VIRUS – SAIBA TUDO SOBRE ELES

VÍRUS FOUND!!!
     No inicio da década de 80, começaram a surgir os primeiros casos de vírus eletrônicos para PC nos Estados Unidos. Desde então se espalharam por todos os cantos do mundo. É quase como se aonde existe um PC, sempre haverá um vírus para infectá-lo. No início, eram totalmente desconhecidos e até hoje as pessoas menos esclarecidas sobre o assunto fazem confusão e criam pânico quando se fala em vírus de computador.

O QUE É?
     Um vírus é um código (programa) gerado através de linguagens de programação, em geral, C ou Assembly, que são utilizadas por dar um controle total sobre a máquina. Teoricamente podem se criar vírus utilizando-se qualquer linguagem. Sua principal característica é a agregação e proliferação em diversos arquivos do equipamento, sem que o usuário tenha conhecimento desta ação. Em sua maioria contaminam arquivos (.EXE e .COM).

Quem cria os vírus

      Os estudos indicam que há dois tipos de criador de vírus. O primeiro são pessoas de uma classe sócio-econômica baixa que estão tentando aprender computação. A segunda categoria envolve gente com elevado nível de educação que simplesmente fica brincando de programar. Em geral, os vírus mais difíceis de combater vêm do Oriente e da Rússia. A cada ano, cerca de uma dezena de espécies virais nascem no Brasil. Algumas delas só atacam a versão em português do Word.

A ORIGEM DO NOME
     São chamados de vírus porque são comparados aos verdadeiros vírus biológicos que provocam nossas doenças. São muito parecidos em diversos aspectos:

BIOLÓGICOS
  Se agregam às células para poder se propagar, criando novos vírus.
  Possuem um código genético muito pequeno. São estruturas simples.
  São criaturas microscópicas, muito menores do que bactérias, por exemplo.
  Costumam se alojar e atacar pontos estratégicos. O vírus da AIDS, por exemplo, afeta apenas o sistema imunológico.

ELETRÔNICOS

  • Se agregam a arquivos que neste caso fazem o papel da célula contaminada e a partir daí propagam para outros arquivos.
  • O seu código (programação) é muito pequeno, porém, muito engenhoso.
  • Por possuir um código pequeno, conseqüentemente, ocupam pouco espaço em disco o que os faz passar despercebido entre os milhões e milhões de bytes de hard disk atual.
  • Alguns tipos costumam alojar-se em pontos estratégicos da máquina, como a memória e setores de boot do disco. Assim eles podem se alastrar mais rapidamente.

Site de pesquisa sobre Virus, confira
Entre neste Site e Pesquise sobre VÍRUS, e descubra quem estar lhe incomodando

A EVOLUÇÃO
      Os vírus evoluíram e com eles novas técnicas de detecção e prevenção também surgiram.

MALIGNOS
    Alguns tipos de vírus podem causar danos irrecuperáveis em arquivos contaminados.    Causam sobreposição de dados e podem até mesmo apagar os arquivos. Neste caso, se não forem detectados em tempo, a única solução é ter um backup saudável de todos os arquivos contaminados.

BENIGNOS
    São tipos que não causam mal, apenas deixam o computador mais lento, exibem animações do tipo screen saver, substituam ícones, desligam unidades de CD-Rom, tocam algum tipo de melodia no alto falante do PC. Em geral, podem ser removidos sem danificar os arquivos.

ANTIVÍRUS
     A maioria dos antivírus disponíveis atualmente são bons e detectam a maioria dos intrusos eletrônicos, além de remover a maior parte dos vírus. O maior problema enfrentado por este tipo de software é que a cada novo vírus que surge eles têm que ser atualizados. A única coisa que pode garantir a integridade total dos dados do seus equipamento ainda é e sempre será o bom e velho backup.

Plataformas que os Vírus atacam
          Há plataformas onde os riscos são menores. No NT, a ação dos vírus é mais difícil que no Windows 9x. No Unix, o vírus tende a afetar o ambiente de um único usuário - não o sistema inteiro. A plataforma mais visada é sempre a que tem mais usuários. No passado, foi o DOS. Hoje, é o Windows e seus aplicativos. Se outro sistema se tornar o mais popular no futuro, ele vai ser o novo alvo dos vírus.

WwwVirusComBr.gif (1223 bytes)
Super Site com muitas dicas contra vírus e informações, Visite!

OS PRINCIPAIS TIPOS DE VÍRUS

VÍRUS DE BOOT:
     Este é um tipo especial que contamina uma área do sistema, em que estão armazenados arquivos de boot (inicialização da máquina), uma tabela de alocação que determina onde está cada coisa no disco. Com isso atingem a memória e à medida que os arquivos executáveis são carregados automaticamente são contaminados.

VÍRUS DE SISTEMA:
    Vírus que afetam apenas os arquivos de inicialização COMMAND.COM, atualmente mais raros. É uma técnica obsoleta e, geralmente, são criados por hackers novatos com toolkits (programa para criação de vírus).

VÍRUS POLIMÓRFICOS:
      Este tipo de vírus, há algum tempo, era a sensação. Eles possuem a capacidade de se "transformar", alterar o seu código viral a cada infecção. Isto dificulta a sua detecção e torna sua remoção mais complexa que as demais.

VÍRUS DE MACRO:
       Estes vírus são um outro tipo especial. Não contaminam arquivos executáveis como EXE e COM. Contaminam arquivos .DOC ou .XLS, que são extensões dos mais populares editores de texto e planilhas eletrônica do mercado. Normalmente eles são passados através de e-mail. Para que um arquivo deste tipo contenha um vírus, ele deverá possuir um modelo de macro que é criado utilizando a linguagem de programação embutida nos próprios editores de texto e planilhas eletrônicas e que permitem comandos poderosos .
       Quando um arquivo contaminado é aberto, ele passa o modelo de macro (vírus) para o modelo global da planilha ou editor, e assim se propagam por todos os outros documentos criados e abertos por estes softwares.

VÍRUS MÚLTIPLOS:
       São combinações entre vírus de boot e vírus de arquivo, e contaminam ambos.

