O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: Melissa e seus Mutantes - Escrito em: 1999-03-31 - Publicado em: 1999-04-05


Melissa e seus Mutantes


Novo e engenhoso virus de macro causa o maior auê na Internet

PREÂMBULO

Se você usa e-mail então certamente deve ter recebido na semana passada pelo menos um aviso sobre um terrível novo virus chamado Melissa. Ao contrário da maioria dos avisos públicos que acabam provando ser alarmes falsos, este não é. Este é pra valer MESMO!

Na sexta-feira, dia 26 de março passado, ligou-me à noite um amigão que trabalha numa grande empresa com sede nos EUA. Disse-me que os servidores de correio da firma estavam travados como forma de evitar que um novo virus se propagasse. Ao mesmo tempo ele me mandou uma mensagem com maiores detalhes, que só me chegou quatro dias depois, prova de que o servidor só foi reaberto na terça. A primeira aparição do Melissa foi detectada pela VirusPatrol Dr. Solomon da Network Associates, fuçando mensagens do newsgroup Usenet "alt.sex" (um dos mais concorridos, obviamente) naquela mesma sexta-feira fatídica. Logo no sábado seguinte bem cedo, o Departamento de Energia dos EUA <www.doe.gov> foi seriamente afetado pelo virus, disparando uma investigação do FBI que resultou, no dia seguinte, no primeiro comunicado dessa agência de investigações, advertindo sobre os perigos de um virus de computador.


CERT-CC

O primeiro aviso oficial sobre o Melissa foi dado pelo CERT-CC <www.cert.org> (Computer Emergency Response Team - Coordination Center), sediado na Universidade Carnegie Mellon, em Pittsburgh, EUA. Há mais de 10 anos no ar, é o centro mais confiável de divulgação avisos de virus e outras encrencas computacionais.


RESUMO

O novo e temível organismo maligno só ataca máquinas rodando Word 97 ou Word 2000, mas espalhou-se de forma espantosamente rápida, afetando o desempenho da Internet inteira, isso sem contar a quantidade inacreditável de gente que ia avisando por e-mail seus amigos mais chegados dos perigos da infecção. A propagação do Melissa se dá através de arquivos anexos, vulgo "attachments" (pron. atétsh-ments). O ataque inicial se deu, de fato, naquela sexta-feira e foi avassalador, afetando quase simultaneamente uma grande variedade de sites de peso.

Para que o Melissa se espalhe é preciso que sua vítima em potencial abra o attachment. No entanto, alguns sistemas que processam mensagens automaticamente poderão abrir o diacho do anexo sozinhos: azar. O Melissa não destrói arquivos nem corrompe dados, ele simplesmente se propaga -- e muito habilmente, por sinal. Apesar de se transmitir basicamente via e-mail, qualquer outro modo de transferir arquivos também oferece risco de infecção. Seu nome técnico ficou sendo "W97M_Melissa".


DESCRIÇÃO

Ainda não houve nenhum espirito de porco que o traduzisse para nosso idioma, portanto é fácil identificar a mensagem contaminada, pois ela traz como "Assunto/Subject" o texto: 'Important message from XXX', onde XXX é o nome de alguém que você provavelmente conhece. Pensando ser de fato uma mensagem dessa tal pessoa, você sentirá confiança e tenderá a abrir o documento Word. NÃO FAÇA ISSO! O corpo da mensagem traz algo como: 'Here is the document you were asking for... don't show anyone else.' (Aqui está o documento que você havia pedido... não mostre para mais ninguém.) O arquivo anexo é um documento Word de nome "list.doc" contendo referências a 73 sites pornográficos, incluindo user-ids e senhas de acesso a estes sites.

Logicamente, à medida que o virus for se multiplicando, sendo traduzido, alterado e aumentado em seu poder de propagação, outros nomes de arquivos surgirão, bem como outros textos embutidos. Se a vítima decidir abrir o documento e suas macros Word estiverem habilitadas, o virus entrará imediatamente em ação. Logo de cara ele enfraquecerá todos os parâmetros de segurança do Word com respeito à execução de macros, de modo que o usuário não seja advertido de futuras infecções por virus desse tipo.


