| Rio, 31 de janeiro de 2004 MyDoom revelou se como o vírus de mais rápida disseminação de toda a história, superando Klez e até mesmo o Sobig. As notícias recentes estão assustando os usuários pois muitas informações desencontradas estão sendo soltas no ar na mesma intensidade em que mensagens com o arquivo virótico chegam em nossas caixas postais. Devido a isso tudo, sinto me na obrigação da falar sobre algumas características deste Worm bem como dar algumas dicas para evitá-lo e sair incólume desta tempestade. ( acredite, isto não é só perfeitamente possível como é até bem simples ). Bem, vamos lá: Em primeiro lugar, deve se deixar bem claro que o MyDoom na realidade não é somente um Worm, pois existem variantes. A segunda variante ( MyDoom.B ) tem as mesmas características da primeira variante ( MyDoom.A ) sendo que esta segunda variante revela-se mais perigosa e difícil de eliminar devido a sua capacidade de impedir que os usuários acessem os sites de atualizações de seus programas de antivírus, fazendo com que o antivírus não consiga reconhecer a praga caso o mesmo não tenha sido atualizado antes da infecção. O worm se dissemina de duas maneiras: Através de e-mails e programas de compartilhamento de arquivos ( leia-se KaZaA ). Através de e-mail: As mensagens que vem com o MyDoom geralmente tem como "assunto" um dos ítens abaixo ( ele manda aleatoriamente ):
O corpo da mensagem geralmente é uma das frases abaixo:
Estas mensagens sempre vem com um arquivo em anexo, e os anexos geralmente vem com estas extensões: Algumas vezes a extensão pode ser precedida de uma pré-extensão ( artifício muito utilizado para enganar os usuários fazendo os pensar que estão abrindo um arquivo idôneo, quando na realidade o anexo é um vírus ), por exemplo: Caso receba alguma mensagem com estas características NÃO ABRA o anexo. Delete imediatamente a mensagem. Recebi algumas informes dizendo que este Worm, assim como o Klez, pode infectar a máquina do usuário mesmo sem clicar no anexo, bastando somente a simples leitura da mensagem para que o micro seja infectado. É verdade que existem alguns vírus que se aproveitam de uma falha das versões 5 e 5.5 do explorer ( Outlook 5 ) na qual a simples visualização da mensagem é suficiente para infectar a máquina, mas até o presente momento não tive confirmação de que ele explore esta falha. De qualquer modo, ela afeta os usuários dos navegadores Internet Explorer 5.0, 5.5sp1. A versão 6.0 em diante está livre disso. Caso seja um usuário destas versões afetadas, a melhor maneira de se prevenir é tirando o "preview" do Outlook. O preview é um recurso deste programa na qual pode se visualizar uma mensagem sem precisar abri-la. Geralmente a mensagem pode ser visualizada na parte inferior do programa. Para desabilitar este recurso, clique em "exibir>layout" e desmarque a caixa "painel de visualização". OBS: para saber a versão de seu navegador, clique em "ajuda>sobre o internet explorer" no menu que fica na parte superior da interface do programa. Através programas de compartilhamento de arquivos: O Worm tem a capacidade de criar uma entrada no registro do Windows para fazer com que ele se dissemine através da pasta de"sharing" ( compartilhamento ) do KaZaA, fazendo deste modo com que usuários deste programa acabem baixando arquivos com o worm. Geralmente estes arquivos são:
Sempre acompanhados das extensões características do worm( bat, scr, com, exe, etc. ). Usuários destes programas de compartilhamento de arquivos devem ter muito cuidado com isto. O aconselhável é rodar um antivirus em TODOS os arquivos baixados pelo KaZaA ANTES de rodá-los. Uma característica deste Worm que tem assustado muitos usuários é o seu mecanismo de smtp próprio, fazendo com que ele possa mandar mensagens a revelia do usuário, pegando o catálogo de endereços e mandando mensagens com o endereço escolhido, e não o da máquina infectada. Entendeu? Não? Então explico: Digamos que exista uma máquina com endereço de e-mail chamado teste@tccamargo.com e no catálogo de endereços desta máquina tenha um e-mail com este nome: teste2@provedor.com. Suponha-se que o computador teste@tccamargo.com tenha sido infectado pelo MyDoom. Ao invés dele só mandar mensagens com o endereço teste@tccamargo.com , que evidentemente é o endereço da máquina infectada, vai mandar mensagens também através do endereço teste2@provedor.com. Mesmo que este usuário não esteja infectado. O resultado disso é que o usuário da máquina teste2@provedor.com vai receber notificações de que sua máquina está infectada pelo vírus e o mesmo ficará assustado a toa porque quem está infectado realmente é a outra máquina. Então, caso receba alguma notificação de envio de mensagens com o MyDoom para algum endereço, não se assuste. Verifique sua máquina com um bom antivirus e caso tudo esteja bem, fique tranquilo pois sua máquina não está infectada, mas alguém que tem o seu endereço no catálogo do Outlook está com o MyDoom. Uma das ações o MyDoom é abrir uma porta para recepção de máquinas remotas. Este é o maior perigo em potencial que esta praga pode causar a maioria dos usuários. Ser infectado pelo MyDoom significa ter a sua máquina fragilizada contra ataques de máquinas remotas. O mais grave de tudo é que não se sabe ao certo todos os recursos que este worm pode criar numa máquina infectada pois uma porta aberta é um caminho para infinitas possibilidades. Já é de conhecimento de quase todos que uma das intenções dele é mandar um ataque em massa para os endereços da SCO e Microsoft. A data dos ataques está marcada para começar dia 03 de fevereiro e acaba no dia 01 de março, quando o worm para com suas ações. Este tipo de ataque chama-se DdoS, ataque de negação de serviço. Quando digitamos o endereço de uma página no nosso navegador, por exemplo: www.tccamargo.com, fazemos uma requisição ao servidor de hospedagem desta, ou seja, enviamos um pacote para recebermos uma resposta. A resposta é o envio da página para o nosso micro. Imagine milhões de máquinas fazendo isso ao mesmo tempo só que mandando milhões ao invés de uma requisição? O servidor da página simplesmente não vai aguentar e vai negar, ficar fora de linha, off, durante algum tempo. Para que este ataque seja bem sucedido é necessário que milhares de máquinas estejam sob controle do atacante. É aí que entra o MyDoom. Uma das funções dele é fazer um papel de zumbi na máquina infectada, esperando o momento certo para receber a função de ataque. Num determinado dia, milhares de máquinas que estejam infectadas pelo Worm farão um ataque coordenado ao site vítima. Sim, sua máquina e milhares de outras de usuários inocentes farão parte de um ataque em massa ao site, caso estejam infectadas. Este tipo de ataque é quase infalível e de difícil solução pois para que ele não surta efeito é necessário que as máquinas que estejam com o MyDoom fiquem limpas. Por isso que a SCO, a Microsoft e até mesmo entidades governamentais ficam preocupadas com o Worm... Chega a ser impressionante como uma praga destas consegue tanta repercussão, já que ele se aproveita basicamente de falhas humanas o que mostra que ainda, mesmo após 1 década de computadores em nossas casas ainda sejamos o elo mais suscetível a erros desta corrente. Os sentimentos de um ser humano como sempre podem ser a sua desgraça ou a salvação. Thadeu Camargo |