VÍRUS INCUBADOS:
       São as famosas bombas-relógio, um tipo de vírus que é ativado em uma data específica. Eles dependem do clock do sistema.

VÍRUS ENCRIPTADOS:
       Este é um tipo inteligente de vírus. Altera programas básicos do sistema e, somente os mais recentes programas de antivírus são capazes de detectá-los. Este tipo é capaz de se encriptar no momento em que o arquivo é executado, criando um disfarce perfeito e fazendo com que tudo pareça normal.

BOMBA LÓGICA E CAVALOS DE TRÓIA
       Este tipo de vírus é de difícil detecção. Eles substituem caracteres do teclado por comando de formatação e deleção de arquivos.

RETROVÍRUS
      São vírus especialistas em contaminar antivírus. Pode ser o seu objetivo principal ou paralelo. Alguns destes vírus deletam os arquivos CRC dos programas analisados. Estes arquivos são uma espécie de selo, que comprova a saúde do arquivo e nele armazenam diversas informações sobre os arquivos, como data, hora, tamanho, atributos, etc.

APPLETS HOSTIS:
       Este é um tipo novo que surgiu com a proliferação da Internet, que cresce em meio ao caos. É um tipo especialista, que se instala em micros plugados à rede, em busca de números de cartões de créditos, senhas de acesso senhas de e-mail e qualquer tipo de informação confidencial. Já estão catalogados mais de 80 tipo de Applets Hostis, e os novos antivírus podem detectar alguns deles.
       Existem ainda variações de alguns tipos de vírus que não se enquadram nas categorias descritas acima.  Entre eles  podemos citar os companheiros, os vírus-antivírus, os vírus do tipo DIR-II e os Stealth (Vírus invisíveis).

A MAIS NOVA AMEAÇA
      No passado, se falava que por mais perigos e destrutivo que um vírus fosse, ele afetava apenas informações lógicas, os dados do seu micro: Era impossível afetar a máquina fisicamente. No entanto, atualmente, com as novas tecnologias flash-rom de atualização de BIOS por intermédio de software, a coisa mudou. Os fabricantes de BIOS (basic Input Output System), um chip responsável pelas operações básicas do equipamento, optaram por uma tecnologia de atualização do programa embutido neste tipo de chip por intermédio de software. É o que bastava para que a mais nova safra de vírus surgisse.
      Apesar de causarem transtornos de milhões de dólares todos os anos estas criaturas possuem uma certa beleza. Um vírus é um programa sofisticado, toma decisões, funciona em diversas plataformas, a maioria deles é isento de bugs. Stephen Hawking diss: "O vírus eletrônico é a primeira forma de vida construída pelo homem."um vírus é capaz de se reproduzir sem a interferência humana e consegue garantir a sua sobrevivência sozinho. Os cientistas dizem que um organismo é vivo quando possui estas características básicas.

Vírus em Java
       Não há por que se preocupar. É mais ou menos como as cobras coral, que possuem veneno mas quase nunca conseguem picar alguém. Por isso, praticamente não oferecem risco. O browser é um território isolado do restante do sistema. Assim, um vírus que roda nele tem escassas chances de causar estragos. O perigo existe para desenvolvedores de applets, que trabalham num ambiente onde o Java tem poderes maiores.

Vírus que atacam hardware
      Isso é sério. Um programa não pode, é claro, destruir hardware. Mas, neste ano, apareceram vírus que tentam corromper o conteúdo da Bios. Em muitos computadores, a Bios pode ser atualizada por software. Nesse caso, há chances de que o invasor consiga realizar sua sabotagem. O hardware continua intacto, mas deixa de funcionar por causa do estrago na Bios, que vai precisar ser re-gravada.

COMO PREVENIR E COMBATER

  • Utilize um antivírus bom, de preferência que possua atualizações mensais disponíveis na Internet. Mantenha sempre um backup atualizado dos arquivos mais importantes do seu sistema.
  • Tenha cuidado ao utilizar disquetes de terceiros que passaram por diversos equipamentos.
  • Fique atento a arquivos atachados ao seus e-mails.
  • Muito cuidado também com os download na Internet, geralmente estão formatados .ZIP e assim que descompactados podem conter algum tipo de vírus.

      Atualmente, o principal meio de propagação de vírus, segundo uma pesquisa realizada pela Microsoft, McAffe e Symantec, abrangendo 700.000 estações em 300 empresas, o e-mail é a principal forma de contaminação. Uma outra pesquisa realizada pela NCSA (National Computer Security Association), na qual foram ouvidas 400 empresas, revelou que 49% delas estavam contaminadas por um vírus de macro denominado WM. Concept.

Por: Alexandre Marco Rizzo

 

A GUERRA CONTRA OS VÍRUS

OS VÍRUS ESTÃO DE VOLTA E SÃO UMA AMEAÇA A TODOS PCs. NOS PRÓXIMOS MESES MOSTRAREMOS COMO ACABAR COM O RISCO DE SER INFECTADO DE   UMA VEZ POR TODAS. NESTA MATÉRIA, COMO REMOVER UM VÍRUS MANUALMENTE...

Por todo o mundo, centenas de pessoas da oposição estão conspirando contra o PC, explorando o uso da Internet para infectar o seu computador  e destruir seus dados. Graças à Internet e aos vândalos, o vírus ressuscitou e representa uma ameaça maior, a maior de todas desde quando o PC foi inventado.
Agora, pense no pior - sua segurança está comprometida, sua privacidade foi invadida, sua proteção foi violada. Em pouco tempo, você estará infectado. A pergunta é a seguinte: o que fazer para combater isto?

