A Panda Software reporta o aparecimento de um novo worm denominado W32/Tang, que utiliza diferentes métodos para se propagar na internet.
Para além de se propagar via e-mail, mIRC, Pirch e Virc, é também transmitido através das mais populares aplicações de partilha de ficheiros, tais como o Kazaa, BearShare, Endonkey e Morpheus.
Os principais efeitos do W32/Tang incluem:
– Procura nas pastas partilhadas por defeito das aplicações como o Kazaa ou Morpheus ficheiros com as extensões: scr, pif, mp3, mp2, gif, bmp, dib, png, jpg, jpeg, jpe, tif, tiff, mpg, mpeg, mpe, avi, mov, tmp, txt, lnk, bat, mdb, ppt e pps. Ao encontrá-los substitui-os por uma cópia do seu código.
– Infecta os workbooks do Excel, templates do Word e ficheiros do Acess.
– Verifica se as aplicações IRC, mIRC, Pirch e Virc estão instaladas no computador afectado. Se as encontrar, substitui os ficheiros script.ini e events.ini de forma a se enviar num ficheiro denominado Notice.tng utilizando o comando /DCC.
– Quando é executado, o Tang mostra uma falsa mensagem de erro no ecrã.
– De forma a se assegurar que é executado em cada arranque do Windows, cria a seguinte entrada:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun=Mstng32 = %systemdir%MSTng32.exe
O W32/Tang é o mais recente código malicioso a utilizar as aplicações de partilha de ficheiros para se propagar. O primeiro, Kazoa, apareceu inicialmente em Maio de 2002 e foi seguido por códigos como o Enerkaz, Oror, Lolol e Lirvaand bem como pela variante “C” do Kazoa, que surgiu recentemente.