A primeira
vez que ouvi falar de um vírus de computador foi lá pela
metade dos anos oitenta, quando os micros pessoais, que começaram
a se disseminar com o lançamento do PC da IBM em 1981, já
eram quase onipresentes em nossa vida diária. Foi naquela época
que, mais uma vez dando razão a Nelson Rodrigues quando afirmou
que “a humanidade não deu certo”, alguns indivíduos
dotados de grande perícia técnica porém portadores
de grave deficiência mental, começaram a desenvolver programas
cujo único objetivo era prejudicar seus semelhantes. Devido à
sua capacidade de “contaminar” outros arquivos executáveis,
esses programas receberam o nome de “vírus”.
Naqueles dias os vírus se disseminavam lentamente, já
que a forma mais comum de propagação era a troca de disquetes
com programas que passavam de micro em micro. Quando se executava o
programa neles contido, trechos de código mal intencionado eram
agregados a outros programas ou ao “setor de boot” do disco
rígido, cujo código é executado durante o procedimento
de inicialização do micro. Esse código poderia
fazer qualquer coisa, desde exibir uma tola mensagem na tela até
formatar o disco rígido, deitando a perder todo seu conteúdo.
Vírus incomodavam, mas se propagavam tão lentamente que
não eram considerados ameaça séria.
Dez anos depois, com a popularização da Internet, a coisa
mudou de figura. Arquivos executáveis começaram a passar
de micro a micro quase instantaneamente, seja através de transferência
direta, seja anexados a mensagens de correio eletrônico. E a engenhosidade
dos aleijões morais que criam vírus logo descobriu formas
de fazê-los replicar-se sem qualquer intervenção
dos usuários, criando automaticamente mensagens que eram sub-repticiamente
enviadas a destinatários obtidos no caderno de endereços
da máquina contaminada. Eram os “vermes”. Muitos desses
vermes continham programas auxiliares, os chamados “cavalos de
Tróia” que, plantados na máquina remota, eram capazes
de subtrair dados e enviá-los a terceiros. A Internet fez com
que em dez anos, vírus, vermes e cavalos de Tróia passassem
a ser uma séria ameaça à segurança dos internautas.
É claro que a comunidade de programadores “do bem”
não permaneceu inerte. Foram criados programas antivírus
para detectar e remover vírus e assemelhados. Foram estabelecidos
centros de pesquisa para atualizar as “definições
de vírus”, que permitem essa identificação.
E, para evitar que os cavalos de Tróia enviassem a terceiros
dados coletados nas máquinas infectadas, foram criados os programas
tipo “firewall”, ou “parede corta-fogo”, que somente
permitem que saiam da máquina dados enviados por programas conhecidos
e cadastrados.
Com os firewall evitando que dados saiam da máquina sem autorização
e os antivírus examinando cada arquivo executável que
entra no micro, a ameaça foi reduzida. Mas os biltres que inventam
vírus continuaram a usar sua criatividade de forma nefanda, explorando
as vulnerabilidades de programas e sistemas operacionais. Passaram então
a propagar vírus usando as facilidades de alguns programas de
correio eletrônico (como o Outlook Express) de executar automaticamente
certas tarefas, como exibir imagens e tocar músicas. Assim não
era mais necessário executar um programa para contaminar a máquina:
bastaria abrir uma mensagem de correio eletrônico. Os desenvolvedores
de sistemas operacionais e programas ficaram alertas para essa possibilidade
e, cada vez que uma dessas vulnerabilidades era identificada, alteravam
o código do programa, eliminando-a. Se o usuário instalasse
as chamadas “atualizações de segurança”
tão logo elas estivessem disponíveis, estaria razoavelmente
protegido.
Desde o início da popularização da Internet, transcorreu
outra década. E os mentecaptos que criam vírus continuam
a buscar formas mais eficazes e sofisticadas de distribuir a nefasta
criação de sua mente doentia. E estão encontrando.
Depois que a Internet passou a fazer parte de nossa vida diária,
dois tipos de programa se popularizaram: os de mensagens instantâneas
(“bate-papo”, ou “chat”) e os de troca de arquivos
musicais. Dentre os primeiros, os mais conhecidos são IRC, mIRC
e AOL Instant Messenger, com dezenas de redes em todo o mundo. Do segundo
tipo, o mais popular é o Kazaa. Tanto uns quanto o outro dependem
da comunicação entre micros usando a Internet como veículo
de troca de informações. Pois bem: semana passada eclodiu
um novo tipo de verme, com um anexo tipo cavalo de Tróia, que
começou a se propagar com extrema violência. Chama-se Fizzer
(mais propriamente W32.fizzer@mm) e rapidez com que se propaga deve-se
ao fato de, além da clássica disseminação
por correio eletrônico, usar o Kazaa para se alastrar e as redes
de mensagens instantâneas para se comunicar.