O COMEÇO DE TUDO

Há três termos para as viroses (vírus, vermes e Troianos) e, visto que todos eles são programas que infiltram em seu computado e causam sérios danos, cada um age de uma forma diferente. Entender isto é a chave  para eliminá-los. O mais simples de explicar é o Troiano. Ele é um programa em que o nome do arquivo leva-o a acreditar que é algo benigno. Você acha que está instalando um novo utilitário freeware muito legal, ou um patch para um programa comercial; ao invés disso, você dá o controle de seu computador a um programa que pode fazer virtualmente qualquer coisa que desejar. Os Troianos são muito fáceis de serem criados, mas seu maior ponto fraco que não podem ser duplicados. Você pode, infelizmente, receber um Troiano de um amigo, pois ele descobrira a identidade do programa somente após instalá-lo.
Em seguida, vem os vermes. Como um Troiano, um verme é um programa embutido e também pode parecer qualquer outra coisa, para ativar sua infecção. Porém, não é este o seu método primário de transmissão, pois um verme é uma espécie de auto-propagação. Tende a provocar bugs ou falhas de segurança nos softwares de rede. Portanto, os vermes podem atingir outros computadores através da Internet, ou de uma rede local, e auto-instalar uma cópia deles mesmo nesses micros.

VIROSES DE VÍRUS

Finalmente, há o vírus. Um vírus é um programa pequeno que se associa a códigos executáveis existentes, dando instruções para serem executados primeiramente. Há três tipos principais de vírus, classificados de acordo com o tipo de programa que é infectado.
Os vírus do Setor de Boot, ou BSVs, tomam vantagem do fato de que todos os disquetes formatados, mesmo que não contenham os arquivos de sistema do DOS, incluem um pequeno programa chamado boot sector (setor de boot). Ele reside no primeiro setor do disquete e, quando você tenta reiniciar o computador a partir do disco flexível, o vírus é executado antes de qualquer tentativa de encontrar os arquivos do sistema. O vírus move o programa do setor de boot original para algum outro lugar no disco e se instala em seu lugar. Os discos rígidos também possuem um setor de boot e, uma vez infectados, todos os discos flexíveis subseqüentes colocados no drive também serão infectados.

ARQUIVOS DIABÓLICOS

Os vírus do setor de boot não se espalham pela Internet, pois dependem da transferência física do disquete infectado, mas as viroses dos arquivos se espalham. Um vírus de arquivo se anexa a um arquivo com qualquer extensão executável, inclusive .EXE,. COM,. SYS e DLL. Os arquivos que contém apenas dados, como os arquivos de texto ou de imagem, são imunes ao ataque deste vírus, pois os dados somente são lidos por outros aplicativos, apenas sendo executados após uma seqüência de instruções. Mas isto foi quebrado pela emergência dos vírus de macros.
Os vírus de macros são os mais fáceis de serem criados, pois têm a vantagem da construção via linguagem de aplicativos como Microsoft Office e CorelDraw. Os macros criados nestas linguagens de escrita viajam pelos documentos e podem ser configurados para serem executados, automaticamente, quando o documento for aberto pela primeira vez.

EM BUSCA DE ALTERNATIVAS

Uma infecção toma um certo espaço do disco e pode diminuir a velocidade de seu computador, à medida que ele se multiplica. Mas isto não é, geralmente, uma inconveniência. O carregamento dos vírus devem ser diferentes uns dos outros. Mesmo assim, muitos vírus mostram apenas uma simples mensagem de texto, geralmente anunciando sua presença com algum tipo de destruição de dados. A única forma segura de evitar   a infecção é instalar  e executar um localizado de vírus constantemente, além de fazer cópias de segurança regulares. Se você não tiver tempo ou espaço em disco para instalar um destes utilitários gratuitos (como o F-Prot), há algumas estratégias que você pode usar para detectar um vírus, antes que ele entre em ação.
Uma das maneiras é fazer uma cópia de um arquivo executável que você usa com freqüência - como o Outlook Express (C:\Arquivos de Programa\Outlook Express\MSIMN.EXE) - e renomea-lo com uma extensão não executável. Isto evitará que ele seja contaminado e você poderá, periodicamente, comparar o tamanho do arquivo da sua cópia original, a fim de verificar  quaisquer alterações.Um vírus ativo poderá mascara o tamanho deste arquivo. Portanto, é importante que você tenha certeza de que não haja vírus na memória, quando comparar os arquivos.
A melhor maneira de fazer isto é reiniciar seu PC a partir de um Disco de Recuperação de Emergência do Windows não infectado.

LIMPANDO SEUS BOOTs

Se você concluir que um arquivo executável esta infectado com um vírus, a solução mais segura é iniciar a máquina usando o seu disco de boot vazio, a fim de  poder apagar o arquivo e reinstalar o programa a partir do CD-ROM original. Feito isto, restaure o arquivo de backup, mas sempre tenha em mente que os seus arquivos de backup também podem estar infectados. É importante lembrar que os arquivos com o atributo 'somente leitura' é configurado pelo software. Para um vírus do setor de boot, uma ação comum é remover a infecção com o comando FDISK/MBR, no DOS. Isto  faz com que o programa de Gravação de Boot Master no disco seja substituído por uma nova cópia, deixando todas as informações  do restante do disco intactas. Esta técnica funcionará contra  viroses como o Anti-exe, o qual o código reside no espaço normalmente ocupado pelo MBR. Infelizmente, muitas viroses, como Monkey, são muito grandes para caberem neste espaço de 446 bytes e, por isso, ocupam todo o primeiro setor de 512 bytes do disco rígido. Os dados originais, inclusive a informação de partição, são movidos para algum outro lugar.

PROBLEMAS DE PARTIÇÃO

Na hora de iniciar um PC infectado, o Monekey é carregado na memória e, então, retorna a partição à sua nova localização, para que o disco rígido possa ser acessado. Se você digitar FDISK/MBR [Enter] agora, os primeiros 446 bytes do código do vírus serão substituído por uma cópia vazia do MBR, que tentará interpretar os próximos 64 bytes do vírus como uma seqüência da partição. Ela aparece corrompida e o disco rígido fica inacessível.
Portanto, como você sabe se pode ou não usar o comando FDISK/MBR? Reinicie o seu PC com seu disco flexível sem vírus e digite DIR C:.Se a listagem aparecer normalmente, a divisão de partição deve estar certa e você poderá usar o FDISK MBR seguramente. Se foi mexida, você verá a mensagem de erro 'Especificação de Unidade Inválida' e não deverá, definitivamente, tentar desinfeta manualmente o seu disco.