PROPAGAÇÃO

Para o Melissa se propagar, é necessário que a vítima tenha Microsoft Outlook instalado na máquina, mesmo que esse programa não seja o leitor default de correio eletrônico. O Melissa checa o Registry do Windows em busca de um indicador que contenha o texto "by Kwyjibo". Se não o encontra, o virus começa a enviar mensagens para os 50 primeiros e-mails que constam no seu livro de endereços MAPI do Windows, o Outlook Global Address Book. Não importa se são endereços de gente, de mailing lists, ou de instituições -- ele vai metralhar mensagens para quem pintar pela frente. Mas a rigor, como o Outlook ordena os endereços colocando antes os grupos de usuários, a tendência é que seu poder de contaminação seja ainda maior, pois logo no começo estará enviando mensagens virulentas para um montão de gente ao mesmo tempo. Cabe aqui sugerir uma medida preventiva, enquanto você não atualiza seu anti-virus. Vá até o Registry do Windows e crie uma entrada assim: HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa?" = "... by Kwyjibo". Mas se você nunca mexeu no Registry, peça ajuda a alguém que já o tenha feito.


ENTRINCHEIRAMENTO

O próximo passo do Melissa é ficar parasitando no template "normal.dot", de modo que qualquer novo arquivo Word criado nessa máquina já nascerá infectado. Maiores informações quem dá é a própria Pequena-Mole, em <www.microsoft.com/security/bulletins/ms99-002.asp>.


FRASE MISTERIOSA

Depois disso, o virus faz uma checagem envolvendo o minuto corrente em comparação com o dia do mês em andamento e, se houver concordância, ele insere na posição corrente do cursor do documento Word aberto um texto meio amalucado. Não demorou duas horas para que o pessoal da mídia identificasse o tal texto como sendo tirado do desenho animado "Os Simpsons". É uma fala do hilariante moleque Bart Simpson quando, usando a palavra chutada "Kwyjibo", vence uma partida de Scrabble, tradicional jogo americano de palavras cruzadas em tabuleiro <www.hasbroscrabble.com/atoz/history/history.html>. O texto é: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here." (Vinte e dois pontos, mais uma pontuação tripla de palavras, mais cinqüenta pontos por usar todas as minhas letras. O jogo acabou. Eu estou fora daqui.")


INVISIBILIDADE

Se você desativar as macros no Word e resolver abrir o documento, não vai ver o maldito Melissa listado, pois ele é escrito em Visual Basic for Applications e está associado aos métodos "Document_Open" e "Document_Close". O Melissa tem apenas 105 linhas de código. Qualquer criatura mais safa pode ver o código do virus usando o VB Editor, portanto é natural que diversos novos mutantes já estejam pipocando pelas paradas. Se você receber uma mensagem contaminada de alguém, avise essa pessoa do fato o quanto antes. Provavelmente ela nem sabe que está transmitindo o mal. E se você for safo em inglês e quiser contribuir para um estudo sério acerca da propagação do Melissa, acesse o site <www.cert.org/tech_tips/incident_reporting.html> e siga as instruções.


CONFIDENCIALIDADE

O Melissa oferece um outro perigo. Se você cria um documento já infectado gerado a partir do "normal.dot" doente e começa a nele digitar informações confidenciais, então este mesmo documento será passado adiante pelo virus, o que pode comprometer dados sigilosos seus. Segundo Jeff Carpenter, líder de equipe do CERT-CC: "Recebemos vários chamados de advogados de grandes empresas e representantes do Governo preocupados que esse vazamento de informações confidenciais possa ocorrer."


CONGESTIONAMENTO

Nunca houve um virus que se propagasse tão rapidamente pela Internet. Isso é especialmente impressionante porque o Melissa também foi o virus cuja existência foi mais rápida e intensamente divulgada, seja de maneira oficial, seja informalmente através de e-mails entre amigos e conhecidos. O resultado óbvio, logo identificado pelo NIPC (National Infrastructure Protection Center) do FBI <www.nipc.gov>, foi que o sistema mundial de e-mail se viu repentinamente congestionado não só pela propagação do Melissa em si, como também pela torrente de mensagens que se seguiram, avisando de seus perigos.

Cá entre nós, digo até com uma pontinha de admiração: é muito bem feito esse desgraçado desse Melissa -- o Kwyjibo está de parabéns, conquistou seus 15 minutos de fama mundial com grande estilo e elegância. Mas não se leia nisso uma apologia à produção de virus.


