BAT.Chode.Worm
Detectado como: BAT.Chode.Worm
Apelidos: Chode, Foreskin, BAT911
Tamanho da Infecção: Vários arquivos de lote
Área de Infecção: Unidade compartilhada
Datas de Gatilho: 19 de cada mês
Características: Worm, Lote
Os usuários do Norton AntiVirus podem se proteger desse vírus
fazendo o download das definições de vírus atuais pelo
LiveUpdate
ou da página Download Virus Definition Updates (Atualizações
de
Definição de Vírus para Download):
Descrição
O BAT.Chode.Worm é um worm da Internet que usa arquivos BAT.
Ele pesquisa vários endereços IP de provedores de acesso à
Internet
conhecidos à procura de um computador acessível. Se um
computador acessível tiver a sua unidade C compartilhada, ele
copia
seus arquivos em outro computador.
Descrição Técnica
O BAT.Chode.Worm usa vários arquivos BAT e alguns programas
de sistema para se disseminar através de uma conexão à
Internet.Ele
pesquisa vários endereços IP de provedores de acesso à
Internet
conhecidos procurando por um computador acessível. Se um
computador acessível tiver uma unidade compartilhada que não
esteja
protegida por senha, o worm verifica se o arquivo
C:\WINDOWS\WIN.COM está presente. Se estiver, ele considera
que a unidade compartilhada é a unidade C do outro computador.
Em
seguida, ele copia os arquivos no diretório C:\PROGRA~1\CHODE
do outro computador. O principal arquivo de lote considera que
ele
está sendo executado a partir do diretório C:\PROGRA~1\CHODE.
Quando ativado, ele procura uma sub-rede acessível em vários
ISPs:
att.net (ATT Worldnet)
bellsouth.net (BellSouth Net)
level3.net (Level3 Net)
aol.com (America Online)
mindspring.com (Mindspring)
earthlink.net (Earthlink)
air.on.ca (Air.Internet do Canadá)
psi.net (PSInet)
Nota: Conectar-se a um desses provedores de
serviços da
Internet torna o seu computador vulnerável a este worm. O seu
computador está vulnerável a este worm (e outras invasões) se
tiver recursos compartilhados que não estejam devidamente
protegidos. Este worm só consegue se espalhar para um
computador que tenha uma unidade compartilhada sem proteção
de senha para acesso de gravação.
Depois que o worm encontra uma sub-rede acessível, ele pesquisa
uma unidade compartilhada acessível. Se não houver nenhuma
unidade compartilhada acessível na sub-rede, ele repete a
pesquisa de
sub-rede acima.
Quando encontra uma unidade compartilhada acessível, o worm faz
um rápido teste para ver se ela é uma unidade C. Se for, ele
mapeia a
unidade compartilhada.
Depois de mapeá-la, ele verifica se já infectou esta unidade.
Ao
executar a verificação, ele também pesquisa e remove o VBS
Network, um worm que usa o script VBS. Em seguida, verifica se é
possível gravar na unidade e copia seus arquivos para outro
computador.
Ao copiar estes arquivos em outro computador, ele acrescenta o
seguinte.
Uma chamada para um arquivo em lote que disca 911 usando o
modem do computador no C:\AUTOEXEC.BAT. Esta modificação é
feita uma a cada cinco vezes.
O ashield.pif é copiado em Programas-Iniciar da máquina
infectada.
Este arquivo PIF oculta o worm quando ele é iniciado.
O netstat.pif é copiado em Programas-Iniciar da máquina
infectada.
Este arquivo PIF oculta o utilitário netstat quando ele é usado.
O winsock.vbs é copiado em Programas-Iniciar da máquina
infectada. Este VBS executa a sua atividade.
O registro da infecção no arquivo C:\ARQUIVOS DE
PROGRAMA\chode\chode.txt do computador de origem.
O worm também usa um utilitário freeware para ocultar as suas
atividades. O utilitário freeware é um programa win32 que o
worm
chama de ASHIELD.EXE. O NAV não detecta este utilitário.
Ação
O WINSOCK.VBS é iniciado quando o Windows é inicializado em
um computador infectado. No dia 19 de cada mês, este script VBS
exclui arquivos dos seguintes diretórios:
C:\windows
C:\windows\system
C:\windows\command
C:\
Em seguida, ele exibe duas caixas de mensagem:
You Have Been Infected By Chode (Você foi infectado pelo Chode)
You may now turn this piece of sh*t off! (Agora você pode
desligar essa porcaria!)
Notas de Correção
Exclua o diretório C:\Arquivos de programas\Chode.
Exclua o C:\WINDOWS\INICIAR
\PROGRAMAS\INICIAR\ASHIELD.PIF
Exclua o C:\WINDOWS\INICIAR
\PROGRAMAS\INICIAR\NETSTAT.PIF
Exclua o C:\WINDOWS\INICIAR
\PROGRAMAS\INICIAR\WINSOCK.VBS