Vírus Bubbleboy ataca sem anexo ser aberto


            Bubbleboy é o primeiro vírus de e-mail que pode ser ativado sem que o anexo seja aberto. Ele utiliza uma técnica que tira vantagem de um buraco de segurança na
linguagem de scripsts VB script da Microsoft, usada no Internet Explorer. Essa falha permite que dois controles ActiveX potencialmente destrutivos sejam executados (scriptlet.typelib e Eyedog). Se você estiver usando o Outlook ou o Outlook Express com o painel de visualização aberto (a configuração padrão) e ler uma mensagem (apenas selecionar a linha de assunto da mensagem) com um anexo contendo o Bubbleboy, um script será automaticamente inserido no diretório Iniciar do Windows. Na próxima vez que o pc for ligado, o script será executado e enviará arquivos infectados para todos os nomes no catálogo de endereços do Outlook. Além disso, são alteradas entradas no Registro do Windows, fazendo com que o proprietário registrado se torne BubbleBoy e a organização Vandelay Industries.
Para se defender você pode fazer o download do patch que se encontra no endereço www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm  


 

COMO REMOVER O HAPP99 MANUALMENTE
O VERME DO E-MAIL, HAPPY99, É UMA DAS DEZ INFECÇÕES MAIS RELATADAS EM TODO O MUNDO. FELIZMENTE, LIMPAR O SEU SISTEMA É FÁCIL, DESDE QUE VOCÊ SAIBA O QUE FAZER...

    O Happy99.exe chega em seu computador como um anexo ao e-mail, provavelmente vindo de alguém que você conhece. Se executar o programa, você deleitará com uma pequena animação de fogos de artifício. Isto pode parecer divertido, mas o verme ganha controle da sua conexão com a Internet enquanto você estiver assistindo.

    >Todo e-mail que você enviar, a partir de agora, levará consigo o happy99.exe como um arquivo anexo. O verme não tem nenhuma influência negativa, mas pode, as vezes fazer com que os programas de e-mail sejam corrompidos e um tráfico de e-mail transforme-se numa amolação.

    Para remover a infecção, assegure-se de estar desconectado da Internet. Feito isto, apague os arquivos ska.exe e ska.dll da pasta \windows\system. Estes são os arquivos realmente responsáveis pela propagação do verme. Mas você também dever remover o arquivo happy.exe, para evitar que, acidentalmente, ele seja reinstalado em seu sistema.

    Para controlar a sua conexão com a Internet, o Happy99 modifica o arquivo \windows\system\wsock32.dll. Este arquivo fica corrompido e deve ser apagado. Se você não conseguir enxergá-lo..., no Explorer (ou visualizar, Opções no Windows95), vá à guia Visualizar e verifique se a opção 'Mostrar todos os arquivos' está selecionada.

    Felizmente, o Happy99 faz uma cópia do arquivo Wsock32; assim, não será preciso reinstalar o Windows. Para recuperar esta cópia de segurança , abra a pasta \windows\system e renomeie o arquivo wsock32.dll. Você precisará, então, selecionar os atributos 'somente leitura'  e 'sistema', na página de propriedades deste arquivo.

    Finalmente, reinicie o Windows para carregar a cópia original do Wsock32. Seu sistema está, agora completamente limpo. Não se esqueça de que a pessoa que lhe envio o e-mail original está com os sistema infectado. Portanto, ela pode seguir estes passos para limpar seu computador informe minha HP pra ela Ok?!!!

COMO REMOVER O VÍRUS MELISSA MANUALMENTE
ELE ASSUSTOU O MUNDO COM AS DUAS PRIMEIRAS HORAS DE SUA INFESTAÇÃO, MAS O VÍRUS MELISSA É RELATIVAMENTE FÁCIL DE SER DESABILITADO, DESDE QUE VOCÊ SAIBA COMO FAZER...

    Se você receber uma mensagem de e-mail com um arquivo . DOC anexado e a frase "important Message From:"  (mensagem importante de: ), na linha "Assunto", não abra o arquivo com o Word. Apague a mensagem e responda ao autor, avisando-o que ele foi infectado pelo vírus Melissa.

    Se você realmente quiser ver o que há neste arquivo, use um visualizado do word, ao invés  do próprio Word. Há um visualizado disponível, de graça na página www.officeupdate.microsoft.com/downloaddetails/wd97vwr32.htm , que, por não executar macros, deixa o vírus preso ao arquivo.

    Se você tiver certeza que precisa editar o documento, assegure-se de que o seu Word esteja com a proteção contra vírus macro habilitada - isto não é o padrão. Selecione Ferramentas (tools), Opções (Options), vá à guia Geral (General) e marque a caixa na parte inferior.

    Isso não ira evitar que você seja infectado, mas usando o Outlook (ao invés do Outlook Express), você poderá, ao menos, diminuir a taxa de transferência da infecção. A função "mailout" (envio de mensagem) não funcionará no Outlook Express e o Melissa irá permitir que você transfira os documentos contaminados.

    Você realmente precisa enviar este arquivo como um documento Word anexado? Por que não cortar e colar o texto no corpo da mensagem? O Outlook Express irá preservar quase toda a formatação, use a opção "somente texto" ou anexe um arquivo do Adobe Acrobat.

    Para remover o vírus de seu sistema, salve todos os seus documentos como arquivos RTF e apague os originais. Em seguida, apague o arquivo C:\Program Files\Microsoft Office\Templates\Normal.dot. Observe que o Melissa desabilita permanentemente, as características de segurança quando ativa; portanto, você precisará reinstalar o Word para restaurar isto.