DESMISTIFICANDO

Correu logo uma aterrorizante boataria sobre a virulência do Melissa, mas a turma às vezes exagera. Para tranqüilidade de grande número de micreiros, vale esclarecer que usuários de Word 95, ou de versões mais antigas, não são afetados. E também o simples fato de abrir uma mensagem e-mail não pode infectar ninguém. Agora, abrir qualquer attachment sem os devidos cuidados é pura loucura. Sobre os grandes sistemas corporativos de mensagens, é bom avisar que configurações baseadas em Microsoft Exchange Server (não rodando Outlook), Lotus Notes ou cc:Mail não são diretamente afetadas pelo Melissa. Usuários de Macintosh também não esquentem a cabeça, pois o virus não afeta sistemas rodando MacOS, mas pode ficar armazenado em arquivos gravados nesses sistemas.


VACINAS E CURAS

Há quatro procedimentos para livrar um sistema do Melissa. O primeiro deles aplica-se ao site e consiste em interceptar mensagens que contenham a assinatura do virus. Isto é feito utilizando filtros de e-mail. O segundo método atua na sua máquina mesmo: usar software anti-virus, baixando as últimas versões e atualizações dos fabricantes, entre outros: Symantec <www.symantec.com/avcenter/venc/data/mailissa.html>, McAfee (Network Associates) <http://vil.mcafee.com/vil/vm10120.asp> e <www.avertlabs.com/public/datafiles/valerts/vinfo/melissa.asp>, e Trend Micro <http://housecall.antivirus.com/smex_housecall/technotes.html>. O terceiro procedimento é desabilitar macros no Microsoft Word. É claro que muita gente vai espernear quanto a isso, mas aí é questão de prioridade de cada um. De qualquer maneira, vale a pena consultar o resumo de técnicas contra virus de macros escrito por Chengi Jimmy Kuo, que pode ser encontrado em <www.nai.com/services/support/vr/free.asp>.


CORRIDA PELA VACINA

Pode-se imaginar a correria dos fabricantes de software anti-virus quando se soube da contaminação mundial pelo Melissa. A Symantec, uma das líderes nesse segmento, foi provavelmente o fabricante mais ágil. Em seu laboratório SARC (Symantec AntiVirus Research Center), dedicado ao desenvolvimento de soluções de segurança, foi elaborada uma vacina em apenas uma hora após o exame do novo vírus.


OS ATINGIDOS

Diversas empresas em vários países foram afetadas pelo Melissa e seus variantes, entre elas Intel, Microsoft, Lucent e a Lockheed Martin. Só a Network Associates, por exemplo, estimou que 80% de seus clientes foram pegos com as calças na mão, ou seja, cerca de 100 empresas de porte. Em apenas uma delas, 60 mil computadores foram afetados. Nessas grandes corporações, cada administrador de sistemas identificou o problema e isolou seu servidor de correio do resto da rede até que fosse feita uma minuciosa limpeza interna nos sistemas da empresa, só depois reabrindo as comportas. O titio Bill Gates declarou com muita propriedade que "a resposta ao virus mostrou de forma geral que as ferramentas anti-virus da indústria funcionam bem". Quando a coisa estava no auge, no início da semana passada, os dirigentes das grandes companhias estavam morrendo de medo de suas empresas se tornassem fortes transmissoras do Melissa, o que poderia afetar a reputação de suas corporações.


CAÇANDO O AUTOR

Os investigadores do FBI estão lançando mão de dados internos dos documentos Word infectados originais encontrados nos primeiros newsgroups. Se o Kwyjibo não tomou os devidos cuidados, então vai dançar bonito nessa. Dentro de cada documento Word existe um dado chamado GUID (Global Unique Identifier), que aliás tem causado o maior quiproquó na mídia, sendo apontado como uma severa brecha na privacidade dos usuários e clientes de produtos Microsoft.