O Fizzer é um verme que, ao se instalar, instala também
um cavalo de Tróia que estabelece uma comunicação
com servidores IRC e AOL Instant Messenger para receber comandos e enviar
a terceiros arquivos contendo tudo o que foi digitado na máquina
infectada. Procura identificar e desabilitar diversos programas antivírus
para passar despercebido. E estabelece contato com a rede de troca de
arquivos Kazaa, enviando um arquivo que propaga o vírus a outras
máquinas conectadas à mesma rede.
A primeira aparição do Fizzer foi constatada há
exatamente quinze dias, no último sete de maio. Até agora,
mais de quatrocentas mil máquinas foram infectadas, das quais
quase oitenta mil delas apenas na quinta-feira passada, o dia de máxima
disseminação (dados obtidos no boletim da MessageLabs,
em <www.messagelabs.com>).
Por correio eletrônico, ele é enviado como arquivo de nome
variável e extensão Com, Exe, Pif ou Scr anexado a uma
mensagem com corpo e linha de assunto variáveis e falso endereço
de remetente. Abrir o arquivo instala o verme. Quando se propaga através
do Kazaa, ele consulta o Registro da máquina para descobrir a
pasta do Kazaa e lá se aninha, fazendo-se passar por um arquivo
de música. Transferir e executar esse arquivo instala o verme.
Ao ser instalado, o Fizzer cria os arquivos Initbak.Dat (um arquivo
que reinstala o verme caso os demais arquivos sejam removidos), Iservc.Exe
(o executável do verme), Iservc.Dll e Progop.Exe (o cavalo de
Tróia). Alem disso, altera chaves do Registro que forçam
sua carga cada vez que a máquina é inicializada (para
mais detalhes, sugiro uma visita ao sítio do F-Secure, em <www.europe.f-secure.com/v-descs/fizzer.shtml>).
Após instalado, o Fizzer conecta-se a uma rede de troca de mensagens
instantâneas e aguarda instruções. O número
de máquinas contaminadas na semana passada foi tão grande
que sobrecarregou a maioria dessas redes, tirando algumas de operação.
Uma delas, que raramente tem mais de cem usuários conectados
simultaneamente, subitamente recebeu mais de mil conexões, quase
todas provenientes do Fizzer (veja artigo de Robert Lemos na ZDNet,
em <http://zdnet.com.com/2100-1105_2-1001601.html>).
Além disso, o Fizzer é capaz de usar a rede de mensagens
instantâneas para deflagrar um ataque tipo “Distributed Denial
of Service” (DDoS), no qual milhares de máquinas infectadas
recebem um comando do (ir)responsável pelo ataque para, em uma
certa data e horário, tentarem conectar-se simultaneamente a
um dado servidor da Internet. A demanda de serviços assim gerada
é tão grande que o servidor em questão, seja de
um pequeno provedor ou de uma imensa corporação, não
tem outro recurso a não ser negar as solicitações
(daí o nome DDoS), saindo do ar.
Agora, que os anormais que desenvolvem vírus descobriram como
usar as redes de mensagens instantâneas e troca de arquivos de
música para disseminar suas criaturas, dificilmente veremos vírus
se propagando através de um único canal. E provavelmente
surgirá uma enxurrada de novos vírus empregando essa técnica.
É esperar para ver.
<
BOXES >
Como
remover o Fizzer
Todos
as grandes empresas que desenvolvem antivírus já incluíram
as definições do Fizzer em seus produtos. A McAfee, em
<http://vil.nai.com/vil/content/v_100295.htm>,
traz instruções detalhadas sobre como removê-lo
manualmente. A Sophos descreve o processo de remoção manual
em
<www.sophos.com/virusinfo/analyses/w32fizzera.html>.
A Trend-Micro, em
<www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FIZZER.A>.
A F-Secure, além das instruções para remover os
arquivos do Fizzer, traz um arquivo .Reg em
<www.europe.f-secure.com/v-descs/fizzer.shtml>
que efetua automaticamente as alterações necessárias
no Registro. E a Symantec criou um utilitário especificamente
para esse fim, o Fixfizzer.Exe, disponível em
<http://securityresponse.symantec.com/avcenter/FixFiz.exe>.
