McAfee alerta para quatro novos vírus

Já o Tellafriend é um cavalo de Tróia que se passa por uma mensagem de spam e se espalha por todos os e-mails registrados no catálogo de endereços do Windows e do Eudora, por meio de um servidor de SMTP. O link para a página que dispõe do instalador do Tellafriend chega via e-mail com assunto “hi, i think you need this” e corpo “Do you hate POPUPS ?? well i just installed this free Zero POPUP toolbar on my browser, it kills ALL popup ads and best of all it’s FREE ! Download it from here http://www.zeropopup.com (its a 10 seconds download with a 56k modem)I hope you’ll like it alot, it also has good rating on CNET download.com Bye :)”.

O controle ActiveX inserido na página é carregado na inicialização do sistema, resultando em uma mensagem. Caso o usuário clique em Yes, a instalação é executada e os seguintes arquivos são extraídos para o disco: tellafriend.exe (arquivo do cavalo de Tróia), zeropopup.inf (instalador), zeropopupbar.dll (aplicação não desejada, projetada para prevenir popups durante a navegação pela Internet).

Por sua vez, o W32/Proget.worm cria milhares de arquivos de 10 bytes no sistema local usando 8 caracteres aleatórios seguidos da extensão aaa, fazendo com que o disco fique cheio. Ao ser executado, o vírus se copia para o diretório Systems do Windows com o mesmo nome e cria a seguinte chave, carregada na incialização da máquina: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “%FileName%” = %WormPath%.

Por fim, o IRC/Yonk é mais um cavalo de Tróia que se conecta a servidores IRC por meio da porta 6667 e possui a função de backdoor para verificar os dados que trafegam nas portas 1-65535. A ameaça mostra inúmeras telas ao usuário, tais como ?You ?re infected with the xxxxhead virus.

Todas as ameaças descritas foram consideradas de baixo risco pela McAfee devido ao número pequeno de reportes no Brasil e no mundo.