Sítio do Piropo

B. Piropo

< Trilha Zero >
Volte de onde veio
08/10/2001

< Ainda o Nimda. >


Eu não queria voltar ao assunto, mas algumas mensagens recebidas me fizeram reconsiderar. Um bom exemplo é a do leitor Luiz Miranda. Diz ele que a coluna sobre o Nimda foi muito interessante, mas dois pontos importantes passaram em branco: como saber se a máquina está contaminada e qual o efeito do vírus. E tenho que admitir que ele tem razão. Então, vamos a eles.

O Nimda usa diversos meios para se propagar, mas o mais comum é através de uma mensagem de correio eletrônico “vazia” com um anexo denominado “Readme.Exe”. Usuários do Outlook e Outlook Express que mantêm aberto o painel de visualização e ainda não aplicaram a correção disponível no sítio da MS (veja em <www.microsoft.com/technet/
treeview/default.asp? url=/technet/security/topics/Nimda.asp
> [digite o endereço direto, sem quebra. N.WM.]) não precisam sequer abrir o anexo para infectar o micro, basta selecionar a mensagem. Portanto, se você preenche as condições e recebeu uma mensagem como essa, há uma boa possibilidade de sua máquina estar contaminada. Caso positivo, o vírus alterou o conteúdo do arquivo System.Ini da pasta WINDOWS\SYSTEM, modificando a linha “shell=explorer.exe” para “shell=explorer.exe load.exe –dontrunold”. Além disso, criou na mesma pasta o arquivo oculto “Load.Exe”. Finalmente, espalhou um grande número de arquivos com extensão Eml ou Nws em diversas pastas do  disco rígido (mas cuidado: mesmo uma máquina não contaminada pode conter esses tipos de arquivo; essa que vos fala abriga trinta deles, portanto só os considere sintoma de contaminação se forem encontrados em grande número, disseminados por pastas inesperadas). Verifique sua máquina. Ela está contaminada? Bem, então há mais algumas coisas que você deve saber.

O principal objetivo do Nimda é propagar-se rapidamente, infectando tantas máquinas quanto possível. Ele cria um enorme número de arquivos que ocupam grande espaço no disco rígido da máquina contaminada. Extrai endereços de correio eletrônico tanto de mensagens previamente recebidas e armazenadas pelo MS Outlook e Outlook Express quanto de arquivos de extensão Htm ou Html e envia para esses endereços mensagens de correio eletrônico infectadas. Aos arquivos Htm ou Html, adiciona linhas de código que fazem com que possa se propagar para máquinas remotas que eventualmente venham a abri-los. Finalmente, adiciona seu código a arquivos executáveis que o disseminarão ao serem abertos. Uma vez infectada, sempre que se conectar à internet, sua máquina será usada para propagar o Nimda explorando portas previamente “abertas” pelo vírus Code Red e falhas no programa servidor da MS, o IIS.

Isto posto, falta ainda discutir como se livrar do vírus no caso de contaminação. A maioria dos desenvolvedores de antivírus criou utilitários para esse fim, postos à disposição dos interessados em seus sítios. Na página do CERT sobre o Nimda (em <www.cert.org/advisories/CA-2001-26.html>) há atalhos para todos eles. Recomendo especialmente o da Panda, em <www.pandasoftware.es/library/NimdaMoreinf4_en.htm>, onde além do utilitário para remoção há uma descrição passo a passo do procedimento de remoção para quem preferir fazê-lo manualmente. Bom proveito.

PS: Está na praça a sétima edição do livro “Como montar, configurar e expandir seu PC” do Laércio Vasconcelos, editado pela Makron Books. Eu já devia tê-lo mencionado aqui. Se não o fiz a culpa é do próprio Laércio, que escreveu um livro tão agradável de ser lido que repousa na minha cabeceira desde que pus as mãos nele e sempre que penso em mencioná-lo vem a vontade de ler mais um bocadinho antes de comentar. Laércio é um profundo conhecedor da matéria e não tem receio de expor sua opinião sobre temas polêmicos. O resultado é um livro sólido, bem escrito, que aborda os detalhes técnicos em linguagem suficientemente simples para serem entendidos por não especialistas mas sem a superficialidade que afastaria os conhecedores. É o tipo do livro que recomendo sem hesitação. Para saber mais, visite o sítio do Laércio em <www.laercio.com.br>.

E já que estamos no campo das recomendações, impossível não voltar a mencionar a revista PCs, que já está no número 27 e consolidou-se como publicação técnica responsável, séria e informativa. Ganhou cores, aprimorou-se e estabeleceu seu próprio sítio na internet, onde podem ser encontrados os atalhos citados em cada edição. Não é para principiantes (não é essa sua proposta): seus artigos exigem algum conhecimento técnico para serem apreciados. Mas para quem se interessa por hardware da linha PC e pretende se manter atualizado é leitura essencial.

B. Piropo