Brasil é um dos mais afetados por dois vírus novos

• 0

O Rbot.cbq e o Zotob, dois novos vírus que começaram a ser espalhados no sábado e nessa terça-feira atacaram sistemas Windows (Microsoft) de grandes redes de comunicação dos EUA, estão se disseminando rapidamente pelo Brasil. A informação é da empresa de antivírus Trend Micro, com sede em Tóquio e filiais no país. Segundo a empresa, o Brasil está entre um dos mais atingidos, junto com os Estados Unidos, e foi o primeiro a registrar uma variante do Zotob. Já o rbot.cbq se alastra também pela região da América do Norte e pelo Japão.

Nessa terça-feira, foram atacados os sistemas das redes americanas CNN, ABC e do jornal "The New York Times". O NYT começou a enfrentar problemas de interrupção em seus computadores logo no início do dia. Depois foi a rede ABC e, de noite, da CNN. A rede interrompeu sua programação regular para informar que os computadores que utilizavam o sistema Windows começaram a falhar tanto em Nova York como em Atlanta e tinham que ser reiniciados insistentemente.

Segundo a Trend Micro, o Zotob registra uma velocidade impressionante de propagação. Apenas dois dias depois de sua primeira detecção, ele chega a quarta variante, que age da mesma forma que as outras: se aproveita de uma vulnerabilidade descoberta recentemente (Plug and Play) do Windows para se propagar através das redes.

Mais de 90% dos PCs mundiais usam o sistema operacional Windows. O último produto da Microsoft, o Vista, que ainda está em fase experimental e que estará disponível somente no início de 2006, enfrentou seu primeiro vírus já nos primeiros dias de testes.

O vírus Zotob, tipo "verme", também se aproveita de outros dois erros críticos que o gigante da informática divulgou na semana passada, incluindo um que permitiria aos atacantes tomarem o controle completo do computador.

Segundo a Trend Micro, a peculiaridade do Zotob é que pode afetar os computadores que utilizam diferentes versões do Windows (95,98, ME, NE, 2000 e XP) mais rapidamente que os outros vermes.

Esse vírus lança uma cópia de si mesmo em uma pasta do sistema Windows como BOTZOR.EXE e modifica o sistema anfitrião do computador infectado impedindo que o usuário lance mão da assistência de sites anti-vírus. O vírus também pode se conectar a um dispositivo específico de um servidor de transmissão da internet, o que pode dar aos hackers controle sobre os sistemas afetados, que podem ser usados para infectar outras máquinas de uma determinada rede e enfraquecer sua performance.

Os usuários devem passar os antivírus em suas máquinas. Para quem não possui um antivírus atualizado, a Trend Micro disponibiliza um rastreador gratuito na página www.trendmicro.com/br, clicando em HouseCall.

O rbot.cbq faz uma cópia de si mesmo na pasta Windows com o nome de WINTBP.EXE, e também se aproveita de uma vulnerabilidade do Microsoft Windows Plug and Play para se propagar através da rede e envia a mensagem abaixo:

- {Random} :ER DL FH- {Random} :ER DL IF

Leia abaixo informações técnicas da micro Trend sobre o Zotob:

"Esta variante (Zotob) gera endereços de IP como alvo, e então verifica se a porta 445 está aberta nas máquinas. Em caso positivo, ele tenta fazer uso dessa vulnerabilidade no computador de destino. Se a tentativa de ataque falhar ou se a porta 445 estiver fechada, ele tenta um outro endereço de IP como alvo. Em uma máquina atacada, esse worm inicia um servidor de FTP, e então abre um remote shell na porta 7778 e cria um script FTP através deste."

"O Zotob.D também possui capacidades de backdoor, já que abre aleatoriamente portas e se conecta a um canal do programa IRC server, o que possibilita a um usuário remoto executar ações maliciosas na máquina infectada, incluíndo roubo de informações. Parte da capacidade deste vírus é recolher informações do sistema, como velocidade de CPU e tamanho de memória dos sistemas infectados. Além disso, como forma de anti-debugging, este worm recolhe endereços de web de RSS e os envia aleatoriamente como mensagens para os canais IRC aos quais está conectado. Ele faz isso para confundir ou enganar qualquer pessoa que esteja monitorando esse canal por comandos válidos."

"Outra característica marcante do Zotob.D é que ele termina processos de memória da máquina infectada, que possam estar relacionados a possíveis spywares e malwares presentes no computador."