Um novo worm de e-mail está se espalhando rapidamente na Internet, obstruindo servidores de e-mail e realizando um ataque ao site do fornecedor de Unix The SCO Group Inc., disseram fornecedores de software antivírus.
O worm surgiu na segunda-feira e recebeu vários nomes de fornecedores de software antivírus, incluindo Mydoom, Novarg e Mimail. R. Nem todos os especialistas concordam com a carga útil do worm, mas concordam que ele está se espalhando mais rápido que o Sobig-F, o worm que liderou as paradas como o worm de e-mail mais difundido no ano passado.
“Tem se movido muito rapidamente nas últimas três horas e tem gerado muitos e-mails”, disse. Vincent Gullotto, vice-presidente da equipe de resposta a emergências antivírus da Network Associates Inc., disse na segunda-feira tarde. Algumas empresas fecharam seus gateways de e-mail para bloquear o worm, disse ele.
Este worm decolou como um foguete, com mais de 20.000 interceptações em apenas duas horas após ser descoberta, disse Ken Dunham, diretor de código malicioso da empresa de segurança da Internet iDefense Inc., em um comunicado via email.
O worm chega como um e-mail com um anexo que pode ter vários nomes e extensões, incluindo .exe, .scr, .zip ou .pif. O e-mail pode ter uma variedade de linhas de assunto e textos de corpo, mas em muitos casos parecerá ser um relatório de erro informando que o corpo da mensagem não pode ser exibido e, em vez disso, foi anexado a um arquivo, especialistas disse.
“Isso é algo que você pode ver em um sistema de e-mail, então clique no anexo”, disse Sharon Ruckman, diretora sênior da Symantec Corp. Resposta de Segurança.
Tanto a Network Associates quanto a Symantec concordam que quando o arquivo anexado é executado em Windows sistemas, o worm verifica o sistema em busca de endereços de e-mail e começa a se encaminhar para aqueles endereços. Se a vítima tiver uma cópia do aplicativo de compartilhamento de arquivos Kazaa instalado, ele também colocará vários arquivos na pasta de arquivos compartilhados na tentativa de se espalhar dessa maneira.
A Symantec também identificou mais atos maliciosos. O worm instalará um “key logger” que pode capturar qualquer coisa digitada, incluindo senhas e números de cartão de crédito, disse Ruckman. Além disso, o worm começará a enviar solicitações de dados para www.sco.com, o site do The SCO Group, o que pode resultar na queda do site se forem enviadas solicitações suficientes, disse ela.
A SCO notou que o desempenho de seu site diminuiu intermitentemente, mas é muito cedo para dizer se houve um ataque ao site, disse o porta-voz da SCO, Blake Stowell. “Pode estar mostrando os estágios iniciais de um ataque do DOS”, disse ele. A SCO enfureceu a comunidade de código aberto alegando que o sistema operacional Linux contém software que viola a propriedade intelectual da SCO, e tem sido alvo de vários ataques à sua Local na rede Internet.
Os fornecedores de software antivírus recomendam que os usuários atualizem seu software antivírus e tenham cuidado ao abrir anexos de e-mail. “Se você não está esperando um e-mail, não o abra”, disse Ruckman, da Symantec.
Gullotto, da Network Associates, espera que o worm continue causando dores de cabeça por um tempo. “Levará alguns dias até chegarmos ao ponto em que não haverá nenhum impacto. Ele está a todo vapor, existem centenas de milhares de e-mails e podemos ver milhões (de e-mails) e possivelmente centenas de milhares de máquinas infectadas”, disse ele.