McAfee alerta para novo vírus que ataca por e-mail

27/11/2002A McAfee Security, unidade de produtos de segurança da Network Associates (NAI), emitiu um alerta comunicando a descoberta de um vírus de computador que se propaga em massa via mensagens de e-mail. Denominada W32/GOP.jMM, a praga virtual chega como um arquivo anexo de dupla extensão. O vírus utiliza uma imagem do Bart Simpson com ícone.

O assunto e o corpo da mensagem podem variar. Já foram descobertas variantes contendo informações em chinês e em inglês. O cabeçalho da mensagem explora a vulnerabilidade MIME do Internet Explorer, fazendo com que o anexo seja executado automaticamente, apenas com a visualização da mensagem pelo Microsoft Outlook e Outlook Express, sem a necessidade de que a pessoa clique no arquivo.

Quando executado, o vírus extrai um arquivo do sistema do remetente (arquivo .BMP, .DOC, .GIF, .JPEG, .JPG, .RTF ou .TXT), coloca-o no diretório TEMP do Windows e o carrega. O nome desse arquivo extraído compõe a primeira parte do nome do anexo.

O vírus então se copia para o diretório System do Windows como “windowsagent.exe” e cria uma chave de registro para que seja carregado na inicialização do sistema. O vírus também tenta se espalhar via compartilhamentos de rede.

A praga virtual ainda cria um componente para roubar senha do ICQ, que é salva nos diretórios do Windows e Windows\\System como “drocerrbk.sys”. Apesar disso, a McAfee classifica o W32/GOP.jMM como sendo um vírus de baixo risco devido ao pequeno número de ataques reportados até agora no Brasil e no mundo.