Falso antivírus remove o Sircam mas destrói arquivos dos usuários

Arquivado em: Arquivo-CdB
Publicado terça-feira, 28 de agosto de 2001 as 16:57, por: cdb

Pragas virtuais que tentam iludir as possíveis vítimas com promessas de programas antivírus não são novidade. Porém, o Troj_Allgro.A, conhecido como W32/Atirus@MM traz essa ameaça de forma bastante séria e concreta. O vírus, para convencer o usuário, chega inclusive a remover outros vírus do micro (caso ele esteja infectado), como o SirCam (que contaminou milhares de PCs), Badtrans e Pretty.Worm.
O invasor chega por e-mail e vem com a seguinte mensagem:

Assunto: New antivirus tool
Corpo da mensagem: Hey, checkout this new antivirus tool which checks your system for viruses.
Arquivo anexado: Antivirus.exe

Ao clicar no falso programa antivírus, o usuário instala o programa nocivo, que copia o arquivo setup30.exe no diretório do Windows e cria a chave de registro HKLM\Software\Microsoft\Windows\CurrentVersion\ Run\Kernel Setup=C:\WIINDOWS\SYSTEM\SETUP30.EXE para que ele seja executado toda vez que o sistema é ligado. Além disso, o vírus apaga arquivos com extensão .vbs (Visual Basic Script) e alguns arquivos do IRC (canal de chat), passando a enviar mensagens contaminadas para os endereços existentes no Address Book do Outlook.

Para encerrar a tragédia, ele fica ativo no computador da vítima, desempenhando funções de um antivírus (chega a exibir uma caixa dizendo que o sistema está protegido pelo I-Worm.Antivirus). Segundo a Central Command, uma das empresas que identificaram a ameaça, no domingo, por exemplo, ele apaga o vírus Badtrans. Na segunda, altera arquivos utilizados por alguns vírus. Terça, livra o sistema do Pretty, quinta remove o Sircam…

Até o momento, por não ter identificado em larga escala, o vírus é classificado como uma ameaça de baixo risco por várias empresas de segurança como a McAfee, a Trend Micro e a Central Command, já que versões atualizadas de antivírus podem identificar o invasor ou então simplesmente não clicar no arquivo anexado para não infectar o micro.