NOTÍCIAS 2002

Klez devolve as mensagens ao remetente

Com os nomes W32/Klez.e@MM (pela produtora de antivírus estadunidense McAfee), I-Worm/Klez.E (AVP), W32.Klez.E@mm (Symantec), W32/Klez.F (Panda), Win32.HLLM.Klez.1 (DrWeb), Worm/Klez.E (H+BEDV) e WORM_KLEZ.E (Trend), vem crescendo a ameaça de mais um verme (vírus de rede): descoberto em 17/1/2002, foi reclassificado como de risco médio pelo laboratório Avert da McAfee, menos de dois meses depois, devido ao aumento no número de casos reportados. A empresa tem uma página em seu banco de dados para descrever esse verme.

Segundo a McAfee, esta variante do W32/Klez tem a habilidade de preencher o campo [de] ([from]), usando algum endereço de correio eletrônico encontrado no sistema de computação infectado do próprio usuário. Assim, parece que o usuário está recebendo o vírus de alguém, mas se o programa de correio for configurado para mostrar o cabeçalho inteiro, pode-se verificar o verdadeiro endereço do remetente.

O verme usa uma vulnerabilidade do programa Internet Explorer5.01 ou 5.5 sem pacote de serviço SP2 que permite o incorreto uso do cabeçalho MIME da mensagem para executar arquivos vinculados a essa mensagem. Ele chega ao computador do usuário em uma mensagem eletrônica com os campos de assunto e corpo montados de forma aleatória a partir de uma longa série de trechos de texto que o vírus leva consigo. Algumas delas são:

"Hi, Hello, Re: Fw: Undeliverable mail-- Returned mail-- game a tool a website new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez how are you let's be friends darling don't drink too much your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice question naire congratulations sos! japanese girl VS playboy look, my beautiful girlfriend eager to see you spice girls' vocal concert japanese lass' sexy pictures Symantec Mcafee F-Secure Sophos The following mail can't be sent to The attachment The file is the original mail give you the is a dangerous virus that can infect on Win98/Me/2000/XP. spread through email. very special For more information,please visit This is I you would it. enjoy like wish hope expect Christmas New year Saint Valentine's Day Allhallowmas April Fools' Day Lady Day Assumption Candlemas All Souls'Day Epiphany Happy Have a"

Assim, ele forma campos de Assunto (Subject) como estes (há outros exemplos, mas estes são mais comuns):

O vírus também pode emitir mensagens com o campo Assunto e/ou o corpo da mensagem em branco, além de remover vários programas antivírus da memória. Observe-se que certas mensagens darão a impressão de terem sido remetidas de volta ao computador do emitente, como se tivessem sido automaticamente rejeitadas pelo destinatário de alguma mensagem enviada (na verdade, nem a mensagem foi enviada, nem está chegando uma resposta de alguém rejeitando-a).

O verme também causa sensível degradação da performance do sistema, o que pode fazer alguns programas pararem de funcionar. No computador infectado, interfere com os programas em uso e freqüentemente exibe uma falsa mensagem de erro, em que o nome do programa citado varia, sempre terminando em ".EXE":

O verme inclui arquivos WINKxxx.EXE na pasta \WINDOWS\SYSTEM folder (ex., WINKIDT.EXE or WINKKR.EXE). O registro do Windows também apresenta referências a um arquivo de nome variável WINKxxx.EXE nas chaves

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ou
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Outro sintoma é a presença de arquivos executáveis emparelhados, com o mesmo tamanho e nome e extensão variável: junto com o MSOFFICE.EXE pode ser encontrado o arquivo MSOFFICE.HRH na forma de um arquivo de sistema com atributo de invisível. E, ao mesmo tempo que se roda um arquivo infectado, além do arquivo temporário surge um terceiro arquivo com os sinais "~1" no nome: por exemplo, ao se rodar NETSCAPE.EXE, surge não apenas o arquivo temporário NETSCAPE.PXB mas também o arquivo NETSCA~1.EXE com exatamente o mesmo tamanho do NETSCAPE.EXE. Esse terceiro arquivo com os sinais "~1"  é um hospedeiro reconstruído e é apagado pelo verme quando o programa é encerrado.

Infecção - Quando a mensagem infectada é aberta, o verme imediatamente se ativa usando a vulnerabilidade encontrada no Internet Explorer (citada acima). Mesmo a visualização prévia da mensagem pode ativar o verme, se a vulnerabilidade não tiver sido corrigida. O verme se auto-copia para o diretório WINDOWS\SYSTEM com o nome [WINKxxx.EXE] (xxx indica os caracteres escolhidos aleatoriamente). O diretório (pasta do Windows) pode ser outro, se o computador não seguir a instalação sugerida como padrão. Esse arquivo é preparado para rodar toda vez que o sistema é iniciado.

O W32/Klez.e@MM é baseado no W32/Klez.gen@MM, mas, ao contrário dos antecessores, pode infectar infectar arquivos automaticamente, sobreescrevendo arquivos com séries de zeros para manter o tamanho original. O verme salva o conteúdo original dos arquivos infectados em arquivos com o mesmo nome do original e extensão aleatória, com os atributos de Invisível e Arquivo de Sistema (para ver tais arquivos, é necessário que o usuário mude as opções [Exibir/Opções de pasta] - ou, em inglês, [View/Folder Options], selecionando [Mostrar todos os arquivos] ou [Show all files].

Quando se roda arquivos infectados, o verme reconstrói o arquivo básico usando os dados salvos nos arquivos escondidos. Os arquivos reconstruídos têm os signos "~1" incluídos no mome (por exemplo, o infectado MSOFFICE.EXE passa a ser acompanhado pelo não infectado MSOFFI~1.EXE, que é apagado pelo verme tão logo o programa deixe de funcionar). O verme se emite ainda a outros computadores usando o protocolo SMTP, com endereços obtidos no arquivo de correio eletrônico.

A McAfee suspeita que o verme também seja ativado pela data do sistema: no sexto dia dos meses de março, maio, setembro ou novembro, pode sobreescrever com séries de zeros os arquivos locais ou de rede contendo as extensões .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, ou .mp3. Nos meses de janeiro ou julho, todos os arquivos podem ser sobrescritos (esse comportamento não foi observado nos testes de laboratório, entretanto).

Para remover o verme do sistema, a McAfee recomenda usar as mais recentes versões dos programas antivírus, e substituir os arquivos não limpos pelos antivírus com as versões originais desses programas. Com o detalhe: o sistema operacional Windows ME tem um sistema de cópia de segurança que precisa ser desativado antes de se usar o programa antivírus, pois tal sistema cria uma área inacessível pelos antivírus, na qual o verme pode se alojar, voltando a infectar o sistema quando este é restabelecido.