Aos
que freqüentam este Sítio:
Se você encontrou material repetido nestas páginas,
aqui vai a justificativa.
Estive fora do país por um período razoavelmente
longo em duas viagens de trabalho sucessivas. Para não
deixar os leitores em falta e manter meus compromissos, deixei
prontas e entregues o material do Globo: as colunas e alguns artigos
para serem publicados durante este período. Mas jornal
é uma coisa imprevisível e não foi possível
publicar o artigo que havia preparado para segunda-feira passada,
dia 13 de outubro. Como o assunto é importante, a eclosão
de um novo e violento verme, o Swen, achei conveniente transformar
o artigo em coluna e publicá-lo uma semana depois.
Como eu estava fora do país, não houve como tomar
conhecimento que o artigo não seria publicado no Globo.
Por isso ele estava aqui semana passada, na seção
“Artigos em O Globo”. Se você o leu, peço
desculpas por obrigá-lo a ler novamente uma versão
mais curta, travestido em coluna. Mas como o número de
leitores do Globo é maior que o de amigos que freqüentam
este sítio, achei por bem republicar o texto em benefício
dos primeiros. Mesmo porque sei que conto com a amizade e compreensão
dos últimos.
Obrigado e bom proveito.
Detectado
pela primeira vez no dia dezenove do mês passado, o “verme”
Swen (W32.Swen.A@mm ou W32/Gibe-F) é a praga da vez. Como
todos os vermes mais recentes, explora uma vulnerabilidade do
Internet Explorer conhecida como “MIME header flaw”
que permite executar o arquivo que dissemina o verme apenas exibindo
a mensagem que o contém. Essa vulnerabilidade tem sido
tão explorada que, hoje, dificilmente se encontra um micro
em que ela ainda não tenha sido corrigida (mas, para quem
ainda não a corrigiu, o “remendo” se encontra
em
<www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-020.asp>).
Por isso o Swen recorre também a formas mais sofisticadas
de se disseminar.
Uma delas é apelar para programas de compartilhamento de
arquivos, como o KaZaA e IRC. Para se propagar através
do primeiro, Swen espalha algumas cópias de si mesmo nas
pastas de compartilhamento sob a forma de arquivos com nomes gerados
aleatoriamente. Para contaminar usuários do IRC ele cria
um arquivo Script.Ini na pasta do programa mIRC, de onde se espalha
para as máquinas conectadas. Mas a forma mais comum de
contaminação é a clássica: arquivos
executáveis anexados a mensagens de correio eletrônico.
Ora, mas se a forma mais comum é justamente a mais “manjada”,
como se explica o fato dele já haver contaminado quase
dois milhões de micros? Bem, é que ele usa disfarces
inteligentes. Um deles é um aviso pretensamente acusando
a impossibilidade de entregar uma mensagem anteriormente enviada
(“delivery failure notice”). Ora, abrir um arquivo anexado
a uma dessas notificações para verificar qual de
nossas mensagens não atingiu o destinatário é
quase um ato reflexo. E basta fazê-lo para que a máquina
seja contaminada. Mas a forma mais ardilosa é se fazer
passar por um “patch” da própria Microsoft. A
mensagem que transporta o arquivo do verme tem um aspecto bastante
profissional e afirma, em inglês, que seu anexo é
a versão mais recente da atualização de segurança
do IE, Outlook e OE (“September 2003 cumulative patch”).
Exibe uma tabela com as características dos sistemas em
que é aplicável e agradece por usar os produtos
da MS. Tudo muito limpo, bem feito e profissional. O anexo terá
extensão Exe ou Zip e pode se chamar “Patch”,
“Upgrade”, “Update”, “Installer”,
“Install”, “Pack” ou simplesmente “Q”,
seguido de números gerados aleatoriamente. Ao ser executado,
aparecem uma série de janelas solicitando permissão
para instalar a suposta atualização e informando
sobre seu progresso. Parece coisa da MS mesmo, mas feita a suposta
instalação, a máquina estará contaminada.
Assim que instalado, o Swen tentará abortar a maioria dos
programas antivírus e criar um grupo de arquivos e alterações
no Registro para garantir que será executado a cada inicialização.
Faz a busca usual por endereços de correio eletrônico
no disco rígido da máquina contaminada e manda uma
mensagem com cópia de si mesmo aos que encontrar. Além
de tudo isso, de tempos em tempos exibe uma janela falsa, com
o título “MAPI32 Exception” informando a ocorrência
de um erro interno e solicitando seus dados pessoais, como nome,
senha, endereço de correio eletrônico e endereços
dos servidores SMTP e POP de seu provedor. Se você for suficientemente
ingênuo para fornecer esses dados a uma janela que aparece
inopinadamente em sua tela sem justificativa aparente, o Swen
os usará para estabelecer contato com seu provedor e apagar
suas mensagens.
Como o verme já está rolando há um mês,
os desenvolvedores de programas antivírus já incluíram
suas características nas definições de vírus,
portanto a melhor forma de se proteger é manter seu programa
antivírus ativo e atualizado. Além de, naturalmente,
verificar com freqüência o sítio da MS em busca
de “remendos” de segurança para seus programas.
E se a desgraça já aconteceu e sua máquina
está contaminada pelo Swen (o sintoma mais óbvio
são as eventuais mensagens de MAPI32 Exception), já
existem ferramentas para removê-lo. A da Symantec, assim
como instruções para seu uso, pode ser encontrada
em:
<http://securityresponse.symantec.com/avcenter/venc/data/[email protected]>.
No mais, o de sempre. Antes de dormir, depois de suas preces,
repita dez vezes com fé e contrição: “não
devo abrir arquivos anexos de fontes desconhecidas e só
abrirei os de fontes conhecidas depois que confirmar do que se
trata e se vale mesmo a pena correr o risco”. E só
então durma sossegado.e.
