Repórter News - www.reporternews.com.br
Vírus Kamasutra ataca nesta sexta: saiba como se proteger
Esta sexta-feira, 3 de fevereiro, é uma das datas programadas para que o novo vírus Kamasutra ataque. Nessa ocasião, os computadores infectados poderão ter vários tipos de arquivos apagados. Há informações de que já foram infectadas de 600 mil a 700 mil máquinas em todo o mundo. Por isso, preparamos um guia para que você possa identificar, proteger-se e, se for o caso, remover a praga de seu sistema.
? Apesar da designação popular de "vírus", o Kamasutra, também chamado de W32.Blackmal.E@mm, Win32/Mywife.E@mm, Nyxem.E e outros, é, na verdade, um worm, isto é, um programa maléfico com capacidade de fazer cópias de si mesmo e se disseminar através de redes como a Internet. A praga pode chegar em uma mensagem de e-mail ou se distribuir por compartilhamento de pastas em uma rede de computadores.
? As mensagens infectadas apresentam, na linha do assunto, apelos eróticos, como supostas fotos do famoso livro indiano Kama Sutra e outros. Abaixo, você vê a lista de assuntos usados pelo worm, segundo a empresa Sophos:
? Fuckin Kama Sutra pics
? *Hot Movie*
? Arab sex DSC-00465.jpg
? Fw: SeX.mpg
? Fwd: Crazy illegal Sex!
? give me a kiss
? Miss Lebanon 2006
? Part 1 of 6 Video clipe
? School girl fantasies gone bad
? The Best Videoclip Ever
? As mensagens trazem anexos que contêm o worm. Os arquivos podem se apresentar com seus nomes visíveis ou codificados em MIME (Multipurpose Internet Mail Extensions), um padrão usado para especificar os dados contidos em arquivos enviados por e-mail. No primeiro caso, os anexos podem ter nomes como "DSC-00465.Pif", "photo.pif", "image04.pif" e outros. No segundo, os nomes podem ser "Video_part.mim", "Attachments00.HQX", "Attachments001.BHX", "SeX.mim" e outros. Segundo a Symantec, quando os anexos se apresentam codificados em MIME, as cópias do worm podem trazer múltiplos espaços entre a primeira parte do nome do arquivo e sua extensão, dificultando sua identificação. O tamanho do executável principal é de aproximadamente 95 KB em formato comprimido e 176 KB descomprimido. O corpo das mensagens infectadas também traz referências a figuras e vídeos eróticos.
? O que o worm faz após infectar o computador?
? O Kamasutra foi programado para executar várias ações danosas nos sistemas infectados. De acordo com as empresas antivírus, as principais ações são as seguintes:
? No dia 3 de cada mês, o worm poderá apagar todos os arquivos com as extensões .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp. Os arquivos são substituídos pela seguinte mensagem de erro: DATA Error 47 0F 94 93 F4 K5
? Desativar o funcionamento de diversos programas de segurança e de troca de arquivos, apagando valores relativos a esses programas no Registro do Windows e arquivos contidos na pasta ¿Arquivos de Programas¿. Entre os softwares que podem ser desativados estão os principais antivírus do mercado.
? Inserir o valor "ScanRegistry" = "scanregw.exe /scan" na seguinte chave do Registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun. Isso faz com que o Kamasutra seja executado toda vez que o Windows é iniciado. O worm monitora essa entrada no Registro e a recria, caso o usuário a apague.
? Inserir o arquivo "MSWINSCK.OCX" na pasta de sistema do Windows. Este arquivo serve como controle usado pela Microsoft para conectividade entre redes. Também adiciona valores ao Registro do Windows, fazendo com que o arquivo se torne funcional e o worm possa se distribuir por redes.
? Coletar endereços de e-mail encontrados em arquivos presentes no sistema e que possuam as seguintes extensões: .htm, .dbx, .eml, .msg, .oft, .nws, .vcf, .mbx, .imh, .txt, .msf
? Em seguida, o worm envia cópias de si mesmo para esses endereços, usando seu próprio mecanismo SMTP (Simple Mail Transfer Protocol).
? Desabilitar as funções do mouse e do teclado na primeira vez que é executado.
? Abrir uma página Web em um determinado site, fazendo com que o contador de acessos a essa página seja ativado. Com isso, é possível obter uma estatística de quantas máquinas foram infectadas. Apesar de haver informações de que a contagem de acessos não é acurada, o site LURHQ usou diferentes medotologias estatísticas e estima que há cerca de 600 mil computadores contaminados no mundo. Outras fontes, como o Centro de Atendimento a Incidentes de Segurança (CAIS), citam 700 mil máquinas comprometidas.
