O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 383 - Escrito em: 1998-12-23 - Publicado em: 1998-12-28


Remote Explorer, o virus do NT


Sistema operacional que deveria ser imune a virus provou que não é

Nosso atentíssimo correspondente em Los Angeles, Jorge Vismara, lembrou-se muito bem dos tempos em que a Microsoft anunciava seu então futuro sistema operacional com nome código Cairo. O dito cujo veio a ser mais tarde o famosíssimo Windows NT. Pois bem, nos tempos do Cairo dizia-se que iria ser um sistema tão porreta que seria completamente imune a virus. Dia 17 passado, ó ironia do destino, surgiu um dos mais nefastos virus da história. E esse organismo do mal só roda... em Windows NT.

As informações que aqui estão foram obtidas no site da Network Associates, a mais categorizada empresa de segurança de sistemas do mundo, atual dona da tradicional McAfee velha de guerra. No endereço <www.nai.com/products/antivirus/remote_explorer.asp> você poderá obter maiores informações e, naturalmente, fazer o download das ferramentas de detecção deste novo virus. Lá também se encontram programas de proteção, além de instruções detalhadas sobre como lidar com este mal em sistemas Windows NT e desktops Windows 95/98.

O virus chama-se Remote Explorer e basicamente afeta sistemas Windows NT, tanto servidores como workstations. É residente em memória e atua sobre arquivos EXE, TXT e HTML, criptografando-os. Espalha-se através de ambientes LAN (Local Area Network) e WAN (Wide Area Network).

Para descobrir se seu sistema está infectado, abra o applet Services no Painel de Controle do NT. Se você encontrar "Remote Explorer" listado como um dos serviços disponíveis, então cara leitora, você dançou. Um outro jeito de confirmar sua infecção é, no Start Menu, você rodar o TASKMGR.EXE. Quando estiver visualizando o item "Processes" e aparecerem os processos IE403R.SYS ou TASKMGR.SYS (ao invés de EXE), então também babau.

Segundo a Network Associates, a característica mais sem-vergonha do Remote Explorer é que ele pode se mover e se transportar sem as típicas intervenções do usuário, ou seja, nem através de disquete, nem via e-mail. E depois disso, o safado simplesmente se reproduz e sai matando. O virus RE age comprimindo os executáveis infectados e se instala no sistema vítima criando uma cópia de si mesmo no diretório NT Driver, autodenominando-se IE403R.SYS. Ele carrega também uma DLL que lhe dá suporte nos processos de infecção e criptografia. Mas saiba que não adianta a leitora, esperta como quê, matar a DLL do Remote Explorer. O virus recria a maldita num piscar de olhos.

Uma análise preliminar revela que o Remote Explorer se propaga através do roubo dos privilégios de segurança do administrador do domínio, permitindo que se alastre em direção a outros sistemas Windows. Uma vez lá, ele infecta arquivos e os comprime, além de criptografar dados de forma aleatória. Ou seja, a perfeita "verda no mentilador".

Muito embora qualquer sabor de sistema Windows possa armazenar arquivos infectados pelo RE, o virus não pode se espalhar nesses ambientes. O Windows NT é o único meio em que o tal maldito virus se propaga. Ele infecta qualquer executável e usa uma rotina de compressão para inutilizar o arquivo. Esta rotina é muito parecida com o algoritmo do GZIP, um compressor muito usado em máquinas Unix.

Para criptografar arquivos de dados, nos formatos TXT e HTML, o Remote Explorer aparentemente escolhe um diretório na base do chute e começa a cumprir seu terrível destino. Trata-se de um virus bem complexo e extremamente grande, cujo agente de infecção tem 125kb, representando cerca de 50 mil linhas de código. Ou seja, é uma obra prima escrita em "C", que deve ter exigido em torno de 200 homens-hora para ser escrito. Isso sem mencionar a necessidade de contatos e pesquisas em várias fontes fidedignas de modo a obter-se o embasamento técnico para tocar a obra, além da necessidade de conseguir trechos pré-compilados de código.

A sofisticação do Remote Explorer chega ao ponto de ele acionar uma rotina interna de tempo, que acelera o processo de busca e infecção de arquivos no período entre as 3 da tarde de Sábado até as 6 da matina do Domingo seguinte. Não é o máximo?

Há indícios de que o Remote Explorer interaja de alguma forma com o programa Dr. Watson, mas a gravidade dessa interação ainda não foi claramente determinada. A equipe da Network Associates está virando noite de modo a disponibilizar o quanto antes uma ferramenta para eliminação do Remote Explorer, pois até há pouco só se podia detectá-lo, nada mais. O tal desinfetante eliminaria o virus da memória sem necessidade de reboot, remove-lo-ia da lista de serviços do NT, limparia e faria os devidos reparos nos arquivos de dados criptografados e nos executáveis infectados. Se tudo correr bem, a leitora já poderá entrar o ano de 1999 bem tranqüila quanto ao perigo do Remote Explorer. Sem dúvida alguma, mais um banho de competência da Network Associates.


[ Voltar ]