A equipe de resposta antivírus da McAfee elaborou uma lista com os vírus que a empresa considera as piores ameaças para o mercado brasileiro surgidas no primeiro mês de 2003. As dez pragas mais perigosas são as que seguem:

Worm que tenta se enviar via ICQ, IRC e KaZaA. Por e-mail, usa o Outlook para buscar endereços nas pastas “Itens Enviados” e “Caixa de Entrada”. Também procura endereços no Windows Address book (WAB) e dentro dos arquivos com as seguintes extensões: .DBX .EML .HTM .HTML .IDX .MBX .NCH .SHTML .TBB .WAB. O assunto do e-mail pode variar, assim como os arquivos anexos. Alguns dos arquivos são nomeados para fazer referência à cantora pop Avril Lavigne (o nome do vírus é Avril ao contrário). O Lirva tenta encerrar as sessões de vários programas de segurança como antivírus e firewalls. Tenta ainda receptar as senhas contidas na máquina infectada, armazenandos-as num arquivo temporário e enviando-as por e-mail ao autor da praga, usando seu próprio mecanismo SMTP por meio de um servidor aberto (62.118.249.10).

Escrito em liguagem Microsoft Visual C, tenta se espalhar por compartilhamentos de redes e por e-mail. Contém sua própria ferramenta de SMTP. Por e-mail, ele chega em uma mensagem com as seguintes características:

Remetente: big@boss.com

Assunto - variável, podendo ser um dos seguintes: Re: Movies; Sample; Document; Here is that sample
Anexo: 65.536 bytes, de um dos arquivos a seguir: Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif ou Sample.pif.

A mensagem é enviada aos e-mails encontrados nos arquivos com as seguintes extensões: WAB; DBX; HTM; HTML; EML; TXT. Por rede, o worm lista os compartilhamentos de arquivos, com a intenção de se copiar para uma das seguintes pastas remotas: \WINDOWS\ALL USERS\START MENU\PROGRAMS\STARTUP ou \DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP

Estas variantes do Opaserv contêm erros de configuração, por esse motivo não se propagam em sistemas Windows NT, 2000 e XP. O vírus tenta se enviar via compartilhamentos de rede copiando-se como SCRSVR.EXE para o diretório Windows das máquinas remotamente acessadas, por meio de uma chave de execução no arquivo WIN.INI que o faz ser carregado na inicialização do sistema. Quando executado na máquina da vítima, o worm tenta acessar uma página na Internet, já indisponível. Há indícios de que o worm poderia baixar atualizações desse site.

Explora a vulnerabilidade de cabeçalho MIME incorreto, que permite aos arquivos anexos ser automaticamente executados com a simples visualização de uma mensagem. Inúmeros vírus se aproveitam desse bug, dentre eles Badtrans, Nimda e Klez. O nome Exploit-MIME.gen.b é usado para detecção genérica, que abrange inúmeros vírus e cavalos de Tróia, com variadas características.

Chega por e-mail, no arquivo explore.exe, e modifica o arquivo WIN.INI de sistemas Windows 95, 98 e ME, ou modifica o registro em sistemas Windows NT, 2000 e XP. Tenta chamar aplicações de e-mail MAPI como no Outlook, MS Outlook Express e Exchange. Responde as mensagens recebidas enviando um e-mail com a seguinte mensagem: "I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs." (Recebi seu e-mail e enviarei uma resposta o quanto antes. Até lá, dê uma olhada nos documentos anexos).

O assunto da mensagem varia. O worm ("zipped_files.exe") anexo tem um ícone de winzip para enganar os menos avisados. Ao ser executado o arquivo, surge uma falsa mensagem de erro, mas o vírus já está no computador. A praga procura nos drives locais por arquivos com extensão .c, .cpp, .h, .asm, .doc, .xls, ou .ppt. Quando os encontra, são abertos e imediatamente fechados, desta vez com conteúdo de 0 byte. Aproximadamente 30 minutos após a infecção, o processo é repetido. Os arquivos afetados por essa ação são, portanto, destruídos. Para tê-los de volta deve-se apelar para um backup, pois não é possível restaurá-los.

Quando um documento do Word infectado é fechado, o vírus infecta os documentos ativos e o modelo NORMAL.DOT. Também modifica as configurações de segurança do Word. Dois arquivos são criados por esse vírus de macro: um cavalo de tróia destrutivo, e um AUTOEXEC.BAT alterado, de 112 bytes. O AUTOEXEC.BAT contém instruções para executar o cavalo de tróia C:\SETVER.EXE, apagá-lo, e depois apagar a si próprio. O cavalo de tróia sobrescreve o Master Boot Record (MBR) da máquina infectada. Isto faz com que, quando o sistema é reiniciado, o setor seja sobrescrito com zeros.

Propaga-se por e-mail utilizando SMTP. Encerra aplicações de segurança, e contém código para iniciar um ataque de negação de serviço (DoS) contra uma máquina remota. Chega como anexo de uma mensagem que pode ter diversos remetentes (todos forjados), assuntos, e textos. O nome dos anexos também varia. Alguns exemplos estão abaixo:

Remetente: admin@codeproject.com; free@sql.library.com; me@me2K.com; stone@esterplaza.com; marketing@suppersoccer.com; free@sexyscreensavers.com; sales@real.com; plus@real.com; sales@playboy.com; free@hardcorescreensavers.com; free@xxxscreensavers.com; screensavers@nomadic.com; services@tcsonline.com; admin@clubjenna.com; jenna@jennajameson.com; super@21cn.com ; cathy@21cn.com ; admin@kofonline.com; av_patch@mcafee.com; av_patch@norton.com; av_patch@trendmicro.com; entre outros.

Assunto: Are you a Soccer Fan ?; Are you beautiful; Are you the BEST; Check it out; Demo KOF 2002; Feel the fragrance of Love; Freak Out; Free Demo Game; Free rAVs Screensavers; Free Screenavers of Love; Free Win32 API source; Free XXX; I Love You..; Jenna 4 U; Learn SQL 4 Free; entre outros.

Anexos: Beautifull.scr; Body_Building.scr; Britney_Sample.scr; Codeproject.scr; Cupid.scr; FixElkern.com; FixKlez.com; FreakOut.exe; Free_Love_Screensavers.scr; Hacker.scr; Hacker_The_LoveStory.scr; Hardcore4Free.scr; I_Love_You.scr; Jenna_Jemson.scr; King_of_Figthers.exe; KOF.exe; KOF_Demo.exe; entre outros.

– Propaga-se ao se misturar a arquivos executáveis, e se envia pelo Outlook aos endereços encontrados no programa. O vírus apresenta alguns defeitos. Pode chegar numa mensagem com o assunto "Fw: Sit back and be surprised.." e com o anexo "MathMagic.Scr", de 32.768 bytes.