Há
dez dias a Internet foi assolada pelo verme Sasser.
Os especialistas em segurança estimam que
em apenas uma semana mais de um milhão de
máquinas foram afetadas. E, pior: 80% delas
eram máquinas domésticas. Que, ao
contrário das corporativas, geralmente sob
os cuidados de profissionais que sabem como proceder,
em geral estão nas mãos de leigos
que não sabem o que fazer diante da ameaça
(mas calma, que pelos menos os que lerem estas mal
traçadas saberão).
É verdade que, perto das dez milhões
de máquinas afetadas pelo Blaster, o Sasser
pode ser considerado insignificante. Exceto por
um detalhe: a forma quase sub-reptícia pela
qual se dissemina.
Diferentemente da imensa maioria dos vírus
e vermes conhecidos, que se propagam sob a forma
de um arquivo anexo a uma mensagem de correio eletrônico
que precisa ser executado para contaminar a máquina,
o Sasser se aproveita de uma vulnerabilidade de
Windows XP e 2000, já corrigida pela MS com
um “remendo” (“patch”),
que dispensa qualquer ação por parte
do usuário. É como uma loteria ao
contrário: se você ainda não
instalou o “remendo”, basta se conectar
à Internet e esperar. Se porventura o endereço
IP (um número que identifica toda máquina
ligada à rede) atribuído por seu provedor
à sua máquina estiver entre os criados
aleatoriamente por uma das máquinas contaminadas
e esta última conseguir estabelecer contato
com a sua, você será “premiado”
com o verme.
A vulnerabilidade ocorre no Local Security Authority
Subsystem Service (LSASS), uma interface para gerenciar
serviços de segurança, autenticação
de domínios e processos do Active Directory
de Windows, e é do tipo “buffer
overflow” (o artigo de mesmo nome na seção
“Escritos” de meu sítio em <www.bpiropo.com.br>
explica o que é isso). Sabendo explorá-la,
um intruso pode controlar remotamente a máquina
afetada, instalar programas, examinar, alterar e
remover dados e até mesmo criar novas contas
com privilégios de administrador.
Algumas semanas antes do Sasser eclodir, a MS pôs
à disposição dos usuários
a Security Update 835732 (veja detalhes no Boletim
de Segurança MS04-011, em
<www.microsoft.com/technet/security/bulletin/MS04-011.mspx>,
onde a atualização pode ser obtida
e instalada). Os que executam regularmente o Windows
Update ou, melhor ainda, ajustam o sistema para
efetuar atualização automática
(Painel de controle / “Sistema” / aba
“Atualizações automáticas”,
marcar a caixa “Manter meu computador atualizado”
e escolher uma das três configurações
disponíveis no grupo “Configurações”),
a instalaram em tempo hábil e imunizaram
suas máquinas. Os que não o fizeram
permanecem vulneráveis.
Em cada máquina contaminada o verme copia
o arquivo Avserve.Exe no diretório de sistema
(WINDOWS ou WINNT), altera a chave do registro
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
criando uma entrada que carrega o arquivo na inicialização,
dá partida em um servidor de transferência
de arquivos (FTP) na porta 5554, usa um algoritmo
engenhoso para gerar endereços IP aleatórios,
tenta estabelecer contato com as máquinas
que possuem esses endereços e, se conseguir,
caso a vulnerabilidade não tenha sido corrigida
na máquina remota, transfere para ela uma
cópia do verme usando o FTP. Em seguida exibe
uma mensagem de alerta e desliga a máquina
após um minuto.
Apenas isso. O Sasser não remove arquivos,
não envia mensagens de correio eletrônico,
não formata o disco rígido ou algo
semelhante (na verdade, sob esse aspecto, parece
muito um “piloto” criado para explorar
a vulnerabilidade). Mas nada impede que outros vermes
– ou novas versões deste – venham
a fazê-lo. Portanto, todo cuidado é
pouco.
O Sasser pode ser removido facilmente e todas os
desenvolvedores de antivírus já fornecem
ferramentas ou instruções para remoção
manual (por exemplo: as da Symantec estão
em
<www.symantec.com/avcenter/venc/data/w32.sasser.worm.html>).
Mas talvez a mais simples seja a da própria
MS, em
<www.microsoft.com/security/incident/sasser.asp>.
Basta visitar a página e clicar no botão
“Check My PC for Infection” para abrir
uma janela com os termos de licença para
uso da ferramenta. Se estiver de acordo, marque
o botão “I Agree” e clique em
“Continue” para fazer uma varredura
em sua máquina. Se o Sasser não for
encontrado, aparece a mensagem “Your PC Is
Not Infected”. Se for, ele será removido.
Se não funcionar, vá até
<www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=em>,
baixe a ferramenta de remoção e execute-a.
Mas não esqueça: antes de tudo isso,
baixe e instale o “remendo”. Mesmo que
sua máquina não tenha sido infectada.
Como se vê, as ameaças não cessam.
Agora, com essa nova forma de disseminação,
é preciso modificar aquele nosso velho mantra.
Além de “Nunca, jamais, em tempo algum,
executar um arquivo anexo que não se tenha
certeza absoluta que é seguro”, há
que repetir trocentas vezes: “e sempre manter
as atualizações críticas e
de segurança do sistema escrupulosamente
atualizadas”.
Por enquanto é isso. Mas logo “eles”
inventarão novas artimanhas e teremos novamente
que alterar o mantra...