 

Como conter vírus executáveis na leitura de e-mails:

O BubbleBoy e o Kak.worm contaminam um sistema somente com a leitura da mensagem infectada se o recurso de Auto Visualização estiver habilitado, isso acontece nos sistemas MS Outlooks. Algumas ações podem bloquear a contaminação por esse tipo de vírus:
- Instalar o patch de segurança da Microsoft, disponível em: http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm
- Desabilitar a opção de Auto Visualização das mensagens no Outlook.
- Desabilitar a opção Windows Scripting Host em Painel de controle/Adicionar ou remover programas/ Instalação do Windows/ Acessórios (isso pode incapacitar algumas características automatizadas do Windows).
- Manter o antivírus atualizado
- Utilizar o EICAR que serve para testar o correto funcionamento do antivírus. O EICAR é um código simples que basta ser copiado num arquivo do Word ou do Notepad e nomeado com qualquer nome. Após isso execute o antivírus e se ele não acusar o EICAR naquele arquivo é porque não está
funcionando como deveria... O código a ser copiado é o seguinte:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
- O BPS Backdoor Protection System vacina o sistema contra o BubbleBoy além de detectar e eliminar mais de 500 tipos de backdoors. É nacional, gratuito e pode ser encontrado em: http://elipe.cjb.net.

Dica Adquirida através de ARY.

 

A BOLHA VIRÓTICA
Uma nova epidemia de vírus transmitidos pelo e-mail ameaça os usuários do Outlook


Pesquisadores da Network Associates descobriram uma nova variedade de vírus, apelidada de "Bubbleboy" (menino-bolha), nome inspirado em um episódio de comédia "Seinfeld", da TV americana. Este novo tipo de vírus evidenciou mais uma falha na segurança do cliente de e-mail mais amplamente usado, o Microsoft Outlook.

Tirando proveito de na maneira como o MS-Outlook trata as mensagens de e-mail, este vírus sorrateiro pode executar-se sem que o usuário tome conhecimento. Isso demonstra um avanço assustador na ameaça que os vírus de e-mail podem oferecer, já que, ao contrário das variedades mais antigas, onde era preciso executar um arquivo anexado, agora, com apenas uma mensagem, o seu PC pode estar sendo contaminado.

Criado mais como uma forma de alerta, o
Bubble Boy
ainda não causou nenhum dano de fato, mas, apesar disso, o código-fonte já foi veiculado em uma página (site) japonesa. A partir desse código, outros programadores de vírus mais maliciosos podem produzir as suas próprias variedades do vírus.

A Microsoft já divulgou uma patch para corrigir esta falha na segurança do Outlook. Confira em http://www.mcafee.com/viruses/bubbleboy   e http://www.nai.com/asp_set/anti_virus/alerts/intro.asp

Dica da Revista PC Expert nº 13

VBS/Bubbleboy é um novo vírus na Internet, descoberto 11/08/99. AVERT atribuiu-lhe uma avaliação de risco BAIXA; não foi considerado prejudicial. VBS/Bubbleboy é um tipo NOVO de vírus: Ao contrário dos vírus precedentes, transmitidos através por e-mail, este tipo novo de vírus não vem como um acessório executável. VBS/Bubbleboy infecta o PC assim que a mensagem transmitida do e-mail for aberta. Esta é uma inovação MUITO significativa! No passado, não era possível contrair meramente um vírus, abrindo e lendo uma mensagem do e-mail. VBS/Bubbleboy marca o começo de um ambiente para computação mais perigoso.

VBS/Bubbleboy é transmitido através de uma mensagem do e-mail com o título sujeito " Bubbleboy está para trás! " Infecta SOMENTE Windows 98 dos PCs com Internet Explorer 5 e outlook ou o outlook expresso.

I LOVE YOU

Existe um novo Worm sendo espalhado chamado I LOVE YOU, abaixo seguem informações do mesmo, saiu em 04/05/2000, um alerta no Jornal da Globo as 20:40 hs.

Subject: ILOVEYOU
Nome do arquivo anexado:LOVE-LETTER-FOR-YOU.TXT.vbs
Tamanho do anexado:10307


    Recomendamos que vocês filtrem qualquer mensagem com este título ou com este anexo. Caso recebam o arquivo, coloquem-no em quarentena ou enviem para o nosso centro de vacinas, o e-mail é: avc@symantec.com .

    Um novo vírus de computador, identificado como "Love Bug", está causando destruição, levando várias companhias européias e o Parlamento britânico a desligarem suas redes de e-mail. O vírus já chegou a alguns usuários brasileiros. O editor do Companhias Abertas da Agência Estado, Alcides Ferreira, recebeu o vírus "I love you" em um e-mail enviado pela corretora Bear Stearns. A House of Commons de Londres, o equivalente à Câmara dos Deputados dentro do Parlamento, foi a última organização britânica a sucumbir ao vírus, ligado ao vírus Melissa que causou um caos nos sistemas
norte-americanos no ano passado. A House of Commons desativou todos os seus sistemas de e-mail por duas horas nesta manhã para protegê-lo do vírus.
    A Associação Britânica dos Consumidores e uma empresa de softwares anti-vírus informaram que receberam centenas de ligações de empresários, que tiveram suas redes de e-mail atingidas por uma série de mensagens. O novo vírus é espalhado com a abertura de um e-mail intitulado "I love you". Quando é feito o attachment da mensagem, o vírus envia cópias para todos os e-mails listados no livro de endereços do usuário. O vírus Melissa seguia o mesmo princípio, infectando milhões de computadores, fechando redes nos EUA e causando estragos avaliados em US$ 80 milhões. A companhia Symantec afirmou que já lançou um software para combater o vírus, mas alertou os usuários de computadores a não abrirem mensagens quando o assunto identificado for "I love you". A provedora britânica de acesso à Internet Freeserve informou que instalou um filtro para eliminar os e-mails com as palavras "I love you".
    A companhia de consultoria holandesa Ordina Beheer também foi atingida pelo vírus. As informações são da agência Dow Jones e AE.
    Um novo worm (tipo de vírus), feito em VBScript, está circulando pela Rede. Em poucas horas, centenas de computadores foram infectados e em poucas horas, dezenas de servidores de e-mails entraram em pane. O nome do worm é VBS.LoveLet - alguns especialistas o chamaram de VBS.ILoveYou.Worm.
    A coisa mais importante para se fazer agora é não ler e-mails com o assunto ("I love you" ou "ILOVEYOU" ou "love letter for you", ou qualquer variante desse texto. O email pode conter um script Visual Basic conhecido como "LOVE-LETTER-FOR-YOU.vbs", que chega como um anexo na mensagem. Em alguns casos, pode vir como um TXT, JPG, MP3, bem como outras extensões. O vírus
utiliza uma técnica perigosa chamada "doube extension" (extensão dupla). A técnica "double extension" faz com que um anexo pareça ser inocente, escondendo a extensão original do arquivo para o usuário. O worm LoveLet pode também se propagar através de aplicativos de bate-papo como o mIRC.
   
