O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 419 - Escrito em: 1999-08-31 - Publicado em: 1999-09-06


Nova minhoca infectando a galera


PrettyPark surgiu em junho, mas começa a aparecer agora perto de você

Durante a semana passada tive contato direto com várias ocorrências de uma mesma infecção virótica digital de pequena gravidade. Ela não apaga arquivos nem destrói seus diretórios, mas poderá fazê-lo se o autor da "worm" (minhoca, verme) estiver online junto com você. A julgar pela amostragem, a tal minhoca deve estar se propagando bem rápido. Fique de olho. O PrettyPark é uma worm que se parece muito com a velha e conhecida Happy99.exe dos fogos de artifício, já descrita aqui na coluna em <www.oglobo.com.br/arquivo/info/cat/389.htm>. Só agora está pipocando mais intensamente em nosso meio, não se sabe porque. Mas já é carne velha, tenho sido reportada pela primeira vez na França há coisa de dois meses. Começou a contaminar o mundo a partir de um spam originado de um endereço e-mail francês e chegou às mãos da Symantec em 1999-06-28, através do sistema Scan&Deliver da empresa.

A worm PrettyPark é um executável Windows PE com cerca de 37 kb, compactado com o utilitário WWPack32. Uma vez descomprimido, o arquivo fica como tamanho de 58 kb e aparenta ser um executável Delphi, cujo código puro ocupa apenas 45 kb. Apesar de seu tamanho reduzido a minhoca PrettyPark espalha-se rapidamente e tem um alto potencial destrutivo, caso se concretize a conexão com o servidor IRC e o sacripanta do autor estiver alerta.

Assim que é instalada, a worm procura por uma aplicação rodando com etiqueta interna igual a "#32770" (window caption). Se não existir tal janela aberta, a própria minhoca se registra como uma aplicação invisível e executa sua rotina de instalação.

O contágio se dá através de um arquivo anexo (attachment) a uma mensagem de e-mail chamado "PrettyPark.EXE". O subject/assunto desta mensagem é "C:\CoolProgs\Pretty Park.exe" e o corpo é um textinho muito bobo em inglês contendo até um smiley. A mensagem é assinada por alguém que você conhece, usando o nome completo do indivíduo, ou seja, provavelmente usando uma "sig" diferente da normalmente utilizada pela pessoa.

Se houver erro na rotina de instalação deste maldito verme, é ativado o screensaver SSPIPES.SCR, talvez para ocultar sua atividade. Se este screensaver não for encontrado, a worm tenta ativar outro, o Canalisation3D.SCR.

O programa cria também um arquivo chamado FILES32.VXD no diretório Windows\System, modificando algumas informações no Registry do sistema. Detalhe: apesar da extensão .VXD, este arquivo não é um driver VxD Win95/98, mas sim um verdadeiro executável Windows. Trinta segundos após ser executada, a worm tentará se auto-enviar via e-mail automaticamente a cada meia-hora para os endereços de destinatários que constem no seu livro de endereços da Internet (address book).

O PrettyPark tentará também se conectar a um servidor IRC (Internet Relay Chat), obviamente com intenções malignas. A lista de servidores a que ele tenta se ligar dá uma boa idéia geográfica de onde se baseia o canalha, autor da peça: irc.twiny.net, irc.stealth.net, irc.grolier.net, irc.club-internet.fr, ircnet.irc.aol.com, irc.emn.fr, irc.anet.com, irc.insat.com, irc.ncal.verio.net, irc.cifnet.com, irc.skybel.net, irc.eurecom.fr e irc.easynet.co.uk. A worm ficará enviando informações através do IRC também a cada meia-hora, de modo a se manter ativa, ao mesmo tempo podendo receber comandos potencialmente perigosos através do canal de IRC. Se o autor da worm estiver online, poderá monitorar os canais IRC nestes servidores e detectar as vítimas que estejam plugadas naquele instante. Poderá então o desprezível mundongueiro surrupiar informações do seu sistema, incluindo nome do computador, dados dos produtos instalados (nome, identificador, código, dono registrado e versões), identificadores e nicknames do ICQ, configuração completa do sistema, lista de discos, árvore de diretórios, telefones de acesso ao provedor, endereços e-mail de novas vítimas e códigos de usuários e suas senhas, a partir do Dial Up Networking do Windows. Como se não bastasse, uma vez conectado ao servidor IRC, abre-se um buraco na segurança do seu sistema através do qual o software cliente pode ser usado para criar e remover diretórios, além de enviar, receber, deletar e executar arquivos, ou seja, com amplas possibilidades destrutivas.

Para remover manualmente o PrettyPark, em primeiro lugar execute o programa Regedit do Windows. Altere o valor [FILES32.VXD "%1" %*] no campo "HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command" para o valor ["%1" %*], tudo sem os colchetes. Em seguida, delete o arquivo "WINDOWS\SYSTEM\FILES32.VXD" e o executável "Pretty Park.EXE". Reinicialize seu computador e está prontinho.

Novamente fica a prudente lição de jamais ativar um attachment de e-mail com extensões EXE, COM, BAT, PIF, SHS, DOC ou XLS, a menos que seu antivírus esteja sempre atualizado o que, cá entre nós, costuma ser bastante raro. Eu, por exemplo, como não tenho paciência de me manter sempre atualizado com antivírus, decidi simplesmente nunca mais abrir esses tipos de arquivo que me apareçam como anexos. Recebo dúzias deles por semana, mas devolvo uma resposta automática em que me recuso a abri-los por razões de segurança. O pessoal fica às vezes meio zangado, alegando coisas do tipo "minha empresa tem os antivírus mais modernos do mundo e eu jamais enviaria coisa bichada pra você". Tudo bem, mas eu não abro e pronto.


[ Voltar ]