo Vírus Que Se Propaga Por Redes P2P
Foi encontrado pela Sophos um vírus polimorfico que infecta ficheiros com extensões .exe e .scr em todas as pastas, quando os mesmos são abertos ou executados, adicionando o seu código em partes de código não utilizado no ficheiro original. Esta classe de vírus é conhecida como “cavity infector”.
O código principal do vírus é copiado numa secção nova antes da última do ficheiro infectado.
Os vírus polimorficos modificam o seu código de forma aleatória com a finalidade de confundir os antivírus ao obter um aspecto diferente em cada ficheiro infectado.
Quando se executa, o vírus injecta o seu código em todos os processos activos, excepto em aqueles cujo nome tenham os seguintes links:
csrss/ctfmon/drwatson/drwtsn32/dumprep/dwwin/kernel32.dll/savedump/smss/spoolsv/temp
O vírus fica residente na memória por cada aplicação activa, e cada cópia do mesmo é responsável por diferentes acções (infecção de ficheiros, propagação, etc).
Para infectar os ficheiros, o vírus intercepta todos os pedidos ao sistema relacionados com o encerramento de ficheiros, criação e encerramento de processos,criação de ficheiros, procura de bibliotecas, ficheiros, etc.
A infecção pode corromper os ficheiros originais, comprometendo a estabilidade do sistema.
Depois de instalado num sistema o vírus tentará infectar todos os ficheiros que tenham os seguintes links:
a2/adaptec/adinf/agnitum/ahead/aladdin/alarm/alwil/alwil/anti/armor/aspack/assemble/astonsoft/avast/avg/avp/avwin/avx/aware/backdoor
barracuda/blackice/blindwrite/burn/cillin/clean/clonecd/common/copystar/dbg/debug/defender/dfrgntfs/disasm/doctor/drweb/dss/eeye/elaborate/eliashim/esafe/eset
etrust/f-/firewall/forti/fpr/f-prot/frisk/fsav/gear software/gladiator/grisoft/guard/hack/heal/hijack/hunter/ibm/ida/imapi/infosystems/inoc/inoculate/intermute/iss
kasp/kaspersky/kerio/lavasoft/mc/mcafee/mirc/mon/nav/neolite/nero/newtech/nod/nod32/norman/norton/numega/nvc/olly/ort expl/ositis/outpost/pack/panda/pav
pebundle/pecompact/personal/pklite/pkware/principal/process/protect/proxy/qualys/rav/rescue/retina/root/route/roxio/safe'n'sec/sateira/scan/scn/secure/security
setup/shield/slysoft/softice/softwin/sonique/sophos/spf/spider/spy/spyware/sqstart/starforce/steganos/swift sound/sygate/symantec/tb/tds3/temp/tenable/tiny
/tmp/trend micro/trojan/upx/viri/virus/vsaf/vswp/watch/webroot/zone labs
Apesar de estar originalmente preparado para se propagar via rede P2P entre utilizadores Gnutella (utilizado por BearShare, Gnucleus 2.0.0.6, etc), foram divulgadas infecções também em utilizadores de outras redes (emule, eDonkey2000, etc).
Esta situação ocorre quando um sistema infectado tenha algum destes programas instalados.
Como parte desse processo, infecta ficheiros .exe e .scr nas pastas partilhadas por estas aplicações
Para finalizar o processo de propagação e infecção tenta também apagar os seguintes ficheiros, pertencentes a conhecidos antivírus,
deixando o sistema desprotegido contra qualquer outra classe de ataques, e dificultando a sua detecção:
aguard.dat/antivir.dat/avg.avi/avgqt.dat/avp.crc/chklist.cps/chklist.ms/drwebase.vdb/ivb.ntz/ivp.ntz/lguard.vps/smartchk.cps/smartchk.ms/vs.vsn
Tomem nota da password “mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw”.
Esta sucessão de 30 caracteres pode revelar-se bastante valiosa caso o computador seja contagiado pelo The Archiveus, um vírus utilizado para práticas extorsionistas no Reino Unido, que acaba de ser “desmontado” por algumas companhias de antivírus.
O The Archiveus aloja-se na pasta “Os Meus Documentos” do Windows e esconde todos os ficheiros que o utilizador tem arquivados no PC.
O vírus é utilizado como ferramenta de extorsão dos seus criadores, que exigem um pagamento para fornecer a password que devolve os ficheiros escondidos ao legítimo proprietário.
Segundo os peritos que descodificaram o vírus, a programação de The Archiveus é pobre – o que poderá não suceder com muitos outros vírus extorsionistas que pairam actualmente sobre a Internet.
Vírus faz-se passar pelo Windows Genuine Advantage
Programadores de vírus informáticos criaram um vírus que se faz passar pelo programa de anti-pirataria da Microsoft, Windows Genuine Advantage (WGA).