Para usá-lo, basta transferi-lo, fechar todos os demais programas,
desconectar-se da rede (Internet ou rede local), desabilitar a ferramenta
“Restauração do sistema” se estiver rodando
Windows Me ou XP e executar o programa.
Cuidados
para se proteger
O primeiro
cuidado essencial é usar um bom programa antivírus, ajustá-lo
para funcionar em segundo plano examinando tudo o que entrar na máquina
e executar periodicamente uma varredura em todos os discos rígidos.
E, evidentemente, conectar-se freqüentemente ao sítio do
fornecedor do programa para manter rigorosamente atualizadas as “definições
de vírus”.
O segundo é manter escrupulosamente em dia as atualizações
do sistema operacional e programas, principalmente do navegador e gerenciador
de correio eletrônico, dando atenção especial às
chamadas “atualizações de segurança”.
Além dessas duas providências básicas, instalar
um bom “firewall” também ajuda. Ao controlar a troca
de dados entre a máquina e o mundo exterior, na eventualidade
de um verme qualquer burlar o antivírus e instalar um cavalo
de Tróia, o firewall bloqueia a transferência, impedindo
que informações confidenciais caiam nas mal intencionadas
mãos de terceiros.
A partir de agora, depois que o Fizzer abriu o caminho, recomendo um
cuidado especial com os programas tipo Kazaa e assemelhados. Lembre-se
que ao baixar e executar aquele arquivo musical com um nomezinho atraente
você pode estar contaminando sua máquina com um verme ou
instalando um cavalo de Tróia.
O resto, são providências elementares de segurança.
Cuidado com programetos enviados pela Internet, como protetores de tela,
cartões comemorativos, piadinhas e coisas que tais. Nunca, jamais,
em tempo algum, abra programas executáveis (com extensões
Exe, Com ou Pif, entre outras) de fontes não confiáveis
e, antes de abrir os provenientes de fontes confiáveis, pergunte
ao remetente se realmente o enviou (pode ter sido enviado por um verme
que contaminou a máquina dele). E, mesmo assim, pense duas vezes
antes de executá-lo. Do jeito que as coisas andam, todo cuidado
é pouco.
Vírus,
vermes e cavalos
Atualmente
há cinco tipos de ameaças a atazanar a vida dos internautas.
Aqui vão elas, da menos inconveniente para a mais nociva:
Hoax (“boato”). Um hoax não é um programa. É
apenas uma mensagem de correio eletrônico que circula pela Internet,
geralmente descrevendo uma terrível (e falsa) ameaça de
vírus, fraude, ou algo parecido (como o relato sobre o indivíduo
que foi narcotizado em uma festa e ao acordar constatou que lhe haviam
retirado os rins). No que toca à informática, os mais
conhecidos são os que classificam como vírus devastadores
os executáveis Jdbmgr e Sulfnbk, inocentes arquivos de sistema
presentes em toda máquina onde há Windows. Os hoaxes aparentemente
não fazem mal algum. Mas acabam por espalhar medo, incerteza
e dúvida entre os usuários, fazendo-os desconsiderar os
verdadeiros alertas.
Joke (“piada”). A semelhança entre um “joke”
e um vírus é que ambos são programas executados
à revelia do usuário. A diferença são seus
efeitos. Enquanto o vírus pode causar sérios danos à
máquina, o “joke” é apenas uma brincadeira.
Por exemplo: faz falsas mensagens de erro surgirem inopinadamente na
tela, informa que o disco rígido está sendo formatado
(sem que isso esteja ocorrendo) ou algo assim. Um deles, comum há
alguns anos, fazia com que os caracteres “despencassem” das
linhas do alto da tela, acumulando-se na base. Os “jokes”
não se multiplicam nem se propagam. Terminado o programa (ou
reinicializada a máquina) cessam seus efeitos sem que nada, além
do amor próprio da vítima, sofra qualquer dano. Mas cuidado:
“jokes” podem ser usados para instalar cavalos de Tróia
sem que se perceba.
Vírus. Um vírus é um programa (ou trecho de código
executável) que é executado à revelia do usuário
e que se reproduz, agregando-se a outro programa, ao “setor de
boot”, às rotinas do BIOS gravadas em memórias flash
ou a documentos que suportam código executável através
de macros. Alguns vírus apenas se multiplicam e não exercem
nenhum outro efeito nocivo. Outros são capazes de formatar discos
rígidos, remover ou corromper arquivos de dados ou programas
e outras maldades do mesmo calibre.
