< Trilha Zero >
|
|
|
20/11/2000
|
< Cuidado Com Elas > |
Você já deve ter ouvido falar do MTX (se não, informe-se; há poucas semanas mestre C@T escreveu excelente artigo sobre ele). É um vírus que se propaga através de arquivos anexados a mensagens automaticamente enviadas à lista de destinatários da vítima. No caso do MTX, esses arquivos, ardilosamente, mudam de nome e de extensão. Pois bem: muitos deles usam a extensão Pif. Você a conhece? É o acrônimo de “Program Information File”, ou arquivo de informações de programa. Usados desde Windows 3.x para “chamar” programas DOS, hoje são conhecidos como “atalhos para programas MS-DOS”. Abrir um arquivo Pif invoca um programa DOS, inclusive um daqueles que pode fazer um estrago medonho em sua máquina, como atesta o vírus MTX. E de arquivos Shs, já ouviu falar? A extensão identifica os chamados “scrap files” ou “arquivos de recorte” (para detalhes, consulte o artigo “WD: What Is a Scrap (.shs) File?”, ID Q138275 da Microsoft Knowledge Base). Quem me chamou a atenção para a facilidade com que se pode criar um deles foi o Marcos Velasco: basta arrastar o ícone de um objeto para um documento de um programa que suporte OLE e, em seguida, arrastá-lo do documento para a área de trabalho. O objeto assim criado adota o nome “Recorte” e sua extensão Shs não é exibida (já veremos porque). Um clique duplo sobre ele invoca o objeto original. Que, se for um arquivo executável, é executado e pode ter efeitos desastrosos. Procure em sua máquina por arquivos com extensões Shs ou Pif. Aposto que não vai encontrar nenhum. No entanto garanto que pelo menos um arquivo Pif lá se abriga: o “Prompt do MS-DOS”. O mais grave é que sua extensão não é exibida mesmo que você tenha ajustado a máquina para exibir as extensões de arquivos conhecidos, conforme sugeri na Trilha Zero de 23/10. A razão disso é a existência de um “valor” no Registro de Windows que, se presente na chave de uma classe de arquivos, impede que a extensão do nome dos arquivos daquela classe seja exibida, independentemente dos demais ajustes. Este valor denomina-se “NeverShowExt” e faz efeito por sua simples presença, contenha ou não algum dado (ou seja: mesmo “vazio” impede que a extensão seja exibida). Pois bem: tanto a extensão Pif quanto a Shs, juntamente com Shb (um outro tipo de “recorte”) e Lnk (atalho), todas contidas na lista de extensões de arquivos considerados “inseguros” pela própria MS por serem capazes de se associarem a scripts ou conterem código executável de efeitos potencialmente destrutivos, incluem esse valor em suas chaves e nunca são exibidas (consulte a lista de extensões “inseguras” no artigo “OL98: Information About the Outlook E-mail Security Update”, ID Q262617, da Microsoft Knowledge Base). Este valor representa um perigo terrível, particularmente para os usuários que se sentem seguros após ajustarem a máquina para exibir extensões de arquivos conhecidos. Imagine que uma dessas máquinas receba uma mensagem com um anexo intitulado FEITICEIRA_NUA.JPG.pif (por sinal, um dos que propagam o MTX). Como a extensão Pif não aparece devido ao parâmetro NeverShowExt, imagina-se que se trata de um arquivo de imagem em formato JPEG e pode-se ser induzido a abri-lo, contaminando a máquina com um dos mais nefastos vírus já desenvolvidos. Solução? A única que conheço envolve a edição do Registro. Carregue o Editor de Registro, passe para a chave [HKEY_LOCAL_MACHINE\Software\CLASSES\] e efetue uma busca pelo valor “NeverShowExt”. Encontrando-o, verifique a que tipo de documento a classe corresponde (o tipo deve constar do valor “Padrão”, mostrado na janela da direita do editor) e, se não for “valor não definido” – que sugiro não alterar – avalie a possibilidade de mudar o nome da chave para, por exemplo, “NeverShowExtOff” (eu havia pensado em simplesmente eliminá-la, mas a sugestão de renomeá-la oferecida pelo André Gurgel é mais inteligente pois mantém um testemunho de que o valor esteve presente nas chaves alteradas). Isso fará com que as extensões “proibidas” passem a ser exibidas (desde que a máquina tenha sido ajustada para exibir extensões conhecidas, evidentemente). Um procedimento passo a passo não caberia aqui neste canto de página, mas se a descrição aí de cima foi resumida demais para seus conhecimentos, acesse esta coluna na seção Escritos de minha página pessoal, em <www.bpiropo.com.br>. Nela você encontrará um atalho para um texto que não somente traz a descrição detalhada do procedimento como, de lambuja, traz ainda a lista das chaves do (meu) registro que continham o valor NeverShowExt e das extensões consideradas inseguras pela MS, com descrição – em português – do arquivo a que correspondem. Bom proveito. B. Piropo |