O vírus Cuebot-K propaga-se via AOL Messenger disfarçando-se de WGA: O momento do lançamento coincide com a controversa característica do WGA,programa de anti-pirataria que recolhe dados de hardware e software dos equipamentos com Microsoft Windows cada vez que inicia o sistema.
Cuebot-K tenta registar-se a si mesmo como um novo serviço controlador de sistema com o nome de “wgavn”, com o nome de Windows Genuine Advantage Validation Notification.
A partir deste ponto o vírus executa-se a cada reiniciar do sistema. Os utilizadores que tentarem remover o vírus são notificados que se o apagarem do sistema podem provocar graves instabilidades nos sistemas.
Uma vez instalado em máquinas afectadas, o vírus desactiva a firewall e abre uma backdoor na máquina comprometida, entregando o controlo total aos intrusos.
Encontrado Complexo Vírus Que Se Propaga Por Redes P2P
Foi encontrado pela Sophos um vírus polimorfico que infecta ficheiros com extensões .exe e .scr em todas as pastas, quando os mesmos são abertos ou executados, adicionando o seu código em partes de código não utilizado no ficheiro original. Esta classe de vírus é conhecida como “cavity infector”.
O código principal do vírus é copiado numa secção nova antes da última do ficheiro infectado.
Os vírus polimorficos modificam o seu código de forma aleatória com a finalidade de confundir os antivírus ao obter um aspecto diferente em cada ficheiro infectado.
Quando se executa, o vírus injecta o seu código em todos os processos activos, excepto em aqueles cujo nome tenham os seguintes links:
csrss/ctfmon/drwatson/drwtsn32/dumprep/dwwin/kernel32.dll/savedump/smss/spoolsv/temp
O vírus fica residente na memória por cada aplicação activa, e cada cópia do mesmo é responsável por diferentes acções (infecção de ficheiros, propagação, etc).
Para infectar os ficheiros, o vírus intercepta todos os pedidos ao sistema relacionados com o encerramento de ficheiros, criação e encerramento de processos,criação de ficheiros, procura de bibliotecas, ficheiros, etc.
A infecção pode corromper os ficheiros originais, comprometendo a estabilidade do sistema.
Depois de instalado num sistema o vírus tentará infectar todos os ficheiros que tenham os seguintes links:
a2/adaptec/adinf/agnitum/ahead/aladdin/alarm/alwil/alwil/anti/armor/aspack/assemble/astonsoft/avast/avg/avp/avwin/avx/aware/backdoor
barracuda/blackice/blindwrite/burn/cillin/clean/clonecd/common/copystar/dbg/debug/defender/dfrgntfs/disasm/doctor/drweb/dss/eeye/elaborate/eliashim/esafe/eset
etrust/f-/firewall/forti/fpr/f-prot/frisk/fsav/gear software/gladiator/grisoft/guard/hack/heal/hijack/hunter/ibm/ida/imapi/infosystems/inoc/inoculate/intermute/iss
kasp/kaspersky/kerio/lavasoft/mc/mcafee/mirc/mon/nav/neolite/nero/newtech/nod/nod32/norman/norton/numega/nvc/olly/ort expl/ositis/outpost/pack/panda/pav
pebundle/pecompact/personal/pklite/pkware/principal/process/protect/proxy/qualys/rav/rescue/retina/root/route/roxio/safe'n'sec/sateira/scan/scn/secure/security
setup/shield/slysoft/softice/softwin/sonique/sophos/spf/spider/spy/spyware/sqstart/starforce/steganos/swift sound/sygate/symantec/tb/tds3/temp/tenable/tiny
/tmp/trend micro/trojan/upx/viri/virus/vsaf/vswp/watch/webroot/zone labs
Apesar de estar originalmente preparado para se propagar via rede P2P entre utilizadores Gnutella (utilizado por BearShare, Gnucleus 2.0.0.6, etc), foram divulgadas infecções também em utilizadores de outras redes (emule, eDonkey2000, etc).
Esta situação ocorre quando um sistema infectado tenha algum destes programas instalados.
Como parte desse processo, infecta ficheiros .exe e .scr nas pastas partilhadas por estas aplicações
Para finalizar o processo de propagação e infecção tenta também apagar os seguintes ficheiros, pertencentes a conhecidos antivírus,
deixando o sistema desprotegido contra qualquer outra classe de ataques, e dificultando a sua detecção:
aguard.dat/antivir.dat/avg.avi/avgqt.dat/avp.crc/chklist.cps/chklist.ms/drwebase.vdb/ivb.ntz/ivp.ntz/lguard.vps/smartchk.cps/smartchk.ms/vs.vsn
Última edição: