SÃO PAULO O vírus W32.Trilisa.B@mm é uma variante do W32.Trilisa que envia e-mails em massa e destrói arquivos executáveis. O invasor chega sob o disfarce de nova versão (4.6) do antivírus AVP, da Kaspersky Lab.

Aparentemente originário da Bélgica, o Trilisa.B chega num e-mail em alemão que indica o lançamento da suposta nova edição do antivírus. Como anexo, vem o arquivo AVP4.6.exe.

Quando executado, o vírus se autocopia para quatro pontos do sistema como Jki.exe ou AVP4.6.exe. Em seguida, ele cria o script c:\semen.vbs, que envia e-mails para todos os contatos do livro de endereços do Outlook.

Além disso, o intruso faz modificações no Registro e renomeia todos os executáveis EXE e SCR existentes no diretório do Windows para a extensão AVP. Em seguida, o próprio arquivo do vírus ocupa o nome desses executáveis. Por exemplo, o executável Notepad.exe, do Bloco de Notas, é renomeado para Notepad.avp e uma cópia do vírus assume o nome Notepad.exe.