|
Aumenta
risco de infecção pelo vírus Dumaru
A McAfee lançou um comunicado, hoje, informando que a
empresa aumentou para médio o risco de contaminação pelo
vírus W32/Dumaru.a@MM, devido à prevalência de relatos de
ataques por este malware (código maléfico). Descoberto em
19 de agosto, o Dumaru se aproveita do frisson criado em
torno do Blaster para induzir usuários a instalarem um
suposto patch (correção) para a vulnerabilidade do Windows
(RPC DCOM) explorada por aquele worm.
O Dumaru é um vírus de propagação em massa que utiliza
seu próprio mecanismo SMTP para se enviar por e-mail. A
mensagem é forjada para parecer proveniente da Microsoft e
possui o seguinte formato:
Remetente: "Microsoft" <security@microsoft.com>
Assunto: Use this patch immediately ! (Use este
patch imediatamente!)
Anexo: patch.exe
Corpo da mensagem: "Dear friend , use this
Internet Explorer patch now!There are dangerous virus in the
Internet now!More than 500.000 already infected!" (Caro
amigo, use agora este patch para o Internet Explorer! Há vírus
perigosos na Internet agora! Mais de 500.000 já infectados!)
Quando executado, o Dumaru procura por endereços de e-mail
cadastrados em arquivos .HTM, .WAB, .HTML, .DBX e .TBB na máquina
da vítima. Quando os encontra, transfere estes endereços
para um arquivo de nome "winload.log". O vírus
copia os arquivos load32.exe e vxdmgr32.exe para a pasta
System, e dllreg.exe para o diretório do Windows. Também
cria chaves de registro com os nomes destes arquivos e
modifica o Win.ini, para que seus códigos sejam carregados
na inicialização do sistema.
Além disso, o Dumaru possui um componente cavalo-de-Tróia,
projetado para roubar senhas. Esse programa-espião é
inserido no diretório de instalação do Windows, com o
nome de "windrv.exe" e é identificado pelos
produtos McAfee como PWS-Narod.
Uma vacina para o Dumaru e outras informações sobre o vírus
podem ser encontradas aqui.
InfoGuerra
|
|
