De origem desconhecida, o BAT/Bwg.b@MM chega em uma mensagem de e-mail como um anexo denominado WorldCup.BAT, e será enviado para todos os endereços encontrados no Outlook address book, contendo o seguinte formato:
Subject: WorldCup News!
Body: read me for more world cup news!
Attachment: WorldCup.BAT
Quando o anexo é executado, o vírus pode lançar no sistema os seguintes
arquivos:
* Argentina.Bat
* world_cup_.bat
* germany.bat
* china.bat
* WorldCup.Bat
* worldcup_score.vbs
* eyeball.reg
* japan.vbs
* england.vbs
* brazil.vbs
* costarica.bat
Obs: Alguns desses arquivos podem ser deletados pelo próprio worm.
O BAT/Bwg.b@MM cria o arquivo “worldcup_score.vbs”, que tem como função enviar o worm para outros destinatários. Após essa operação o arquivo é deletado. A pasta C:\ThisIsOnlyASimpleWorm é criada e uma cópia do vírus é copiada para dentro dessa, com o nome de WorldCup.BAT.
Já, o arquivo “eyeball.reg” criado, tem o objetivo de editar chaves de
registro. É então, adicionada a seguinte chave contendo a chamada do vírus:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
“cqlyg”=windows directory\world_cup_.bat
OU
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, “eifxi”=
windows directory\china.bat
A partir daí, todos os arquivos .REG serão sobrescritos para que tenham também editada, em suas estruturas, a chave mostrada acima, enquanto que todos os arquivos .VBS serão sobrescritos para executar o arquivo “germany.bat” a partir do diretório Windows. O vírus irá também sobrescrever os arquivos .BAT com seu próprio código viral, incluindo o AUTOEXEC.BAT.
Finalmente, os seguintes arquivos de softwares antivirus poderão ser deletados:
* C:\progra~1\norton~1\*.exe
* C:\progra~1\trojan~1\tc.exe
* C:\progra\norton~1\s32integ.dll
* C:\progra\f-prot95\fpwm32.dll
* C:\progra \mcafee\scan.dat
* C:\progra\tbav\tbav.dat
* C:\progra\avpersonal\antivir.vdf
* C:\tbavw95\tbscan.sig
———————
O W32/Fishlet@MM é um mass-mailing worm de multi-componentes escrito em Visual Basic 6.0. O worm contém seu próprio mecanismo SMTP e tenta se auto-enviar para os endereços de e-mail extraídos do Windows Address Book, da lista de contatos do Outlook e de arquivos temporários da Internet.
Os formatos de mensagens utilizados pelo Fishlet são os seguintes:
Subject: Vários, incluindo: ‘Advice Note’, ‘Order Report’, ‘Order’
From: Várias possibilidades, incluindo:
‘Online Marketplace’ (orderrobot@ebay.com), ou
‘eMarket Services’ (mailrobot@ebayservice.com)
Attachment: nome aleatório (——.EXE), 57,444 bytes (se não estiver
corrompido)
Body: Dear eBay customer,
Thank you for using eBay services.
__________________________
(O corpo da mensagem continua com detalhes de um Pentium 4 PC, solicitando o usuário a executar o arquivo ‘Secure Transfer Plugin’ (que é o próprio worm) para proceder com sua tarefa.)
Uma vez executado o anexo na máquina da vítima, os endereços de e-mail encontrados são escritos para o arquivo %WINDIR%\FISHLET.BIN (onde %WINDIR% é o diretório de instalação do Windows). Esse arquivo é posteriormente deletado. Adicionalmente, os seguintes arquivos são lançados no sistema:
* %WINDIR%\SSH261.EXE (57,344 bytes) – cópia do worm
* %WINDIR%\CCFP.EXE (20,480 bytes)
* %WINDIR%\SNDVX.EXE (40,960 bytes)
O worm adiciona várias chaves de registro para armazenar configurações e se auto-executar na inicialização do sistema. Essas chaves podem ser notadas como:
* \Run “SndVX” = C:\WINDOWS\SNDVX.EXE
* \Virus Protection\6.0 “Cache Protect”
* \Virus Protection\6.0 “Created”
* \Virus Protection\6.0 “DefAddress”
* \Virus Protection\6.0 “DefSMTPServer”
* \Virus Protection\6.0 “InstallDate”
Adicionalmente, duas imagens (.GIF) e um arquivo HTML são “jogados” no sistema, para dentro do diretório temporário. A página HTML mostra um formulário para obter informações de cartões de crédito do usuário, e o envia para um endereço remoto, o qual não está mais disponível.
O worm também tenta se espalhar via rede procurando por caminhos de diretórios que levem à pasta “Startup” de máquinas remotas. Dessa forma, ele se auto-copia para essas pastas como AVSHIELD.EXE.
A McAfee Security considera os vírus BAT/Bwg.b@MM e W32/Fishlet@MM de Baixo Risco devido ao pequeno número de reportes recebidos no Brasil e no mundo. A McAfee Security recomenda que os produtos antivírus sejam atualizados semanalmente, além de estar configurados para proteção em arquivos compactados (Compressed Files).
McAfee http://www.networkassociates.com.br
http://www.nai.com