    Como o LoveLet funciona:

1) Primeiro o worm tenta se transmitir para todos os e-mails que estão no Catálogo de Endereços do seu leitor de e-mails.

2) Em máquinas Windows 98, ele tentará fazer download e executar o vírus chamado "WIN-BUGSFIX.exe". Para isso, o LoveLet acessa diversos sites na Web.

3) A página inicial do Internet Explorer é ajustada para uma página em branco.

4) O worm irá pesquisar todos os drives conectados no sistema e infectar VBScripts, JavaScripts, JScripts, seguindo as extensões VBS, VBE, JS, JSE, CSS, WSH, SCT e HTA.

5) Ele também irá buscar por todos os arquivos MP3, MP2, JPG e JPGE, e através da técnica "doube extension", criar um arquivo VBS com nome e extensão correspondentes. Por exemplo, se o LoveLet encontrar um arquivo chamado "mysong.mp3", ele irá criar um arquivo infectado com o nome
"mysong.mp3.vbs". Se esse arquivo for executado, irá infectar o sistema.

6) O LoveLet tentará enviar um arquivo HTML infectado, com o nome "LOVE-LETTER-FOR-YOU.htm" através de clientes de mIRC.

O que fazer:

1) Não abra nenhum e-mail que contenha os assuntos "ILoveYou", "ILOVEYOU" ou "love letter for you". O corpo da mensagem dirá "kindly check the attached LOVELETTER coming from me."

2) Se você suspeita que está infectado, procure e elimine do sistema os arquivos abaixo:

"MSKernerl32.vbs"
"Win32DLL.vbs"
"LOVE-LETTER-FOR-YOU.vbs"
"LOVE-LETTER-FOR-YOU.htm"
"WinFAT32.exe" no diretório de downloads do Windows
"WIN-BUGSFIX.exe" também no diretório de downloads do Windows
"script.ini" no arquivo mIRC

3) Redes que possuem o eSafe Gateway podem filtrar os anexos com extensões VBS, assim como bloquear e-mails com as linhas "ILoveYou", "ILOVEYOU" ou "love letter for you" no campo de assunto.

4) Usuários do eSafe Desktop (e Enterprise) podem fazer o download do HOT Update, no site da Aladdin em www.aladdin.com.br ou utilizar a opção "Obter atualizações", no Menu Iniciar, em Programas, eSafe Desktop.

REMOVER MANUALMENTE essa nova praga:


1- Execute o programa REGEDIT;
2- Encontre as duas chaves (MSKernel32.vbs e WIN-BUGSFIX.exe) que ficam em
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run e delete-as;
3- Encontre também a chave Win32DLL.vbs, que fica em
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices e delete-a também;
4- Saia do REGEDIT;
5- Clique em INICIAR * DESLIGAR - selecione REINICIE EM MODO MS-DOS e clique OK;
6- Após o reinício de seu PC, seu diretório deve ser o RAIZ (C:\) - se não for digite CD\;
7- Digite o comando DEL WIN-BUGSFIX.EXE;
8- Reinicie seu micro, em modo NORMAl desta vez;
9- Delete todas as ocorrências dos arquivos abaixo - - para evitar nova   reinfecção do seu sistema:
C:\WINDOWS\SYSTEM\MSKERNEL32.VBS , C:\WINDOWS\WIN32DLL.VBS, e
C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
10- Busque e delete todos os arquivos que tenham a extensão dupla citada   anteriormente (ex:JPG. VBS,  CSS. VBS, etc) - para evitar nova re-infecção do   seu sistema;

Bom o melhor mesmo é baixar um pequeno utilitário, ou um EXTRA.DAT
específico, que existe no site do fabricante de seu anti-vírus.

Vírus DMSETUP.EXE

COMO ELIMINAR E DESFAZER OS DANOS FEITOS PELO VÍRUS DMSETUP.EXE

Este vírus de MIRC não é tão fácil de consertar como outros que já vimos (tipo o script.ini). Não é suficiente apagar o arquivo dmsetup.exe, nem reinstalar o MIRC. Infelizmente, este vírus altera arquivos do Windows e portanto é um pouco mais complicado para consertar. Mas aqui vão as dicas.

1. Saia do MIRC e da net.
2. Abra seu gerenciador de programas ("file manager").
3. Procure ("search/find") e apague ("delete") todas as copias do arquivo dmsetup.exe (é passível ter 4-5 cópias em vários diretórios do seu HD)
4. Procure e apague qualquer arquivo com nome de progra~1 (57566 bytes) em qualquer diretório.
5. Vá no c:\ e apague o arquivo config.sys (ou seja, apague o c:\configg.sys)
6. Delete o seu diretório inteiro de mirc (provavelmente c:\mirc) e todos os arquivos. Sim, você vai perder qualquer configuração que você tenha feito no MIRC. Afinal, se você sabia o suficiente para configurar o MIRC, você não deveria estar com este vírus!
7. Com um editor de texto (tipo Notepad), abra o arquivo c:\autoexec.bat. A última linha deverá dizer "dmsetup". Apague esta linha inteira. Salve e feche este arquivo c:\autoexec.bat. (Não esqueça, tem que editar este arquivo em formato TEXTO, não pode ser outro.)
8. Reinicie seu computador completamente ("cold boot") (desligue, espere um pouco, e liga de novo).
9. Baixe outra copia novinha do MIRC pela http://www.mirc.co.uk/ Aproveite para fazer este upgrade, que não é tão vulnerável ao tipo de vírus que você pegou.
10. Instale o MIRC novo, e tudo deverá estar em ordem.
11. Verifique na configuração do MIRC, pelo menu DCC Options, Send, que o auto-get file esteja DESLIGADO. - Você pode também configurar assim digitando o comando no MIRC, dê /sreq ASK

