O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 429 - Escrito em: 1999-11-08 - Publicado em: 1999-11-15


BubbleBoy: agora sim, a coisa ficou séria


Basta ler um email infectado que o vírus BubbleBoy faz a festa

Você deve se lembrar de uns antigos alarmes-falsos de vírus que levavam as multidões à loucura, dizendo que bastava abrir determinada mensagem que a máquina seria infectada. A gente morria de rir com o pessoal que tinha medo de algo assim. Os especialistas da época tiveram uma trabalheira danada para explicar que tal cousa não era possível. Bem, não ERA. Foi recentemente estabelecido um marco nas infecções digitais, com o advento do "VBS. BubbleBoy", uma worm rara e pouco virulenta escrita por um tal de Zulu. Ele não vem num arquivo anexado contaminado. O próprio corpo da mensagem traz o código maligno. Abriu a mensagem, dançou.

Se você sabiamente optou por usar versões antigas de software Microsoft, fique sossegado, pois o BubbleBoy requer Microsoft Outlook ou Outlook Express para se propagar, sob Internet Explorer 5. Se usar o Outlook Express, basta dar um preview na mensagem que você já se ferra. Mas se o usuário configurou o browser com a opção "High", ou seja, segurança máxima, então zuzubem, não precisa se preocupar.

Além disso, a worm só afeta as versões em inglês ou espanhol do Win98 e 2000, mas também pode funcionar no Win95 caso esteja instalado o Windows Scripting Tools. Quem usa WinNT pode esquecer o assunto, está limpo.

O Zulu deve ser fã do seriado "Seinfeld", pois o nome "BubbleBoy" parece ser uma referência a um episódio da série <www.tcdot.com/seinfeld/47.htm>. Não posso esconder certa admiração por esta nova worm. Ela poderia causar danos terríveis à comunidade usuária de programas microsoftianos, mas apenas se auto-reproduz silenciosamente, apontando mais uma vez falhas no gigantesco emaranhado de programas Windows. O BubbleBoy explora uma falha descoberta em agosto passado. Dois componentes do IE 4.0 e 5.0, chamados "scriptlet.typelib" e "Eyedog", foram incorretamente etiquetados como confiáveis ou "safe for scripting", significando que poderiam ler e alterar informações críticas no sistema. Graças a esse rombo de segurança, o vírus insere um arquivo de script chamado UPDATE.HTA, quando a mensagem contagiosa é visualizada. Este é o pulo do gato: o usuário não precisa rodar nenhum attachment. O script HTA fica de tocaia e é executado na próxima vez que você inicializar sua máquina, enviando emails contaminados para todos os destinatários no seu livro de endereços do MS Outlook. A MS já disponibilizou um remendo para o Outlook/IE5 em <www.microsoft.com/security/Bulletins/ms99-032.asp>. O furo está descrito em <www.microsoft.com/Security/Bulletins/MS99-032faq.asp>.

Segundo a Symantec, o BubbleBoy parece ser originário da Argentina e foi enviado diretamente pelo autor para as empresas antivírus. Ou seja, o Zulu mostrou que é fera, explorou o furo e não causou problema para ninguém. Não há registro de que tenha havido contágio no campo. As vacinas foram produzidas rapidamente e a notícia da existência do vírus também logo se espalhou pelo mundo.

O assunto da mensagem infecciosa é "BubbleBoy is back!" e o corpo do email é escrito em HTML contendo código em Visual Basic Script, que normalmente não é visível. Graças ao defeito no software, o script é executado sem nenhuma advertência ao pobre usuário. A worm tenta criar o script HTA em determinados diretórios do Windows que, se não existirem, causam a morte do BubbleBoy. Este script também está em VBScript e contem justamente a rotina de contaminação em massa, que altera uma série de campos no Registry do Windows e é executada apenas uma vez. Existe uma variante encriptada do BubbleBoy que deixa sua marca no Registry como sendo a versão 1.1 da worm.

Para remover o BubbleBoy, apague o arquivo "C:\START\MENU\STARTUP\WINDOWS PROGRAMAS\UPDATE.HTA" na versão em espanhol.

O aparecimento do BubbleBoy pode ser o prenúncio de uma leva de vírus extremamente perigosos e devastadores, pois comprova um conceito que se julgava falso. O que se vê é que os que escrevem estes vírus têm sido até bonzinhos, mas à medida que os métodos de combate ficam mais sofisticados, os próprios autores vão encontrando novas formas de burlar, atacar e explorar falhas. Se quisessem poderiam ter causado estragos horrendos. Infelizmente, mais cedo ou mais tarde vai aparecer um espírito de porco que vai semear a destruição.


Quarta que vem, dia 17, olhe para o céu de madrugada. É a edição 1999 da chuva de meteoróides Leônidas. Leia a remessa 307 em <www.oglobo.com.br/arquivo/info/cat/idx1997.htm> e, para mais informações, visite a Nasa em <http://wwwssl.msfc.nasa.gov/newhome/headlines/ast22jun99_1.htm>.


[ Voltar ]