Um novo programa malicioso se tornou prevalente em spams, mas experts não sabem o que seus criadores pretendem fazer com o software.

Muitos fabricantes estão classificando o malware, chamado de "Warezov," "Stration" ou "Stratio", como de baixo risco, mas todos concordam que ainda é difícil lidar com a praga.

O malware é um worm em massa que afeta máquinas rodando o sistema operacional Windows. Quando o malware infecta o computador - geralmente após o usuário ter aberto um anexo contendo a praga em um spam -, ele se envia para outros endereços eletrônicos encontrados na máquina.

O código é capaz de baixar atualizações a cada 30 minutos a partir de diversos sites, disse Mikko Hypponen, chief research office da F-Secure.

As novas versões são criadas por um programa em um servidor controlador por um cracker, disse Hypponen.

No passado, malware ganhou popularidade por criar variações próprias, mas o código para criar estas variações estava contidas dentro da praga. Quando uma amostra era obtida, analistas de segurança poderiam estudá-la e identificar novas versões em potencial, disse ele.

Neste caso, o programa do hacker está compilando o código e divulgando rapidamente novas versões, mas analistas não sabem como o novo código é gerado.

Esta característica é uma dor de cabeça para empresas de segurança que divulgaram atualizações especiais para que seus softwares detectassem a praga. Só a F-Secure divulgou 150 vacinas diferentes para o malware.

"Está se tornando muito complexo detectar um ataque como este pelas mudanças constantes do código", disse Hypponen.

A empresa de segurança Sophos detectou mais de 300 versões do malware. Em outubro, a praga era um dos pedaços de código malicioso mais corriqueiro em mensagens não solicitadas, disse Carole Theriault, consultor-sênior da Sophos.

Como máquinas infectadas procuram por outros domínios para receber códigos atualizados, a F-Secure tem trabalhado com provedores de internet para fechar domínios que hospedem novas variantes. Até agora, 90% dos domínios foram fechados.

Estranhamente, o malware parece não fazer nada no computador da vítima. Hypponen estima que deve haver cerca de "centenas de milhares PCs infectados", um número considerável, mas pequeno comparado a infecções em massa detectadas em outras ocasiões.

Um cracker poderia esperar por um número definido e máquinas infectadas para começar um ataque do tipo "negação de serviço", enviar spams ou alugar a rede para spammers, disse Hypponen.

"Esperamos descobrir um dia o que está sendo feito", disse Hypponen. "Torcemos para que não seja algo tão ruim".