Mais um vírus para o KaZaA

04/02/2003

Os hackers não estão interessados em atingir apenas a RIAA, associação norte-americana da indústria fonográfica, que tem brigado na Justiça pelo fim dos sites de compartilhamento de arquivos.

A McAfee Security acaba de alertar para a descoberta do VBS/Sludge.worm. A ameaça tenta se espalhar via KaZaA, KaZaA Lite, Bearchare, Edonkey2000 e aplicações do Morpheus. Porém, devido a uma omissão de código, o vírus requer que o usuário seja usuário do KaZaA Lite para se propagar.

Quando executado, o script se copia para a pasta “My share folder” do KaZaA Lite, usando os seguintes nomes: 10 naked teens.jpg.vbs, 15yteenf**k.jpg.vbs, Ad-Aware6.tar.vbs, Anton – Schwul oder was.mp3.vbs, Bin Laden’s Home.doc.vbs, Bush is crazy(and stupid).doc.vbs, Eminem – I am your father.mp3.vbs, How To Rip DVDs.txt.vbs, illegalsex.jpg.vbs, Kamasutra2003.doc.vbs, kievgirl.jpg.vbs, Young russian teens.jpg.vbs.

Em seguida, o Sludge se envia para os diretórios: %Program Files%\\bearshare\\shared, %Program Files%\\edonkey2000\\incoming, %Program Files%\\kazaa\\my shared folder, %Program Files%\\morpheus\\my shared folder.

O vírus ainda cria uma chave de registro para que seja carregado na inicialização do sistema: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Runfaststart” = “%Temp%\\_uninst12.vbs”.(segue)