Sítio do Piropo

B. Piropo

< Trilha Zero >
Volte de onde veio
01/10/2001

< Nimda >


Quando me perguntavam o que fazer para evitar a contaminação por vírus enviados através de correio eletrônico eu respondia que bastava seguir uma regra elementar: jamais abrir um arquivo anexado. E acrescentava: pelo menos até que algum mentecapto desenvolva um vírus que seja executado sem necessidade de abrir anexos. Infelizmente, com o Nimda esse dia chegou.

Resumindo para evitar maçantes detalhes técnicos: para infectar um micro, um vírus precisa ser executado. E para isso é preciso “abrir” (carregar na memória e executar) o arquivo que contém seu código. Até recentemente, se o usuário adotasse a política intransigente de jamais abrir arquivos anexos, o código que dissemina o vírus nunca seria executado e o usuário estaria protegido. Infelizmente isso não é mais verdade. Pelo menos para quem usa os programas de correio eletrônico da MS, Outlook ou Outlook Express (o primeiro integrante do pacote “Office”, o segundo distribuído com Windows). Isso porque, com o intuito de torná-los mais atraentes, a MS permitiu que certos códigos fossem “embutidos” em mensagens e executados quando elas fossem exibidas (é assim que surgiram aquelas musiquinhas chatíssimas ouvidas ao se abrir certas mensagens). Uma função totalmente supérflua, evidentemente. Mas tem gente que gosta.

Resultado: não tardou muito para que um mequetrefe mais atilado descobrisse um jeito de contornar as providências tomadas pela MS para garantir que apenas códigos “seguros” fossem executados ao se exibir mensagens. O resultado é o Nimda (“Admin”, abreviação de “Administrator”, ao revés). O pior é que se o Outlook ou Outlook Express está configurado para manter aberto o “Painel de visualização”, nem é preciso abrir a mensagem, basta selecioná-la: a simples exibição no painel basta para contaminar a máquina (para manter o painel fechado acione a entrada “Layout” do menu “Exibir” e desmarque a caixa “Mostrar painel de visualização”).

O Nimda explora ainda outras fraquezas de programas da MS, inclusive uma de seu IIS (Internet Information Server, usado por provedores para gerenciar seus servidores de internet) que permite contaminar máquinas com uma simples visita a páginas da rede (explorando uma deficiência conhecida por “web traversal exploit” pode-se “embutir” código malicioso em uma página de tal forma que basta visitá-la para ser contaminado; a MS já desenvolveu a correção para o web traversal, mas é preciso que o provedor a instale para sanar a falha) e pode se propagar mesmo em máquinas que usem outros programas de correio eletrônico (mas nesse caso é preciso que o usuário abra um arquivo anexado, em geral intitulado “Readme.Exe”).

Nimda certamente é um dos vírus mais perigosos já criados e dará prejuízos de bilhões de dólares (sem exagero: os prejuízos atribuídos a apenas quatro vírus, Melissa, Anna Kournikova, Love Bug e Code Red, montam a quatro bilhões de dólares). E a comunidade da internet está em polvorosa querendo saber como se proteger.

Bem, para evitar a contaminação através da simples visita a páginas da rede basta que os provedores que usam o IIS instalem a correção em seus servidores ou passem a usar um programa mais seguro que o IIS (veja recomendação do Gartner Group no final da coluna). A correção está disponível no sítio da MS, portanto não há desculpa para não instalá-la (se seu provedor ainda não o fez, troque de provedor). Quanto ao usuário: a primeira providência é atualizar o arquivo de definição de vírus de seu anti-vírus: a celeuma causada pelo Nimda foi tão grande que todo desenvolvedor de anti-vírus já incluiu em seu sítio novas definições que abrangem o Nimda  (e se você já se infectou, provavelmente encontrará por lá um utilitário para removê-lo). Quem não usa o Outlook, deve continuar aferrado à prática de jamais abrir anexos. E quem usa deve adotar uma dentre duas providências: ou correr até o sítio da MS e instalar a correção descrita no boletim de segurança MS01-020, em <www.microsoft.com/technet/security/bulletin/ms00-078.asp> ou simplesmente adotar um programa de correio eletrônico mais seguro.

Na verdade, essa recomendação não é minha, é de Steven Vaughan-Nichols (leia o artigo “Ban Outlook Now”, no qual ele explica suas razões e aconselha programas alternativos, em <http://techupdate.zdnet.com/techupdate/stories/main/0,14179,2814683,00.html>). Uma recomendação que se estende ao IIS: o Grupo Gartner recomenda que as empresas o substituam imediatamente por um gerenciador mais seguro; veja artigo em <www.zdnet.com/zdnn/stories/news/0,4586,2814546,00.html>.

Enfim, é isso. Hoje em dia ninguém mais está seguro, mesmo quem não transige na política de jamais abrir anexos. O mundo está mudando. E mudando para pior...

B. Piropo