*** NUNCA ACEITE ARQUIVOS DE GENTE/LUGARES QUE VOCÊ NÃO CONHECE! ***

NOTICIA LINKADA DE OUTRO SITE PARA VOCÊ
Vírus que rouba senhas se espalha rapidamente pelo mundo
LA Times e ZDNet
29 Nov 2001

Descoberto no final do dia 23, o Badtrans.B está se disseminando mais rápido que qualquer outro vírus já visto, segundo a empresa especializada em monitorar e-mails MessageLabs. A praga - que é enviada automaticamente via correio eletrônico - traz um cavalo de Tróia, conhecido como PWS, destinado a roubar senhas do usuário. Sua atividade já foi identificada em quase 135 países, entre eles o Brasil.

O Badtrans.B chega por e-mail com o campo de assunto em branco ou com "RE:" e um arquivo anexado que pode ter vários nomes, como Me_Nude.zip.scr e S3msong.mp3.pif. O objetivo de ter .zip.scr ou mp3.pif, por exemplo, é enganar o destinatário, que acredita estar recebendo um arquivo de música ou foto. Para criar o nome do arquivo, o vírus combina textos, relacionando partes entre as palavras abaixo:

HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS

A primeira extensão pode ser .doc, .mp3 ou .zip, enquanto que a segunda é sempre .pif ou .scr. Com isso, surgem arquivos como card.doc.pif, news_doc.mp3.scr, etc. Para agravar a situação, começam a surgir versões com outros textos, como "Sorry about yesterday" e algumas funções diferentes.

Segundo especialistas, não é preciso sequer clicar no arquivo anexado para que o vírus entre em ação. Basta ler a mensagem ou visualizar no preview do Outlook para infectar o micro. Ao ser executado, ele passa a enviar e-mails contaminados e instala o cavalo de Tróia PSW, que rouba senhas do usuário e números de cartão de crédito, entre outras informações, pois monitora a digitação. Os dados confidencias são enviados para endereços de crackers.

A praga está contaminando milhares de computadores pelo mundo. A empresa MessageLabs já identificou 60 mil arquivos infectados nos últimos cinco dias. As regiões mais atingidas são o Reino Unido, Alemanha e Estados Unidos. O vírus está sendo comparado pelos especialistas a pragas como o Nimda e o Sircam, devido aos danos que está causando em pouco tempo.

Para combater a ameaça, é preciso ter o programa de antivírus atualizado, já que o Badtrans.B ataca mesmo sem o destinatário clicar no arquivo anexado. As principais empresas na área já possuem atualizações que identificam a praga. Em ambientes corporativos, os especialistas recomendam utilizar filtros de e-mail para bloquear mensagens com arquivos anexados com as extensões .scr e .pif.

Pesquisa mostra que ataques na Internet dobraram este ano
Code Red II: A double whammy
Onda de ataques pode estar relacionada a worm do IIS
Divulgação de vulnerabilidades
Sircam: passada a tempestade, o que fica?
Incidentes de segurança
7ª Pesquisa Nacional sobre Segurança da Informação
Como combater o Badtrans.B

Segunda-feira, 26 de Novembro de 2001 - 12h56

IDG Now!
Daniel dos Santos

Descoberto no final do dia 23, o Badtrans.B está se disseminando mais rápido que qualquer outro vírus já visto, segundo a empresa especializada em monitorar e-mails MessageLabs. De acordo com os números da companhia, mais de 12 mil arquivos contaminados já foram identificados.

Para combater a ameaça, é preciso ter o programa de antivírus atualizado, já que o invasor ataca mesmo sem o destinatário clicar no arquivo anexado. Basta visualizar a mensagem para ser uma vítima. Empresas como Symantec, McAfee, Trend e Sophos já possuem atualizações que identificam o Badtrans.B. Como uma das versões que circula na rede do Badtrans utiliza uma vulnerabilidade que permite a execução imediata apenas com a leitura de e-mail ou mesmo com a visita a um site contaminado, a Sophos recomenda que o usuário faça a atualização do software da Microsoft. E, como o vírus também pode ser acionado ao clicar em arquivos anexados, é necessário evitar esse procedimento, apagando imediatamente mensagens suspeitas.

Em ambiente corporativo, de acordo com a Symantec, também vale utilizar filtros de e-mail para bloquear mensagens com arquivos anexados com as extensões .scr e .pif. Caso o computador já tenha sido atacado, a empresa recomenda que a pessoa instale o antivírus, atualize o programa, realize um checagem completa do sistema, rastreando qualquer tipo de arquivo, apague os arquivos identificados como W32.Badtrans.B@mm e remova a chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce\Kernel32=kernel32, processo complicado e que pode comprometer o funcionamento do equipamento em caso de erro. Veja detalhes aqui.

De acordo com a Sophos, o processo varia de acordo com a versão do Windows que está no PC. Antes de alterar qualquer configuração, a empresa recomenda que seja feito backup de arquivos como o registry.

Notícias relacionadas:
· Novo vírus rouba senhas e é mais rápido que o SirCam
· Vírus que infecta apenas com leitura de e-mail vira ''epidemia''
· Vírus ''apaixonado'' usa foto para infectar internauta
· ''Vírus do ciberterrorismo'' não passa de trote
· Vírus finge ser denúncia sobre traição para apagar arquivos
· Vírus ''Osama/Bush'' é o novo trote que circula pela Web
· Vírus Finaldoom ataca com leitura de e-mail ou visita a site
· Vírus ''WTC Survivor'' é trote

Sites relacionados:
· www.antivirus.com
· www.mcafee.com
· www.sophos.com
· www.symantec.com


BAIXE A VACINA  VÍRUS KLEZ.E             CLIQUE AQUI

 Nova praga virtual desativa antivírus e destrói arquivos
O vírus Klez, praga virtual descoberta em outubro do ano passado, foi alterado pelo seu criador e ganhou uma nova versão. Trata-se do Klez.E que, entre outras coisas, desabilita programas de antivírus de várias empresas (entre elas Symantec, McAfee e Trend Micro) além de impedir que, caso sejam encontrados vírus como o Sircam, Codered ou Nimda, os outros invasores não funcionem.

