A Computer Associates está anunciando o aparecimento de um n
O anexo contém um arquivo chamado “ants3set.exe” e o corpo da mensagem é: “Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen” (Em anexo você encontrará a nova versão 3.0 do ANTS, o único aplicativo gratuito de busca de cavalos de tróia. Para instalar ANTS, simplesmente execute o arquivo setup anexo).
Quando o arquivo “ants3set.exe” é executado, o vírus começa a gravar cópias dele mesmo nos diretórios do Windows com nomes genéricos, criando uma chave de registro randômica similar à: HKCUSoftwareMicrosoftWindowsCurrentVersionRunoncebgOPbnC e muda a configuração para C:WINDOWSbgOPbnC.exe. Mais uma vez, o nome do arquivo é gerado de modo randômico.
A desenvolvedora de antivírus afirma que existem três variantes do Win32/Anset com diferenças mínimas entre elas, que são: Win32/Anset.A.Worm, Win32/Anset.B.Worm e Win32/Anset.C.Worm. Para efetuar a detecção delas a CA indica solução eTrust InoculateIT.
Mas a empresa também destaca outro worm, que lança cópia de si mesmo no diretório de sistemas e configura a chave de registro para executar no startup do Windows. O Win32/Km132, vírus que gera alto volume de distribuição de mensagem, pois se espalha utilizando SMP e a pasta compartilhada da máquina. Os e-mails contaminados chegam com assuntos e arquivos anexos variados, gerados aleatoriamente. “How are you?”, “Can you help me?”, “Never kiss a stranger” e “Free XXX Pictures” são exemplos de subjects de mensagens contaminadas.
No corpo da mensagem vem a seguinte frase “I’m sorry to do so, but it’s helpless to say sorry. I want a good job, I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? No more than US$ 5,500. What do you think of this fact? Don’t call my names, I have no hostility. Can you help me?”. A CA destaca a existência de duas variantes do worm, sendo que cada uma possui uma pequena diferença dos endereços enviados. A versão de assinatura do InoculateIT 4.5x e 6.0 da desenvolvedora possuem detecção para as duas variantes e os vírus polifórmicos lançados: Win32/Wqk.A (W95/Elkern.cav), Win32/Krn132.Worm e Win32/Krn132.B.Worm.
