Os três são códigos maliciosos concebidos para colocar em risco a privacidade dos utilizadores, por exemplo, ao monitorizar a sua actividade online.

Quanto aos códigos maliciosos desta semana, o PandaLabs salienta os Trojans Nabload.CHW e Maran.DJ, e os worms Ganensar.A e Mimbot.A.

O Nabload.CHW propaga-se através de e-mails alegadamente provenientes do serviço de suporte do Gmail. O texto do e-mail, em Português, tenta enganar os utilizadores e levá-los a fazer o download de uma nova ferramenta antivírus, alegando que se não o fizerem, deixarão de poder utilizar as suas contas de e-mail. Quando o utilizador clica no link de download, copia o Trojan para o seu computador.

O Nabload.CHW foi desenvolvido para fazer o download de um banker Trojan para os computadores infectados, enviando depois um e-mail ao seu criador, onde indica o nome do computador em questão. Monitoriza igualmente a actividade dos utilizadores na Internet com o objectivo de furtar as suas palavras-passe bancárias quando estes fazem o login em bancos online específicos, enviando de seguida esses dados para o seu criador.

O Trojan Maran.DJ acrescenta várias palavras-passe no Registo do Windows. Assim, é executado sempre que o sistema é iniciado e modifica os níveis LSP (Layered Service Provider, um controlador de sistema relacionado com serviços de rede) para monitorizar o tráfego de dados na Internet.

Devido às modificações realizadas, furta informações do utilizador e do sistema ao ler palavras-passe, nomes de utilizadores e outras informações confidenciais que as vítimas introduzem em sites e documentos.

O worm Ganensar.A alcança os computadores com um ícone de ficheiro do Windows Media. Cria várias cópias de si mesmo para o sistema e faz o download de vários ficheiros maliciosos.

Este worm realiza várias modificações no Registo do Windows para que seja executado sempre que a sessão é iniciada. Cria igualmente outras entradas, com o propósito de desactivar o gestor de tarefas e o editor de registo, e insere uma imagem e um texto na janela de propriedades do sistema, informando que o computador foi infectado.

Bloqueia igualmente programas com nomes específicos de janelas e desactiva a protecção de ficheiros do Windows, substituindo vários ficheiros por cópias do bloco de notas mas mantendo os seus nomes originais. Desta forma, quando um ficheiro é executado, o bloco de notas é aberto.

Finalmente, quando o botão “intro” é pressionado, é exibida uma janela que mostra uma mensagem do criador do worm.

O Mimbot.A foi concebido com o propósito de encerrar as janelas do MSN Messenger enquanto envia aos contactos mensagens para que aceitem um ficheiro infectado com uma cópia do worm.

Utiliza várias frases em diferentes idiomas para criar as mensagens, por exemplo: “Debo utilizar este cuadro en msn?”; “Was denken Sie an diese?“; “que pensez-vous” ou “check it out, i shaved my head :|”.