O relatório desta semana do PandaLabs fornece informação sobre o Harrenix.A, um trojan perigoso que se faz passar por um trailer no novo filme do Harry Potter para infectar os computadores dos utilizadores. Fornece igualmente dados sobre dois worms, o Moaphie.A e o Trixcu.A, e sobre o trojan Suarabh.A.“Há algum tempo, assistimos a um caso semelhante com o filme “Piratas das Caraíbas”. Os cibercriminosos aproveitam-se dos interesses dos utilizadores nestes filmes para os levar a abrir ficheiros que, na verdade, contêm malware,” explica Rui Lopes, Director do Departamento de Consultoria da Panda Software Portugal.
Após infectar um computador, este trojan faz o download de um dialer para o computador, detectado pelo PandaLabs como sendo o Dialer.KJD. Este dialer é concebido para ligar os utilizadores à Internet através de uma ligação mais cara do que a contratada.
O Moaphie.A é um worm que, ao infectar um computador, modifica a página inicial do Internet Explorer definida pelo utilizador para uma página com conteúdo malicioso.
Este worm recolhe dados do computador infectado, que depois envia ao autor do worm através de e-mail, utilizando um template, no qual introduz o nome do computador e o nome do utilizador que foi registado quando o computador foi infectado.
Para se propagar, o Moaphie.A copia-se para a directoria de raiz de outras unidades e para as unidades USB amovíveis. Cria igualmente um ficheiro chamado autorun.inf nessas unidades para ser executado quando uma delas é acedida.
Pode propagar-se igualmente através de serviços de mensagens instantâneas. Para tal, a cada dez milésimos de segundo, procura janelas abertas com o texto “conversation” que corresponde à versão inglesa do sistema de mensagens instantâneas MSN Messenger. Se encontrar uma janela aberta, envia um link para uma página Web, contendo uma cópia do worm para os contactos do utilizador que estiverem online nesse momento.
“Os serviços de mensagens instantâneas como o MSN Messenger, Yahoo! Messenger, AIM, etc. são cada vez mais populares nos lares e locais de trabalho. Esta popularidade tornou-os numa excelente forma de propagar malware, que assim pode alcançar mais computadores," afirma Rui Lopes.
O Moaphie.A liga-se a uma página Web, a partir da qual faz o download de um cópia de si próprio. Para evitar que seja eliminado, enquanto está a ser executado, este worm procura todas as janelas abertas que contêm linhas de texto relacionadas com várias soluções de segurança. Caso detecte uma janela aberta, o worm fecha-a.
Quando o utilizador acede, este worm exibe a seguinte mensagem de erro: Fatal Error: kernel32.dll can't be loaded.
O Moaphie.A realiza outras acções maliciosas, como inutilizar a consola de comando, na qual exibe a seguinte mensagem instantânea: THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!!
O segundo worm do relatório desta semana é o Trixcu.A. Quando este worm é executado, mostra uma mensagem de erro. Entre as acções maliciosas levadas a cabo no computador infectado, copia-se a si próprio para o sistema, modificando o Windows Registry. Uma destas modificações permite-lhe ser executado automaticamente sempre que o computador é iniciado.
Tenta ainda alterar o nome e empresa em que o sistema operativo está registado. Para se propagar, este worm copia-se para todas as unidades do computador.
O trojan Suarabh.A foi programado para capturar teclas utilizadas no teclado, permitindo-lhe furtar todo o tipo de informação confidencial introduzida pelo utilizador. Este trojan também cria um relatório sobre as aplicações em execução no computador.
O Suarabh.A modifica os atributos de todas as pastas de sistema, configurando-as como ocultas ou só de leitura. Modifica também diversas entradas no Registry. Uma destas modificações desactiva o menu que permite aos utilizadores alterarem as opções de pastas, ao passo que outras impedem-nos de utilizar o Windows Registry Editor para que não possam modificar o Registry. Ao fazê-lo, o trojan tenta proteger as alterações que realizou.
Após infectar um computador, este trojan faz o download de um dialer para o computador, detectado pelo PandaLabs como sendo o Dialer.KJD. Este dialer é concebido para ligar os utilizadores à Internet através de uma ligação mais cara do que a contratada.
O Moaphie.A é um worm que, ao infectar um computador, modifica a página inicial do Internet Explorer definida pelo utilizador para uma página com conteúdo malicioso.
Este worm recolhe dados do computador infectado, que depois envia ao autor do worm através de e-mail, utilizando um template, no qual introduz o nome do computador e o nome do utilizador que foi registado quando o computador foi infectado.
Para se propagar, o Moaphie.A copia-se para a directoria de raiz de outras unidades e para as unidades USB amovíveis. Cria igualmente um ficheiro chamado autorun.inf nessas unidades para ser executado quando uma delas é acedida.
Pode propagar-se igualmente através de serviços de mensagens instantâneas. Para tal, a cada dez milésimos de segundo, procura janelas abertas com o texto “conversation” que corresponde à versão inglesa do sistema de mensagens instantâneas MSN Messenger. Se encontrar uma janela aberta, envia um link para uma página Web, contendo uma cópia do worm para os contactos do utilizador que estiverem online nesse momento.
“Os serviços de mensagens instantâneas como o MSN Messenger, Yahoo! Messenger, AIM, etc. são cada vez mais populares nos lares e locais de trabalho. Esta popularidade tornou-os numa excelente forma de propagar malware, que assim pode alcançar mais computadores," afirma Rui Lopes.
O Moaphie.A liga-se a uma página Web, a partir da qual faz o download de um cópia de si próprio. Para evitar que seja eliminado, enquanto está a ser executado, este worm procura todas as janelas abertas que contêm linhas de texto relacionadas com várias soluções de segurança. Caso detecte uma janela aberta, o worm fecha-a.
Quando o utilizador acede, este worm exibe a seguinte mensagem de erro: Fatal Error: kernel32.dll can't be loaded.
O Moaphie.A realiza outras acções maliciosas, como inutilizar a consola de comando, na qual exibe a seguinte mensagem instantânea: THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!!
O segundo worm do relatório desta semana é o Trixcu.A. Quando este worm é executado, mostra uma mensagem de erro. Entre as acções maliciosas levadas a cabo no computador infectado, copia-se a si próprio para o sistema, modificando o Windows Registry. Uma destas modificações permite-lhe ser executado automaticamente sempre que o computador é iniciado.
Tenta ainda alterar o nome e empresa em que o sistema operativo está registado. Para se propagar, este worm copia-se para todas as unidades do computador.
O trojan Suarabh.A foi programado para capturar teclas utilizadas no teclado, permitindo-lhe furtar todo o tipo de informação confidencial introduzida pelo utilizador. Este trojan também cria um relatório sobre as aplicações em execução no computador.
O Suarabh.A modifica os atributos de todas as pastas de sistema, configurando-as como ocultas ou só de leitura. Modifica também diversas entradas no Registry. Uma destas modificações desactiva o menu que permite aos utilizadores alterarem as opções de pastas, ao passo que outras impedem-nos de utilizar o Windows Registry Editor para que não possam modificar o Registry. Ao fazê-lo, o trojan tenta proteger as alterações que realizou.
