Novo vírus Cavalo de Tróia ataca usuários do AOL Instant Messenger

Arquivado em: Arquivo-CdB
Publicado domingo, 30 de março de 2003 as 18:55, por: cdb

A McAfee Security está alertando para o aparecimento de uma nova ameaça aos usuários do programa de mensagem instantânea AOL Instant Messenger (AIM), o AIM-Canbot.
Ainda de origem desconhecida, a ameaça do tipo cavalo de Tróia se conecta ao chat do AIM e, a partir daí, passa a aceitar comandos de ataques remotos, usando um ícone tipicamente associado ao próprio AIM.

Assim que é executada, a ameaça cria o arquivo System.ini na raiz do sistema (C:\). Um novo nome de usuário é gerado, começando com “aimb0t” e seguido de oito caracteres aleatórios. Esse nome, juntamente com a senha codificada, é escrito no arquivo INI e usado pelo cavalo de Tróia para se conectar à uma seção de chat.

Com estes dados, o cavalo de Tróia cria uma nova conta e se conecta à seção de bate-papo, enviando a mensagem “aimb0t reporting for duty…”. Essa mensagem serve para informar ao invasor que o sistema infectado está online.

Uma chave de registro é criada para que o AIM-Canbot tenha seus códigos carregados na inicialização do sistema: KEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run “Startup” = %TrojanPath%

Uma vez invadindo a máquina, o hacker pode executar funções na máquina da vítima como: capturar o endereço IP da vítima, bem como o nome da máquina e o servidor DNS configurado; instruir o download e execução de arquivos; e alterar os sons de alerta para on e off .

No momento, o AIM-Canbot é considerado de baixo risco devido ao pequeno número de casos registrados.