Vermes (“worms”). Um verme é um tipo de vírus
capaz de se propagar por seus próprios meios. Explicando melhor:
para que sua máquina seja infectada por um vírus é
preciso que você ou alguém traga o programa para sua máquina
e o execute ou que alguém o envie anexado a uma mensagem de correio
eletrônico e você o execute. Já o verme é
capaz de fazer isso por seus próprios meios, aproveitando-se
da capacidade de automatização dos programas modernos
de correio eletrônico para criar mensagens e enviá-las
a todos ou alguns destinatários encontrados no catálogo
de endereços da máquina infectada sem qualquer intervenção
humana.
Cavalo de Tróia (“Trojan horse” ou, simplesmente, “Trojan”).
Um cavalo de Tróia é um programa que não se replica
nem se propaga (geralmente é disseminado por vermes, vírus
ou até mesmo “jokes” que o trazem como anexo e o instalam
na máquina). Depois de instalado, ele permanece rodando em segundo
plano e, através da conexão com a Internet, envia dados,
arquivos e informações a terceiros. Quase todos os cavalos
de Tróia dispõem de um módulo de registro de teclado
(“key logger”) que captura todas as teclas digitadas e as
armazena em um arquivo posteriormente enviado a quem o “plantou”
no micro, divulgando senhas de provedores Internet, bancos, números
de contas e cartões de crédito da vítima.
Outras
ameaças
No que
toca a vírus, vermes e cavalos de Tróia, ultimamente os
mares da Internet não estão pra peixe. Além do
Fizzer, semana passada foi identificado mais um verme, o Palyh, também
conhecido por Mankx ou Sobig (W32.palyh.A-mm, W32.mankx-mm ou W32.sobig.B-mm).
Ele é transmitido por um arquivo de extensão Pi ou Pif
anexado a mensagens de correio eletrônico, que contamina a máquina
quando executado. O irônico é que o endereço do
remetente é “[email protected]” (falso, naturalmente).
O corpo da mensagem sugere que o arquivo é um “patch”
de segurança, o que não é verdade (a MS não
envia patches diretamente ao usuário exceto quando expressamente
solicitada) mas tem convencido diversos incautos a executar o programa
supondo ter recebido a mensagem de uma fonte segura. Uma das características
do vírus é criar um arquivo denominado msccnn32.exe no
diretório Windows da máquina contaminada e criar entradas
no Registro obrigando sua carga durante a inicialização.
Por si mesmo o Palyh não executa nenhuma ação nociva,
exceto propagar-se. Mas serve como veículo para instalação
de cavalos de Tróia, de modo que se a máquina foi contaminada
por ele, provavelmente há um cavalo de Tróia instalado
nela. Ao que parece o Palyh foi desenvolvido na Holanda, mas tem se
alastrado principalmente no Reino Unido e nos EUA.
No Brasil, por outro lado, tem havido uma intensa disseminação
do cavalo de Tróia “sdbot” através de mensagens
de correio eletrônico. Uma delas, supostamente enviada pelo Banco
do Brasil, contém um arquivo anexo, que segundo seu texto é
uma atualização de segurança do sistema de Internet
banking do BB mas que na verdade instala o sdbot. Essa é fácil
de perceber do que se trata: além de nenhum banco sério
enviar esse tipo de programa a seus clientes sem ser solicitado, o texto
da mensagem pede a “compreenção” (assim mesmo,
com ce-cedilha) dos destinatários. Há ainda uma mensagem
de alguém que se faz passar pelas Organizações
Globo informando que a vítima foi selecionada para participar
do Big Brother Brasil 4 e pedindo para executar o arquivo anexo para
se cadastrar. Mas a principal via de disseminação do sdbot
são mensagens do tipo “alguém mandou um cartão
para você”. Tem havido uma enxurrada delas, a maioria proveniente
de um certo “Desejos e amores”. Executar o arquivo anexo “cartão.exe”
é uma forma segura de contaminar a máquina. Se você
quiser constatar como até mesmo quem se julga esperto tem seu
dia de otário, visite meu sítio em <www.bpiropo.com.br>,
vá até a seção “Pesquisar”, faça
uma busca com o termo “sdbot” e leia o artigo correspondente.
Além de instrutivo, você vai se divertir um bocado. Já
eu, não achei graça nenhuma...
B.
Piropo
