Informações sobre o worm Yamanner

Um worm de e-mail chamado Yamanner se espalhou pelos usuários do Yahoo! explorando uma falha no webmail oferecido pelo portal. A praga ganhou uma boa atenção da mídia por ser diferente: basta abrir o e-mail malicioso para que o worm entre em ação, não se fazendo necessária a execução de um anexo.

Mas o mais interessante não é isso, mas sim o que acontece quando o worm entra em ação. Ele não infecta a máquina do usuário; ao invés disso, ele utiliza comandos que instruem o próprio navegador a espalhar o e-mail malicioso para as pessoas na lista de contato do usuário que contenham “yahoo.com” ou “yahoogroups.com” no endereço. O e-mail malicioso sempre possui o termo New Graphic Site no assunto da mensagem.

Em outras palavras, quando você abre a mensagem, o worm utiliza um conjunto de comandos denominado JavaScript que controla o navegador para que ele colete os endereços de e-mail na lista de contatos e depois encaminhe a mensagem maliciosa para os mesmos endereços usando os recursos do próprio webmail do Yahoo!.

A única coisa realmente maliciosa que o worm faz é enviar todos os endereços de e-mail presentes na lista de contato do usuário para um site na Internet. Isso significa que o site é capaz de armazenar esses endereços, que poderão receber propagandas indesejadas via e-mail — spam — ou verdadeiros trojans/worms no futuro. A senha do usuário, no entanto, não é comprometida, ou seja, se você abrir o e-mail malicioso, você poderá ser alvo de e-mails indesejados no futuro, mas nada de errado aconteceu com a sua máquina.

O worm tenta abrir um site que, quando verificamos, estava fora do ar. A primeira versão do worm também falhava ao tentar abrir o site porque tinha uma vírgula no lugar de um ponto (www, ao invés de www.). Este site poderia ser malicioso e tentar instalar pragas na sua máquina, mas isso não ocorre nas versões do worm detectadas até agora.

Brian Krebs, do Washington Post, disse que o site em questão oferecia um download de um software com jogos de Cassino que é comumente divulgado via spam.

A única falha explorada pelo Yamanner estava no webmail do Yahoo!, que permitia que o JavaScript fosse inserido no e-mail. Boas práticas de segurança sugerem que todo JavaScript em e-mail deve ser removido ou ignorado. Clientes de e-mail como o Thunderbird e versões recentes do Outlook Express ignoram qualquer JavaScript, mas o webmail, para o navegador, é apenas uma página da web qualquer. Isso significa que a proteção contra JavaScripts deve partir do provedor de e-mail que, no caso, é o Yahoo!.

Se você recebeu o tal e-mail com o assunto “New Graphic Site”, remova-o. Se você o abriu, não precisa se preocupar: sua máquina não está infectada com nenhum trojan, vírus ou worm. Basta remover o e-mail para evitar qualquer nova execução acidental. O Yahoo! já consertou a falha, o que significa que, de qualquer forma, os e-mails maliciosos foram inutilizados.

Se o seu antivírus detectar cópias do worm na sua máquina, saiba que elas são apenas resultado de cópias temporárias feitas pelo seu navegador. Não é uma infecção, pois, como foi explicado antes, o worm roda quando você abre o e-mail e não é capaz de se instalar na sua máquina. Basta limpar os arquivos temporários, o cache do navegador, caso o problema ocorra.