? O que fazer para se proteger do worm? Siga os conselhos abaixo:
?
? Não abrir anexos de mensagens similares às descritas neste guia. A rigor, qualquer mensagem de e-mail não solicitada e com conteúdo suspeito deve ser tratada com cuidado. Anexos desconhecidos jamais devem ser abertos.
? Desabilitar o compartilhamento de arquivos e impressoras em redes, quando isso não for estritamente necessário. Isso pode ser feito no item ¿Conexões dial-up e de rede¿, dentro do Painel de Controle. Quando o compartilhamento for necessário, deve-se usar senhas fortes para protegê-lo.
? Usar um antivírus atualizado e deixá-lo ativo no sistema. Os principais antivírus do mercado já detectam o Kamasutra, mas deve-se ter em mente a capacidade do worm de desativar esses produtos. Por isso, se a máquina foi infectada antes de o antivírus ser atualizado, a ação do programa pode ser inócua.
? Usar um firewall pessoal. Esse tipo de software monitora os dados que entram e saem de um sistema e impede a passagem de dados não autorizados previamente. Firewalls são ferramentas muito úteis contra ataques de códigos maléficos que se disseminam por redes, especialemnte pela Internet. Um firewall clássico, que possui versão gratuita, é o ZoneAlarm, que pode ser baixado no site www.zonelabs.com. O que fazer se seu computador foi infectado?
? Os códigos maléficos estão cada vez mais complexos e sofisticados, por isso não é aconselhável que os usuários domésticos tentem eliminá-los manualmente. O mais aconselhável é usar um software projetado para essa tarefa, como um bom antivírus atualizado. No caso do Kamasutra, várias empresas já lançaram ferramentas específicas para removê-lo do sistema. Veja, abaixo, algumas dessas ferramentas, com os respectivos links para download:
? Symantec W32.Blackmal@mm Removal Tool: (página com instruções em inglês) Utilitário F-Force da F-Secure. Para funcionar adequadamente, esta ferramenta precisa estar atualizada com o arquivo LATEST.ZIP, que pode ser baixado em http://download.f-secure.com/latest/latest.zip. O arquivo LATEST.ZIP deve ser salvo na mesma pasta em que estiver o programa F-Force.
? Ferramenta NYXEMGUI da Sophos
? Panda QuickRemover. O Kamasutra foi batizado pela Panda Software como Tearec.A, por isso os usuários devem clicar no link com esse nome para baixar a ferramenta de remoção do worm.
? Caso algum programa tenha sido corrompido pelo worm, será necessário reinstalá-lo depois de desinfectar a máquina
?
? Apesar da designação popular de "vírus", o Kamasutra, também chamado de W32.Blackmal.E@mm, Win32/Mywife.E@mm, Nyxem.E e outros, é, na verdade, um worm, isto é, um programa maléfico com capacidade de fazer cópias de si mesmo e se disseminar através de redes como a Internet. A praga pode chegar em uma mensagem de e-mail ou se distribuir por compartilhamento de pastas em uma rede de computadores.
? As mensagens infectadas apresentam, na linha do assunto, apelos eróticos, como supostas fotos do famoso livro indiano Kama Sutra e outros. Abaixo, você vê a lista de assuntos usados pelo worm, segundo a empresa Sophos:
? Fuckin Kama Sutra pics
? *Hot Movie*
? Arab sex DSC-00465.jpg
? Fw: SeX.mpg
? Fwd: Crazy illegal Sex!
? give me a kiss
? Miss Lebanon 2006
? Part 1 of 6 Video clipe
? School girl fantasies gone bad
? The Best Videoclip Ever
? As mensagens trazem anexos que contêm o worm. Os arquivos podem se apresentar com seus nomes visíveis ou codificados em MIME (Multipurpose Internet Mail Extensions), um padrão usado para especificar os dados contidos em arquivos enviados por e-mail. No primeiro caso, os anexos podem ter nomes como "DSC-00465.Pif", "photo.pif", "image04.pif" e outros. No segundo, os nomes podem ser "Video_part.mim", "Attachments00.HQX", "Attachments001.BHX", "SeX.mim" e outros. Segundo a Symantec, quando os anexos se apresentam codificados em MIME, as cópias do worm podem trazer múltiplos espaços entre a primeira parte do nome do arquivo e sua extensão, dificultando sua identificação. O tamanho do executável principal é de aproximadamente 95 KB em formato comprimido e 176 KB descomprimido. O corpo das mensagens infectadas também traz referências a figuras e vídeos eróticos.
? O que o worm faz após infectar o computador?
