Como o Marcelo Bálbio já informou, há vírus novo na praça. E tem se propagado tão rapidamente que os principais sítios especializados em segurança recentemente aumentaram em pelo menos um grau a classificação de seu nível de periculosidade. Chama-se Lirva e é uma homenagem à cantora de pop-rock Avril Lavigne. Homenagem, aliás, bastante apropriada: o vírus também é bobinho, sem graça e barulhento.
Bobinho porque não é muito destrutivo. Sem graça, porque todo vírus é assim. E barulhento porque tem se propagado com extrema rapidez.
O Lirva (Avril, ao contrário) é mais um a explorar a conhecida vulnerabilidade das versões 5.01 e 5.5 do Internet Explorer, que permite contaminar a máquina mediante a simples exibição da mensagem no painel de visualização sem abrir o arquivo anexo. Portanto, se você usa uma dessas versões, vá imediatamente a <www.microsoft.com/technet/security/bulletin/MS01-027.asp>, baixe e instale o “remendo” (patch) desenvolvido pela MS para corrigir a vulnerabilidade.
O Lirva também é conhecido por W32/Avril-A, W32/Lirva.b@MM, W32/Naith.a-mm e I-Worm.Avron.c. É transmitido por um arquivo cujo nome pode ser AvrilLavigne.exe, AvrilSmiles.exe, CERT-Vuln-Info.exe, Complicated.exe, Download.exe, IAmWiThYoU.exe, MSO-Patch-0035.exe, Readme.exe, Sophos.exe e Phantom.exe, entre outros. Após se instalar ele cria uma cópia de si mesmo no diretório SYSTEM32 (o nome é gerado aleatoriamente) e altera o Registro para ser executado a cada inicialização. Depois, procura endereços de correio eletrônico para os quais envia mensagens contaminadas cuja linha de assunto pode ser “Fw: Avril Lavigne - the best”, “Fw: Prohibited customers...”, “Fwd: Re: Admission procedure” e “Fwd: Re: Reply on account for Incorrect MIME-header” entre outros. O corpo da mensagem pode conter um texto convidando a vítima a entrar para o fã clube da cantora, uma nota informando que o arquivo anexado (que transmite o vírus) é um “patch” desenvolvido pela Microsoft ou algo semelhante. Além disso, tenta enviar cópias de si mesmo a todos os membros das listas de contatos de programas como o ICQ, IRC e Kazaa.
Os principais sintomas de que a máquina foi contaminada são tentativas de acesso ao sítio <www.avril-lavigne.com> nos dias 7, 11 e 24 de cada mês, o aparecimento de figuras geométricas na área de trabalho com um texto no canto superior esquerdo mencionando Avril Lavigne, a presença no Registro das chaves
[HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne] e
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ [continua sem interrupção abaixo]
Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\nome_arq.EXE]
(onde “nome_arq” é um nome gerado aleatoriamente) e a presença do arquivo “avril-ii.inf” no diretório WINDOWS\TEMP.
Se sua máquina não está contaminada, fique atento para mensagens com as características acima e as remova imediatamente sem JAMAIS executar seu arquivo anexado. Se já foi contaminada, use uma das ferramentas disponíveis para eliminar o Lirva. A da MacAfee chama-se AVERT Stinger e pode ser encontrada em <http://vil.nai.com/vil/stinger/>. A da Symantec chama-se FixLirva.Exe e está em
<http://securityresponse.symantec.com/avcenter/FixLirva.exe>.
A da Sophos chama-se RMAVRIL e pode ser obtida em
<www.sophos.com/support/disinfection/avril.html>.
Baixe qualquer uma delas, execute-a e passe a tomar mais cuidado contra vírus: jamais abra arquivos anexos não solicitados, instale um programa antivírus e mantenha sempre atualizadas suas definições de vírus.
E se você é um daqueles que usa o Outlook Express 5.01 ou 5.5 e teve a máquina contaminada porque não instalou o “remendo” da MS, não seja demasiadamente severo consigo mesmo. Há menos de dez dias o “worm” Saphire, também conhecido por Slammer, tornou inoperáveis mais de treze mil caixas automáticos do Bank of América, congestionou o tráfego da Internet nos EUA e praticamente paralisou o da Coréia do Sul. Ele afeta apenas servidores do gerenciador de banco de dados Microsoft SQL, enviando um “pacote” de dados engendrado de tal modo que instala na memória do servidor um código que faz a máquina entrar em “loop”, enviando continuamente cópias de si mesmo para outras máquinas, o que “entope” as vias de comunicação da rede. Para fazer isso, se aproveita de uma vulnerabilidade detectada há mais de seis meses e cujo “remendo” está disponível no sítio da MS desde julho de 2002. O desastre somente se tornou possível porque o remendo não havia sido instalado nas máquinas afetadas. E quem tinha que fazer isso eram os administradores de sistemas.
Se eles, que são profissionais cuja função precípua é manter suas máquinas ativas, dão essas mancadas, por que não você?

B. Piropo