O worm Nyxem.E, também chamado de Blackworm, tem se espalhado de forma preocupante desde o dia 20/1. O que diferencia esse de outros worms é a presença de uma rotina de destruição, que será ativada pela primeira vez no dia 03/2. Ao ser ativada, a rotina inutiliza arquivos ZIP, RAR, documentos do Word, apresentações do PowerPoint, planilhas do Excel, entre outros.

A primeira versão do worm foi encontrada em março de 2004. Ela foi chamada de Nyxem.A devido a presença de um código malicioso para lançar um ataque de negação de serviço para derrubar o site do New York Mercantile Exchange — NYMEX. O Nyxem.E não carrega mais o código para lançar o ataque de negação de serviço.

O worm, que se espalha via e-mail e compartilhamentos inseguros, é conhecido por vários nomes, entre eles Kama Sutra, Blackworm, Blackmal, Nyxem, Grew, MyWife e Kapser. O Common Malware Enumeration criou o CME-24 para relacionar todos os nomes do worm e facilitar a localização de informações. Você pode saber mais sobre como identificar os e-mails maliciosos enviados pela praga no primeiro alerta publicado aqui na Linha Defensiva.

Worms como esse dificilmente possuem um grande impacto no Brasil. Em um mapa divulgado pela empresa de segurança finlandesa F-Secure, o Brasil possui poucos computadores infectados, enquanto países da América do Norte e da Europa, principalmente Estados Unidos e Inglaterra, possuem milhares de sistemas comprometidos.

Mapa mostrando infecções do Nyxem.E

A F-Secure também afirma que já recebeu relatos tratando de danos causados pelo worm. Isso se deve ao fato que o worm se baseia no relógio do computador para ativar o código malicioso, então os sistemas que estiverem com a data adiantada ativarão o worm antes da data prevista.

Quando o Nyxem.E é ativado ele inutiliza todos os arquivos com extensão DOC/XLS/PPT/ZIP/RAR/PDF/MDB. Isto será feito em todas unidades que posssuam uma letra associada (C: D:, etc), ou seja, unidades de memória USB conectadas no computador também estão vulneráveis. Em testes da F-Secure, o worm não conseguiu destruir os arquivos em unidades da rede.

Como o worm não apaga nenhum arquivo e só remove o conteúdo dos mesmos, sistemas de backup automático poderão fazer backup dos arquivos corrompidos antes que que o problema possa ser notado, inutilizando também o backup.

Se você tem dúvidas e acha que pode estar infectado com o Nyxem, faça o download da ferramenta de remoção da F-Secure para ter certeza. Assim você não corre o risco de levar um susto ao ver que seus arquivos perderam todos os seus dados.

Os sistemas infectados que por algum motivo não forem desinfectados terão seus arquivos destruídos novamente no dia 3 de março, já que o worm foi programado para ativar a rotina de destruição todo o dia 3.

Anúncios

Escrito por Dohko

13 comentários

  1. Eu entrei no site e baixei o programa de remoção, mais qndo eu vou remover, ele diz q deu erro, e como ñ sei ler ingles, ñ sei o q fazer!!
    Isso qr dizer q eu ñ tenho o Virus?

    Curtir

  2. Enquanto lia este artigo, aproveitei pra ver tbm o a McAfee dizia sobre o alerta do virus. Pasmem…. o site estava fora do ar … quando se tentava acessar qualquer pagina do site recebia esta mensagem … “McAfee is currently performing scheduled system maintenance. This maintenance effort will take a few hours. Please try again later. We apologize for the inconvenience.” …. Hummm Manutenção???? me engana q eu gosto… o bicho ta pegando….

    Curtir

  3. Tiago

    Você precisa postar a mensagem de erro aqui para que possamos traduzí-la.

    Laerson

    Acredito que não seja o caso, mas com certeza é uma má hora, por parte da McAfee, para fazer manutenção. Afinal, os estragos já devem ter começado e as pessoas vão querer procurar informações.

    Curtir

  4. Pedro Overbeck 03/02/2006 às 06:32

    Tiago…

    Você baixou o arquivo da ferramenta e tamb´pem baixou o arquivo Latest.zip? Só funciona se baixar os dois e colocálos na mesma pasta.

    Curtir

  5. Fernando Colares 03/02/2006 às 08:42

    Tiago,

    Eu vi essa mensagem, e eu acredito q falta vc fazer o download tbm do arquivo latest.zip q está na página do download do removedor da F-secure.

    Baixe ele tbm e rode.
    Um bom dia

    Curtir

  6. marlos araujo 03/02/2006 às 09:02

    acredito que todos esses viros sao criados para ganhar dinheiro pois todos sabemos que teremos que reformatar, compra, solicitar um tecnico.
    agora imagine quem ganha com isso, pensse que e o homem mais rico do mundo.isso tudo tem interesse financeiro.

    Curtir

  7. Marcelo Saad 03/02/2006 às 09:04

    Vocês devem baixar o f-force.zip e o latest.zip

    Primeiro descompacte o f-force.zip para alguma pasta, e depois apenas coloquem o latest.zip nessa mesma pasta. O latest.zip NÃO deve ser descompactado.

    Depois disso basta executar o f-force.exe que está nessa pasta que vocês criaram anteriormente. O resto é totalmente automático.

    Curtir

  8. muito bom o artigo, parabéns pela matéria e agradeço por informações tão importantes que muita gente não se preocupa, mas deveria, algumas pessoas não imaginam a guerra que está se travando na rede contra esses vírus em geral. continuem assim e se depender de mim vou espalhar essa informação para todas as pessoas que eu conheço e irei redirecionar as pessoas para o link de vocês.

    Curtir

  9. amorim tupy 03/02/2006 às 09:36

    Bom mesmo é ficar ligado no panda.

    Eis o linque=

    http://www.pandasoftware.com/activescan/pt/activescan_principal.htm

    Curtir

  10. Marcello Santos 03/02/2006 às 10:04

    Quais os anti vírus que já tem a vacina para esse vírus? a Uso o norton 2005 da symantec e gostaria de saber se já colocaram esse vírus na sua atualização… e quais seriam os anti vírus testados pela equipe da linha defensiva.

    Curtir

  11. então se eu não abrir nenhum e-mail com esses nomes.. meu pc não ficará infectado?

    Curtir

  12. Marcello Santos

    Worms como esse são facilmente detectados por antivírus. Se o antivírus está atualizado, ele detectará o Nyxem.

    Andrews

    Exatamente. O worm também se espalha usando compartilhamentos inseguros, mas não acredito que isso funciona pela Internet.

    Curtir

  13. Não entendi como se usa a ferramenta da f-secure para tirar o Nyxem.
    Ajudem… please!

    Curtir

Os comentários estão encerrados.