? O Kamasutra foi programado para executar várias ações danosas nos sistemas infectados. De acordo com as empresas antivírus, as principais ações são as seguintes:
? No dia 3 de cada mês, o worm poderá apagar todos os arquivos com as extensões .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp. Os arquivos são substituídos pela seguinte mensagem de erro: DATA Error 47 0F 94 93 F4 K5
? Desativar o funcionamento de diversos programas de segurança e de troca de arquivos, apagando valores relativos a esses programas no Registro do Windows e arquivos contidos na pasta ¿Arquivos de Programas¿. Entre os softwares que podem ser desativados estão os principais antivírus do mercado.
? Inserir o valor "ScanRegistry" = "scanregw.exe /scan" na seguinte chave do Registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun. Isso faz com que o Kamasutra seja executado toda vez que o Windows é iniciado. O worm monitora essa entrada no Registro e a recria, caso o usuário a apague.
? Inserir o arquivo "MSWINSCK.OCX" na pasta de sistema do Windows. Este arquivo serve como controle usado pela Microsoft para conectividade entre redes. Também adiciona valores ao Registro do Windows, fazendo com que o arquivo se torne funcional e o worm possa se distribuir por redes.
? Coletar endereços de e-mail encontrados em arquivos presentes no sistema e que possuam as seguintes extensões: .htm, .dbx, .eml, .msg, .oft, .nws, .vcf, .mbx, .imh, .txt, .msf
? Em seguida, o worm envia cópias de si mesmo para esses endereços, usando seu próprio mecanismo SMTP (Simple Mail Transfer Protocol).
? Desabilitar as funções do mouse e do teclado na primeira vez que é executado.
? Abrir uma página Web em um determinado site, fazendo com que o contador de acessos a essa página seja ativado. Com isso, é possível obter uma estatística de quantas máquinas foram infectadas. Apesar de haver informações de que a contagem de acessos não é acurada, o site LURHQ usou diferentes medotologias estatísticas e estima que há cerca de 600 mil computadores contaminados no mundo. Outras fontes, como o Centro de Atendimento a Incidentes de Segurança (CAIS), citam 700 mil máquinas comprometidas.
? O que fazer para se proteger do worm? Siga os conselhos abaixo:
?
? Não abrir anexos de mensagens similares às descritas neste guia. A rigor, qualquer mensagem de e-mail não solicitada e com conteúdo suspeito deve ser tratada com cuidado. Anexos desconhecidos jamais devem ser abertos.
? Desabilitar o compartilhamento de arquivos e impressoras em redes, quando isso não for estritamente necessário. Isso pode ser feito no item ¿Conexões dial-up e de rede¿, dentro do Painel de Controle. Quando o compartilhamento for necessário, deve-se usar senhas fortes para protegê-lo.
? Usar um antivírus atualizado e deixá-lo ativo no sistema. Os principais antivírus do mercado já detectam o Kamasutra, mas deve-se ter em mente a capacidade do worm de desativar esses produtos. Por isso, se a máquina foi infectada antes de o antivírus ser atualizado, a ação do programa pode ser inócua.
? Usar um firewall pessoal. Esse tipo de software monitora os dados que entram e saem de um sistema e impede a passagem de dados não autorizados previamente. Firewalls são ferramentas muito úteis contra ataques de códigos maléficos que se disseminam por redes, especialemnte pela Internet. Um firewall clássico, que possui versão gratuita, é o ZoneAlarm, que pode ser baixado no site www.zonelabs.com. O que fazer se seu computador foi infectado?
? Os códigos maléficos estão cada vez mais complexos e sofisticados, por isso não é aconselhável que os usuários domésticos tentem eliminá-los manualmente. O mais aconselhável é usar um software projetado para essa tarefa, como um bom antivírus atualizado. No caso do Kamasutra, várias empresas já lançaram ferramentas específicas para removê-lo do sistema. Veja, abaixo, algumas dessas ferramentas, com os respectivos links para download:
? Symantec W32.Blackmal@mm Removal Tool: (página com instruções em inglês) Utilitário F-Force da F-Secure. Para funcionar adequadamente, esta ferramenta precisa estar atualizada com o arquivo LATEST.ZIP, que pode ser baixado em http://download.f-secure.com/latest/latest.zip. O arquivo LATEST.ZIP deve ser salvo na mesma pasta em que estiver o programa F-Force.
? Ferramenta NYXEMGUI da Sophos
? Panda QuickRemover. O Kamasutra foi batizado pela Panda Software como Tearec.A, por isso os usuários devem clicar no link com esse nome para baixar a ferramenta de remoção do worm.
? Caso algum programa tenha sido corrompido pelo worm, será necessário reinstalá-lo depois de desinfectar a máquina
?
Fonte:
InfoGuerra
URL Fonte: https://www.reporternews.com.br/noticia/321101/visualizar/
Comentários