Este
é o relato de um infausto acontecimento. Leia-o não
apenas para se informar mas, sobretudo, porque talvez algum dia
a forma pela qual me dei conta do problema e as ações
tomadas para resolvê-lo possam lhe orientar diante de situação
semelhante.
Dia desses recebi uma mensagem dando conta que alguém me
enviara um cartão, com um atalho para o próprio.
Cliquei nele e abriu-se uma janela de transferência de arquivo.
Distraído (afinal, era apenas um cartão), mandei
“Abrir” e esperei. Nada aconteceu. Imediatamente soou
aquele alarme que o inconsciente toca toda vez que se faz uma
grossa besteira: iludido por aquela lenga-lenga de cartão,
eu executara algo sem saber o que. Gravei os arquivos pendentes,
fechei todos os programas, reinicializei a máquina e fiz
uma varredura completa com o Norton Antivírus. Nada. Nenhum
sinal de vírus, cavalo de Tróia ou similar. Aliviado,
imaginei tratar-se de um cartão mesmo, que não tinha
sido exibido talvez por ter se corrompido algum arquivo, e segui
adiante.
No dia seguinte, ao acionar o atalho Alt+Tab para mudar de programa,
surpreendi-me com a presença de um ícone desconhecido
entre os dos aplicativos em uso. Um programa adicional estava
sendo executado à minha revelia. E quando eu tentava trazê-lo
para o primeiro plano, nada acontecia. Que diabo era aquilo? Identifiquei-o
graças ao “Task Switcher”, um dos “Power
Toys” para Windows XP (falei dele há duas semanas
no artigo “Power Toys para Windows XP”, disponível
na seção “Escritos / Artigos no Globo”
de meu sítio, em <www.bpiropo.com.br>). É
um comutador de tarefas acionado pela combinação
Alt+Tab que, além de exibir os ícones dos programas
em execução, mostra também uma miniatura
da janela do programa selecionado. Com ele examinei a janela do
programa “fantasma”. Quando vi o que continha, gelei.
Era um registro de minhas últimas ações.
Programas desse tipo chamam-se “key loggers”. Eles armazenam
em um arquivo cada ação do usuário, cada
tecla premida, cada clique do mouse. Depois, a um dado comando
acionado pela Internet, encaminham esse arquivo a quem o “plantou”
no micro, com tudo o que foi digitado naquele período,
inclusive números de contas bancárias acompanhados
das respectivas senhas. Em geral são instalados juntamente
com os chamados “Cavalos de Tróia” ou “backdoors”,
que permitem a terceiros comandar o micro remotamente. Em suma:
abrindo o maldito cartão instalei um cavalo de Tróia
que passou pelo escrutínio do Norton Antivírus.
Mas qual?
Examinei a lista de aplicativos exibidas pelo Gerenciador de Tarefas
de Windows XP (premindo concomitantemente as teclas Ctrl, Alt
e Del e clicando no botão correspondente). Na aba “Aplicativos”,
além dos programas em uso, havia uma suspeitíssima
entrada adicional, sem nome. Poderia ser desativada? Sim: selecionei-a,
cliquei em “Finalizar Tarefa” e ela desapareceu, juntamente
com a janela do key logger no Task Switcher. Meio caminho andado.
Restava identificar o arquivo executável e removê-lo.
Reinicializei a máquina para carregar o cavalo de Tróia,
acionei o gerenciador de tarefas, passei para a aba “Processos”
e anotei cada um dos processos em execução. Voltei
à aba “Aplicativos”, desativei o programa fantasma
e retornei a “Processos”. Lá estavam todos eles,
exceto um certo “Msnet.Exe”. Bingo! Agora, era preciso
removê-lo e impedir sua reinstalação.
Abri o editor de Registro (menu Iniciar, entrada “Executar”,
comando ‘regedit”) e ordenei uma busca completa por
ocorrências de “msnet”. Descobri diversas (incluindo
algumas inofensivas referências a “msnetobj.dll”,
um componente de Windows, nas quais não mexi). Uma referia-se
também a um arquivo “Bush02.Exe”, um óbvio
componente do cavalo de Tróia. Outra, a responsável
pela carga do “key logger”, na chave [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices].
Eliminei-as todas, removi os arquivos (Bush02.Exe da pasta WINDOWS
e Msnet.Exe da pasta WINDOWS\SYSTEM32) e reinicializei o micro.
Voilá! Livrei-me da peste. E, por segurança, antecipei
a troca periódica de minhas senhas.
Só faltava descobrir que cavalo de Tróia era aquele
e porque passou incólume pelo exame do Norton Antivírus.
Uma pesquisa na Internet com “bush02” retornou centenas
de entradas, nenhuma associada com “virus”, “trojan”
ou “backdoor”. Já uma busca com “msnet.exe”,
além de informações sobre o vírus
“w32.boa.worm” que, por suas características,
nada tinha a ver com o caso, retornou a excelente página
<http://pacs-portal.co.uk/startup_pages/startup_i.php>
com a relação de programas carregados durante a
inicialização de Windows e a menção:
“msnet.exe: incluída por uma variante do vírus
sdbot”.
Informações sobre o sdbot nos sítios dos
principais desenvolvedores de antivírus evidenciaram ser
ele o culpado. Trata-se de um cavalo de Tróia geralmente
enviado através de conexões de “bate-papo eletrônico”
(“chat”) com o programa IRC. Como nenhum dos sítios
consultados mencionava o arquivo Msnet.Exe (em geral o sdbot se
propaga usando o executável Cnfgldr.Exe), tudo indica que
se trata de uma nova variante, ainda não incluída
nas definições de vírus, criada para se disseminar
por correio eletrônico. E parece que há outras: recebi
mensagem de um leitor relatando problema idêntico (cavalo
de Tróia instalado através da abertura de um cartão)
cujo executável denomina-se “msnteste.exe”.
Para encerrar: circulam pela Internet duas mensagens. Uma, supostamente
enviada pela Globo.Com, informa que o destinatário foi
pré-selecionado para a quarta edição do Big
Brother Brasil e solicita baixar um formulário clicando
no atalho “Instalar o formulário” (agradeço
ao leitor Richard Souza por haver chamado minha atenção
para ela). A outra, enviada por alguém que se faz passar
pelo Banco do Brasil, informa que devido falhas na segurança
do sistema, o BB desenvolveu uma “vacina” que pode ser
instalada clicando-se no atalho “BBvacina.exe”. Ambas
redigidas em péssimo português (o imbecilóide
que se faz passar pelo BB solicita a “compreenção”
dos destinatários, assim mesmo, com c-cedilha). Evidentemente,
tanto em um caso quanto em outro, o resultado será a instalação
de um cavalo de Tróia. Portanto, reitero: nunca, jamais,
em tempo algum, abram qualquer tipo de arquivo enviado seja por
que instituição for através de anexos ou
atalhos em mensagens de correio eletrônico. E, caso se sinta
tentado a fazê-lo, telefone antes para a instituição
(mas não, evidentemente, para qualquer número citado
na mensagem) pedindo confirmação. Cuide-se.
Eu, que vivo repetindo o mantra “nunca abra arquivos de origem
desconhecida”, não me cuidei e quase quebrei a cara...
B.
Piropo
