Vírus MyDoom se espalha pela Web; veja como se livrar da
pragaDa RedaçãoEm
São PauloUm novo vírus conhecido como MyDoom (ou Novarg ou Shimgapi)
vem se espalhando rapidamente pela Internet via e-mail e pode ser tão
catastrófico quando o BugBear e o Sobig, dois vírus causadores de infecções
históricas. Em apenas algumas horas, milhares de equipamentos em países
distintos foram infectados.Segundo a empresa de antivírus MessageLabs,
1 em cada 12 e-mails circulando pela Web carregam o vírus. A empresa já barrou
mais de 577 mil e-mails infectados com o MyDoom, em 168 países. Os Estados
Unidos são o país mais afetado, com cerca de 60% dos ataques.O
objetivo fundamental do Mydoom.A.worm é causar colapsos nos sistemas de
informática empresariais, impedindo os usuários de trabalharem com o
computador. O vírus utiliza uma técnica de engenharia social, capaz de enganar
todo tipo de usuário, mas principalmente administradores de rede, visto que
contém mensagens técnicas referentes a um erro no servidor do correio
eletrônico ou uma falha na transação. As companhias infectadas ficam
paralisadas. Ao reenviar-se automaticamente aos contatos de e-mail encontrados
no computador infectado, o Mydoom.A causa um grande tráfego na rede. O
novo worm não tira vantagem de nenhuma falha ou vulnerabilidade de software, e
foi projetado para convencer os destinatários de um e-mail a abrir um arquivo
anexo e executar os programas nele contidos. O MyDoom chega em
mensagens com um arquivo de extensão exe, .scr, .zip ou .pif, e pode conter na
linha de assunto as palavras "status" ou "test". Ele ataca somente
computadores que usam o sistema operacional Windows.O MyDoom também se
envia aos endereços de e-mail arquivados no PC do destinatário, e está
congestionando os servidores de e-mail das redes nas empresas.O vírus
também abre a porta TCP 3127 da máquina infectada, permitindo que um hacker
obtenha o controle do equipamento, podendo até mesmo roubar, manipular ou
destruir todo tipo de informações. Além disso, ele está preparado para lançar
um ataque de negação de serviço (DoS) ao site www.sco.com, no próximo dia 1º
de fevereiro.Saiba mais sobre o vírus:Nome:
MyDoom, Novarg ou ShimgapiAssunto: (Aleatório)Corpo da
Mensagem: (Pode variar) A mensagem não pode ser representada em código
7-bit ASCII e está sendo enviada em binário (anexo). Anexo:
(variado - chega em um arquivo .ZIP com o tamanho de 22,528 bytes)O
ícone usado pelo anexo faz com que o mesmo pareça ser um arquivo texto. Quando
esse é executado, ele se copia para o sistema local com os seguintes
nomes:C:\Program Files\KaZaA\My Shared
Folder\activation_crack.scrC:\WINDOWS\Desktop\Document.scrC:\WINDOWS\SYSTEM\taskmon.exeO
Mydoom também usa uma DLL que cria o seguinte arquivo no diretório System do
Windows:c:\WINDOWS\SYSTEM\shimgapi.dll (4,096 bytes)Finalmente
ele cria a seguinte chave de registro para que tenha seus códigos carregados
na inicialização da
máquina:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_CurrentVersion\Run
"TaskMon" = %SysDir%\taskmon.exeO Mydoom também pode se propagar via
diretório compartilhado do KaZaa.As principais fabricantes de
antivírus já possuem vacinas para o novo vírus. Para se proteger, basta
atualizar seu antivírus via Internet.Até o momento, a Panda Software é
a única empresa com uma ferramenta de remoção automática do MyDoom (www.pandasoftware.com/download/utilities)Caso
você tenha sido infectado e seu antivírus não consiga remover a praga, é
necessário mexer no registro do Windows. Veja como:
Clique em Iniciar e em Executar (A caixa de diálogo Executar será
exibida).
Digite regedit e clique em OK. (O Editor do Registro será aberto).
Navegue até a seguinte
chave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RuneHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
No painel direito, exclua o valor:"Taskmon"="%System%\taskmon.exe"
Navegue até a seguinte
chave:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte
chave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte
chave:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
No painel direito, modifique o valor como
abaixo:"(Default)"="%System%\webcheck.dll" Saia do Editor do
registro e reinicie o computador. Passe o antivírus novamente para se
certificar de que o micro não está mais infectado.OBSERVAÇÃO: O
Windows Me tem um sistema de backup automático das configurações do sistema.
Antes de iniciar os procedimentos de remoção do vírus, é necessário desligar o
backup
Vírus MyDoom se espalha rapidamente pela internet da Folha OnlineOs administradores de rede estão
tendo trabalho para barrar