Em sua nova versão, o vírus passa a infectar arquivos executáveis, além de ganhar a capacidade de contaminar drives compartilhados, ampliando seu poder de disseminação em ambiente corporativo. O vírus cria arquivos com nomes aleatórios, mas que usam sempre duas extensões (para iludir o destinatário). Confira algumas das possibilidades de nomes:

Primeira extensão:
.txt
.htm
.html
.wab
.doc
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3

Extensão do executável:
.exe
.scr
.pif
.bat

Com isso, surgem arquivos como Kernerl.mp3.pif ou documento.pas.exe. Segundo a Symantec, uma das empresas que identificou o Klez.E (e que ainda estuda os efeitos da nova praga virtual), ele entra em ação apenas com a leitura da mensagem de e-mail ou utilização do recurso de preview do Outlook ou Outlook Express. Ou seja, não é preciso clicar para ser contaminado.

De acordo com um alerta divulgado pela F-Secure, o Klez possui alguns procedimentos curiosos. Além de desativar vários programas antivírus e de firewall, ele “combate” outras ameaças, como Nimda, SirCam, Funlove e Codered. Ou seja, impede o funcionamento de outros vírus.

Mas não se trata de um vírus “do bem”. Ele carrega uma outra ameaça, que também foi incrementada pelo criador, batizada de Elkern 1.1. Ele trava PCs com sistemas Windows 98 e 2000 e pode apagar todos os arquivos.

Segundo a F-Secure, devido a bugs na programação do vírus, algumas funções do Klez podem não funcionar corretamente em determinados sistemas.

Notícias relacionadas:
· Novo boato sobre vírus usa os nomes da Microsoft e do UOL
· Vírus utilizarão banda larga e mensagens instantâneas
· Nova praga virtual finge ser emulador de Xbox
· Game instala vírus que finge formatar o HD
· Número de ataques a sistemas cresceu 150% em 2001
· Vírus finge ser atualização do Outlook para formatar o HD
· Vírus causaram prejuízos de US$ 13,2 bi em 2001
· Vírus utiliza fotos para instalar programa que rouba dados
· Computadores estão cada vez mais vulneráveis, dizem EUA
· Surge o primeiro vírus que infecta arquivos em Flash
· Novos vírus atraem internauta com mulher nua e hackers

Sites relacionados:
· www.fsecure.com
· www.symantec.com


VÍRUS VBS/HAPTIME (TIPO: WORM; ORIGEM: DESCONHECIDA)

Resumo Técnico do Vírus:
       O worm VBS/HapTime possui, até agora, duas variantes: A e B. A principal diferenças entre essas variantes é que na A o arquivo em anexo tem o nome de UNTITLED.HTM, enquanto na B ele recebeu o nome de INSTLOG.HTM. O código viral é escrito em VBS (Visual Basic Script) e esse worm infecta arquivos do tipo HTM, HTML, VBS, HTT e ASP. Ele se replica utilizando objetos MAPI que permitem sua inclusão como anexo a e-mails ou como ActiveX dentro do papel de carta da mensagem.
      O worm se anexa a todos os e-mails enviados pela máquina contaminada que utiliza o Outlook Express como correio eletrônico. Na verdade o worm VBS/HapTime não precisa que seja aberto diretamente o arquivo anexado, pois ele explora uma conhecida falha do Outlook Express e assim sendo ele é executado sem a necessidade da execução manual de seu anexo. Basta abrir uma mensagem contaminada, num micro sem as correções do Outlook Express ou a desativação do Windows Scripting Host (WSH).
       Note entretanto que mesmo com os patches instalados ainda assim uma máquina poderá ser contaminada se o usuário executar manualmente o anexo com o código viral. Assim o criador desse worm atinge tanto os curiosos quanto os descuidados/desligados dos conceitos de segurança na rede mundial.
        Quando executado o worm envia mensagens para endereços encontrados dentro de determinados arquivos. As mensagens têm o seguinte modelo:
Subject Help
Message (O corpo da mensagem vai em branco mesmo) Attachment Instlog.htm ou Untitled.htm (estes são os arquivos infectados com o código viral do VBS/Haptime e que dependem apenas da versão do HapTime)

        Se a soma do dia atual com o mês atual for igual a 13 o worm deleta todos os arquivos com as extensões EXE e DLL - esta coincidência ocorrerá sempre nos dias: 12 de janeiro, 11 de fevereiro, 10 de março, 9 de abril, 8 de maio,
7 de junho, 6 de julho, 5 de agosto, 4 de setembro, 3 de outubro, 2 de novembro e 1 de dezembro Além disso o worm usa o contador de infecções para executar duas ações a cada vez que infecta mais 366 arquivos:
1. Ele responde a todas as mensagens que estiverem na Caixa de Entrada (Inbox) do Outlook Express, e responde-as com a seguinte mensagem Subject Fw <endereço do remetente original> Message (o corpo da mensagem vai em branco)
Attachment Instlog.htm ou Untitled.htm 2. Ele envia a sua mensagem padrão (aquela que tem o Assunto = Help) que é enviada desde o momento da infecção da máquina, mas desta vez para todos os endereços de e-mail que existem cadastrados nos Contatos do Outlook Express

Material compilado da seção CALENDÁRIO PERMANENTE, no endereço
http://www.superdicas.com.br/calendar/c_permanente.shtml

Qualquer dica importante que tenha a respeito de Vírus, agradecerei de antemão a sua
colaboração. Venha dividir com os internautas conhecimentos importantes pra se livrar
destas pragas que só causa problemas e prejuízos. Seu e-mail será bem recebido por mim.
jvpa@infonet.com.br