Uma nova praga está se espalhando por MSN. A grande diferença entre essa e muitas outras que já utilizaram o comunicador instantâneo é que os responsáveis pela praga estão relacionados com empresas de adware, possivelmente afiliados que querem ganhar dinheiro instalando essas pragas no computador do usuário.

Ao clicar no link que você recebe no MSN Messenger, uma página com um exploit para o Internet Explorer é aberta. Ela se encarrega de baixar e instalar programas como o 180search Assistant, Bulls Eye Network (bargains.exe), Elitebar e outros. Versões mais recentes da praga também utilizam arquivos .com para infectar o usuário.

O Aurora, adware da Direct-Revenue que já apareceu em downloads de BitTorrent, também é instalado por esse novo worm que usa o MSN.

Mensagem enviada pelo worm

As mensagens variam muito, pois existem diversas variantes atualmente na ativa. A mais comum delas é:

here see this video of you and me

Seguido desta frase, é enviado um link aparentemente seguro, geralmente terminado em .php. Este link irá se encarregar de instalar uma variante do SdBot (que por sua vez é muito parecida com o Agobot) e um arquivo chamado poker3.exe. Também foram encontrados casos onde o arquivo se chamava windir32.exe.

Outras mensagens enviadas:

omg.. [link infectado]

and if the link dont work try: [link infectado]

Outros links — que não acompanham qualquer mensagem — incluem o endereço de e-mail na sua conta. Esse endereço será enviado para os criadores do worm para que eles possam enviar SPAM. Se você receber um link que possui um endereço de e-mail no meio da URL, é recomendado que você não clique no link.

Também é recomendado a atualização do Windows, que pode ser feita através do Windows Update, para que as falhas exploradas pelos exploits usados pelo worm não funcionem e a infecção falhe.

Compartilhar |  Imprimir

10 comentários | Alertas