Sítio do Piropo

B. Piropo

< O Globo >
Volte
17/01/2005

< Parece vírus, mas não é >


Há cerca de um ano a Microsoft passou a liberar atualizações de segurança para Windows toda segunda terça-feira de cada mês. Quem usa Windows XP com SP2 pode ajustar o sistema para que, sempre que uma atualização crítica for liberada, ela seja automaticamente transferida e instalada na próxima conexão com a Internet (eu, que gosto de saber o que acontece na minha máquina, prefiro ajustá-lo para me permitir inspecionar as atualizações antes da instalação).

A segunda terça-feira deste mês caiu na semana passada. E quem usa Windows XP e fez as atualizações usando uma conta com privilégios de administrador há de ter percebido um comportamento um tanto misterioso. Em um determinado momento durante a atualização aparece na tela uma janela informando que será instalada uma “Ferramenta de remoção de software mal-intencionado” (Malicious Software Removal Tool), exibindo os termos de um acordo de licença de usuário final (End User Licence Agreement, ou EULA) e solicitando sua aquiescência para instalar. Dada a autorização, a janela desaparece e (caso seu micro esteja livre de certos vírus e vermes) nada mais acontece. Nadica de nada, coisa alguma, neca de pitibiribas, nihil. Então você começa a procurar pela nova ferramenta em todos os lugares em que imagina que a MS possa tê-la escondido: entrada “Acessórios/Ferramentas de sistema”, painel de controle, Área de Trabalho, diretório Windows, fuça tudo e não vê sinal dela. O que teria ocorrido? Deu chabu na instalação?

Para deslindar o mistério é preciso saber que durante o ano passado a MS desenvolveu ferramentas para remover certos programas “mal-intencionados”,  pragas conhecidas como: Berbew, Doomjuice, Gaobot, MSBlast, Mydoom, Nachi, Sasser e Zindos. Pois bem: este mês ela decidiu juntá-las todas na tal ferramenta incluída na última atualização de segurança.

Até aí, nada demais. O estranho é como a coisa funciona. Ao ser instalada, a ferramenta roda no modo “Quiet”, sem qualquer alarde, e faz uma varredura da memória para verificar se encontra uma daquelas pragas ativas (ou seja, que estejam rodando na memória; a ferramenta não verifica os discos rígidos). Se encontra, então dá sinal de vida: informa o que encontrou e efetua a remoção (reinicializando a máquina, quando isso é necessário). Mas, se não encontra, não emite aviso algum. Simplesmente desaparece sem dar um pio. E quando digo desaparece, não exagero: ela remove até mesmo seu próprio arquivo executável (Mrt.Exe) do disco rígido.

Segundo a MS, a partir deste mês, a cada atualização mensal, a ferramenta surgirá de novo (com a lista de pragas revista e aumentada), fará seu serviço subreptício e desaparecerá novamente (isso para usuários de Windows XP; a ferramenta funciona apenas em XP, 2000 e 2003 Server, mas usuários desses dois últimos sistemas não a recebem via atualização automática e precisam baixá-la de
< http://search.microsoft.com/search/results.aspx?st=b&na=88&View=en-us&qu=890830 >;
se você quiser obter mais informações sobre sua natureza e   funcionamento, visite
< http://go.microsoft.com/fwlink/?LinkId=39987 >).

Se você já fez a atualização de janeiro, não percebeu se a ferramenta foi ou não utilizada em sua máquina e quer ter certeza, procure na pasta WINDOWS\DEBUG pelo arquivo Mrt.Log, criado por ela para anotar os resultados da varredura. Se encontrá-lo, a ferramenta rodou em sua máquina. Para saber o que encontrou, abra o arquivo com o Bloco de Notas. É um arquivo texto que deverá conter a data e hora em que a varredura começou e terminou e seus resultados ( em inglês). Como só investiga a memória, costuma ser rápida: em minha máquina varreu os 512 Mb de memória em onze segundos. E o resultado foi “No infection found” indicando que não encontrou infecção alguma.

Esse negócio adianta? Bem, não substitui um antivírus nem de longe. Não perscruta o disco rígido e a lista de “malwares” que elimina é bastante limitada (mas a MS promete que a cada mês ela ganhará algum acréscimo). Mas tem uma vantagem: alguns daqueles programas mal-intencionados conseguem detectar e inibir a ação dos programas antivírus. Se isso ocorrer, a ferramenta os identifica e remove. Além disso, se não fizer bem, mal não há de fazer. Mesmo porque não dá   trabalho, não toma tempo, não exige nenhuma providência do usuário e, sobretudo, é de graça. Portanto, por que não usar?

Mas que aquele negócio de baixar, rodar e sumir é um bocado estranho lá isso é...

Sei lá... Parece coisa de vírus...

B. Piropo