O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 408 - Escrito em: 1999-06-14 - Publicado em: 1999-06-21

Agora eles pegaram pesado

Virus Worm.ExploreZip chegou arrasando

wpe1.jpg (33099 bytes)Estava até demorando para acontecer. Quando alguma cabeça maquiavélica juntasse o poder de disseminação do virus Melissa com a capacidade destrutiva do CIH/Chernobyl, muita gente iria sofrer. E foi exatamente o que aconteceu com a mais nova infecção mundial via Internet, o virus Worm.ExploreZip, cujo alarme foi recebido pela Symantec <www.symantec.com> no domingo 1999-06-06, oriundo de cinco empresas de Israel que aparentemente foram as primeiras afetadas. Este virus, que é classificado como "worm" (minhoca) no jargão técnico, utiliza-se de comandos do Mail Application Programming Interface (MAPI) e usa características específicas do Windows para se propagar.

O Worm.ExploreZip não se espalhou tão rapidamente quanto o Melissa, entre outras razões, pelo fato de ter logo sido anunciado pelas empresas anti-virus. Mas acabou revelando um novo inimigo dentro das empresas: a figura do palhaço que quer ver o circo pegar fogo. Milhares de empresas no mundo inteiro estão sendo afetadas até o presente momento por este novo virus, mas em muitas delas a infecção não teria ido adiante se não existisse sempre um funcionário mal-intencionado e espírito-de-porco que, mesmo já tendo lido as advertências sobre o virus, optou por dar duplo-click no executável que propagava o mal. "A empresa não é minha" -- pensam alguns -- "então vou rodar esse attachment e vamos ver o que acontece..." (click click) E catapumba, toda a rede da companhia estará contaminada em questão de minutos.

Contra este e qualquer outro virus, as recomendações de sempre se aplicam:

  1. Mantenha seus arquivos backupeados,

  2. Mantenha seu anti-virus ligadão e sempre atualizado, e

  3. Jamais abra um executável ou qualquer arquivo perigoso que venham anexados (attached) a uma mensagem e-mail, a não ser que tenha absoluta certeza da procedência do material. Arquivos suspeitos são aqueles com extensões exe, com, bat, pif, doc e xls.

Inúmeras empresas no mundo inteiro tiveram que derrubar seus servidores de e-mail até que suas equipes de administração limpassem o virus de suas redes internas. A Boeing agiu desta forma com seu sistema de mensagens, usado por cerca de 150 mil empregados, mas mesmo assim muita gente teve seus dados perdidos. Companhias de peso como a General Electric, Southern Company e Credit Suisse tiveram muitos arquivos deletados. Outras empresas demonstraram maior agilidade, como a Intel, a AT&T e a Microsoft, sendo que esta última ficou apenas duas horas com os servidores fora do ar.

O Worm.ExploreZip procura e apaga arquivos com extensões doc, xls, ppt, c, cpp, h ou asm. Por seu perfil destrutivo, depreende-se que quem desenvolveu o virus tinha como alvo usuários corporativos e desenvolvedores de software, já que visa eliminar também código fonte, bem como documentos e planilhas, localizados tanto no disco local quanto no servidor de arquivos da rede local.

O Worm.ExploreZip usa Microsoft Outlook, Outlook Express e Exchange para se reproduzir através de e-mail, respondendo mensagens não lidas em sua mailbox de entrada. O virus vasculha os drives mapeados em todas as máquinas de sua rede e, onde quer que esteja rodando Windows, ele se auto-copia para a máquina remota e modifica o arquivo WIN.INI, contaminando o sistema. O virus continua monitorando a mailbox de entrada e vai respondendo às novas mensagens que forem aparecendo.

A contaminação se dá através de um arquivo executável anexado chamado "zipped_files.exe", mas que poderá vir com outros nomes, é claro. Quando se roda este executável, ele se copia para o diretório Windows System com o nome Explore.exe, ou para seu diretório Windows com o nome "_setup.exe". Em seguida seu WIN.INI é modificado de modo que o mil vezes maldito programa seja executado a cada vez que você inicializar o Windows.

O texto da mensagem assassina é: "Hi, (Fulano)! I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs.", que traduzida fica algo do tipo: "Oi, (Fulano)! Recebi seu e-mail e responderei assim que puder. Enquanto isso, dê uma olhada nos documentos zipados em anexo." E pronto, lá vai você dar um double-click no attachment e... dança. Cuidado, não caia nessa.

É muito comum que infecções mundiais cheguem aqui ao Brasil traduzidas ou levemente alteradas. Quando se trata de arquivos anexados a um e-mail, o texto da mensagem geralmente conduz o usuário a abrir o attachment, geralmente empregando técnicas conhecidas como "engenharia social", ou seja, mentirinhas do tipo: declarar que o arquivo em anexo é uma correção ou atualização de software; usar conteúdo humorístico e divertido para induzir a vítima a abrir o arquivo; utilizar técnicas de envio de mensagens fazendo parecer que o remetente é pessoa ou instituição conhecida e confiável; ou anexar arquivos destrutivos usando nomes aparentemente inofensivos ou ícones amigáveis e bonitinhos.

Como se sabe, a marca de anti-virus que você usa é questão de gosto, igual a time de futebol. Proteja-se, de acordo com sua preferência: Central Command <www.avp.com/upgrade/upgrade.html>, Command Software Systems <www.commandcom.com/html/virus/explorezip.html>, Computer Associates <http://support.cai.com/Download/virussig.html>, Data Fellows <www.datafellows.com/news/pr/eng/19990610.htm>, McAfee <www.mcafee.com/viruses/explorezip/protecting_yourself.asp>, Network Associates Incorporated <www.avertlabs.com/public/datafiles/valerts/vinfo/va10185.asp>, Sophos, Incorporated <www.sophos.com/downloads/ide/index.html#explorez>, Symantec <www.sarc.com/avcenter/download.html> e Trend Micro <www.antivirus.com/download/pattern.htm>.

Um dos documentos mais detalhados sobre este virus é do CERT, encontrável em <www.cert.org/advisories/CA-99-06-explorezip.html>. Leia-o e pegue os detalhes.

[ Voltar ]