Há
dois meses, escrevendo sobre o Fizzer, um “verme” que além
de usar os meios tradicionais de disseminação recorria
também aos programas de trocas de arquivos musicais tipo Kazaa
e assemelhados, eu dizia que provavelmente novos exemplares surgiriam
explorando os mesmos caminhos. Mas, honestamente, não esperava
que uma das primeiras manifestações fosse um vírus
tão estúpido quanto o Gruel, detectado semana passada.
Para quem não lembra, o Fizzer é um “verme”
que instala um “Cavalo de Tróia” que permite que o
biltre que o plantou na máquina alheia assuma o controle dela
ou tenha acesso a dados confidenciais nela armazenados. Ou seja: tire
algum proveito. Eu não aprovo esse tipo de comportamento ilícito
mas, com algum esforço e muita complacência, sou capaz
de entender as razões que levam a ele. O que não consigo
é entender que tipo de desvio mental leva alguém a desenvolver
uma imbecilidade como o Gruel.
O Gruel, a exemplo de seu criador, é um verme. Chega à
máquina da vítima sob a forma de uma mensagem de correio
eletrônico com um arquivo anexado que, ao ser executado (ou seja,
“aberto” pelo destinatário), manda uma cópia
de si mesmo a todos os endereços armazenados no Catálogo
de Endereços de Windows (usado pelo Outlook e pelo Outlook Express)
e, se a máquina abrigar uma pasta de arquivos compartilhados
do programa Kazaa, cria nela um arquivo denominado “Windows XP
KeyGen 2.5.Exe” que também dissemina o vírus. Usa,
portanto, um mecanismo de propagação muito semelhante
ao do Fizzer. A diferença está nos efeitos.
A mensagem que propaga o Gruel, ironicamente, explora justamente o medo
que todo usuário tem de ser contaminado. A linha “Assunto”
contém ou o texto “Symantec: New serious virus found”
ou “Microsoft Windows Critical Update”. No primeiro caso o
nome do anexo é “Symantec_Norton_Tool.Exe”. No segundo
pode ser “Windows Critical Update 088562.Exe” ou “AntiVirus_Patch.Exe”.
Se a mensagem supostamente vier da Symantec (a empresa responsável
pelo anti-vírus Norton), conterá um alerta informando
que um novo vírus foi descoberto e recomendando executar o anexo
para proteger a máquina. Se o suposto remetente é a Microsoft
o texto – também em inglês – informa que o anexo
corrigiria novas vulnerabilidades que teriam sido encontradas no Windows.
Em qualquer caso, a execução do anexo resulta em desastre.
O primeiro sintoma é a exibição do que parece ser
uma mensagem de erro emitida pelo sistema informando que houve um problema
e que Windows precisa ser encerrado. Na janela há dois botões:
“Send Error” e “Send and Close”. Clicar no primeiro
resulta na abertura de outra janela semelhante, com mais dois botões:
“Close” e “Back”. O primeiro é inoperante
e o segundo retorna à janela anterior. A função
disso tudo parece ser simplesmente fazer a vítima gastar algum
tempo enquanto o vírus executa sua faina nefanda. Porque, ao
clicar finalmente em “Send and Close”, aparecerá uma
mensagem em inglês informando que: “Seu computador agora
é meu. Por que? Porque como eu não tinha nada para fazer,
pensei: por que não fazer uma maldade?”. E continua, vociferando
contra o mundo, contra Windows, contra o capitalismo e contra o comunismo.
Fruto perfeito e acabado da mente doentia de um imbecilóide.
A janela não pode ser fechada nem movida. E, enquanto é
exibida, diversos objetos do Painel de Controle abrem-se inesperadamente,
a bandeja do drive de CD é ejetada, a barra de tarefas desaparece
e o led do disco rígido pisca sem parar.
Enquanto executa essa pirotecnia, o Gruel remove da pasta de sistema
todos os arquivos de extensões Exe, Com, Dll e Ocx, assim como
o Editor de Registro e diversos outros arquivos de sistema. Além
disso, diversas chaves do Registro são corrompidas ou removidas.
Terminada sua abominável atividade, dificilmente a máquina
poderá ser reinicializada (talvez essa seja a razão mais
provável da propagação relativamente lenta do Gruel:
ele só consegue enviar as mensagens que o disseminam enquanto
o micro permanece funcional e se estiver conectado à Internet
quando o anexo for aberto). E, se depois de contaminada, a máquina
conseguir inicializar, provavelmente estará inoperante. Para
fazê-la voltar à vida a solução é
restaurar a última cópia de segurança. E, para
aqueles que acreditam que cópia de segurança é
luxo, resta reinstalar o sistema operacional, substituir os arquivos
do Registro por uma cópia “limpa”, atualizar as definições
de seu antivírus e fazer uma varredura completa do sistema.
Como se vê, além de se propagar, o único efeito
do Gruel é inutilizar a máquina da vítima. O psicótico
que o criou nada ganha com isso, não tira proveito algum e nem
ao menos sabe a quem prejudicou. Nada, exceto a satisfação
doentia de saber que causou mal a alguém. Uma atitude que, por
mais que eu me esforce, jamais conseguirei entender.
Os dados essenciais sobre o Gruel são esses. Seu nome “oficial”
é W32.Gruel@mm ou W32.Gruel-A@mm (há também as
variantes Gruel-B, E, F, G, H e I. Se desejar mais detalhes, visite
a Sophos (<www.sophos.com/virusinfo/analyses/w32gruela.html>),
a Trusecure (<www.trusecure.com/knowledge/hypeorhot/2003/gruel.shtml>),
a VS Antivirus (essa em espanhol, em <www.vsantivirus.com/gruel-a.htm>)
e a Symantec que, talvez por ser uma das supostas signatárias
das mensagens, caprichou e traz as informações mais completas
em <www.symantec.com/avcenter/venc/data/[email protected]>.
Pois é isso. Mais que nunca vale a recomendação:
nunca abra arquivos anexados não solicitados, mesmo que aparentemente
provenham de fontes seguras (além do Gruel, que supostamente
é enviado pela Symantec ou Microsoft, andam circulando pela Internet
mensagens supostamente provenientes do Banco do Brasil, oferecendo um
“patch” de segurança para seu programa de Internet
banking, e da Rede Globo, informando que o destinatário foi selecionado
para participar da próxima edição do Big Brother
Brasil, ambos falsos, com o objetivo de instalar um “Cavalo de
Tróia” na máquina do destinatário). E fique
atento para mensagens com as características descritas. Se receber
uma delas, remova-a sem piedade, juntamente com seu anexo. E depois,
só por segurança, atualize as definições
de seu anti-vírus e faça uma varredura completa da máquina.
Do jeito que as coisas andam, todo cuidado é pouco...
B.
Piropo