Segundo Richard M. Smith, presidente da empresa de software Phar Lap Inc., esse GUID remonta aos tempos em que a Microsoft criou um método para garantir consistência entre diversos arquivos de dados referentes a um mesmo documento. Era uma precaução para o caso de haver corrupção de arquivos. No entanto, o GUID inclui uma série de informações específicas sobre o computador utilizado na feitura do documento como: nome do autor, endereço do adaptador Ethernet e outros dados que podem identificar o criador do Melissa. Se não permitirem a identificação, estas pistas pelo menos servirão para ferrar o Kwyjibo em juízo, caso consigam agarrá-lo. O próprio Richard, mestre na fuxicação, juntamente com Fredrik Bjorck, sueco e doutorando em informática pela Universidade de Estocolmo, conseguiram pescar do documento Word original, o endereço Ethernet e o código do fabricante, além de dois outros identificadores deixados na própria macro do Melissa. A "impressão digital" encontrada no virus era a mesma presente em outros documentos residentes neste famigerado site. Essa marca única que talvez resolva a charada é o chamado endereço MAC (media access control), o número de série da placa Ethernet em um PC. Isso levou os dois cobras a um determinado site na Web e, aparentemente, a um certo usuário do AOL (America OnLine). Se conseguirem fechar o cerco, babau Kwyjibo.

Segundo Richard Smith, o site em questão pode ter sido apenas usado pelo autor verdadeiro como um disfarce, talvez intencionalmente incriminando o responsável pela página. O tal site pertence a um hacker da pesada, autor de ferramentas viróticas e conhecido por vários nicknames (apelidos): VicodinES, Sky Roket, John Holmes e Johnny "One Leg" Johnson. Sky Roket é o nome de um usuário AOL e também é o autor da mensagem original postada no "alt.sex". Mas Richard acredita que Sky Roket é usado apenas para camuflar as atividades execráveis de VicodinES. Mas seja lá quem estiver por trás do apelido Sky Roket, já andou aprontando em 1997, quando disseminou três outros virus usando a mesma técnica. Não se sabe se ele é o autor Kwyjibo, ou apenas o distribuidor. O fato é que o culpado certamente será processado pelo FBI e vai morrer em US$ 350.000 e cinco a dez anos em cana, de acordo com Michael Vatis, diretor do NIPC.


VARIANTES PERIGOSOS

Além do mutante Melissa.A, apareceu também logo na segunda-feira, dia 29, um outro variante do Melissa, conhecido como X97M/Papa, que não é um virus, mas sim um Internet worm (verme, minhoca -- pron. "uórm"), que usa como base o Microsoft Excel 97 ou 2000. Foi classificado como worm porque não se replica nem infecta. No dia seguinte, terça, foi encontrado o worm mutante X97M/Papa.b muito parecido com o Papa original.

Um usuário recebe o Papa de um outro usuário infectado, através do Outlook, sob a forma de um workbook Excel. Quem recebe o documento não sabe que está infectado, nem o remetente sabe que acabou de infectar seu destinatário. A vítima pode ser alertada caso esteja habilitada a advertência de segurança para macros no Excel. Quando o workbook é aberto, o Papa usa o mesmo mecanismo do Melissa para enviar e-mail para 60 destinatários obtidos do Outlook Global Address Book. A mensagem é criada com o Assunto/Subject "Fwd: Workbook from all.net and Fred Cohen" e no corpo, lê-se: "Urgent info inside. Disregard macro warning." O workbook bichado é anexado à mensagem que em seguida é enviada. O nome do arquivo é PASS.XLS. O aspecto mais nefasto do Papa é que ele roda o programa ping.exe visando acessar um site externo de modo a garantir que exista uma conexão Internet em andamento. Essa prática nem é tão rara, mas a quantidade de "pings" que o Papa aciona é tão grande que acaba derrubando a rede, forçando uma situação conhecida como "denial-of-service". Além disso o Papa, manda seus e-mails a cada vez que é executado, e não apenas uma só vez, como faz o sofisticado Melissa. Visite o site <www.avertlabs.com> para baixar a cura desses Internet worms.

Sal Viveros, gerente de Marketing do setor antivirus da NAI (Network Associates Inc.) <www.nai.com>, acredita que o Papa foi escrito por outro mequetrefe que não o Kwyjibo. O Melissa teria sido usado apenas como modelo, classificando o Papa como um "copycat", ou seja, uma imitação barata. E de fato o é, pois apresenta vários bugs, segundo os especialistas da NAI. Isso facilita sobremaneira o trabalho dos que escrevem software anti-virus pois, uma vez entendida e isolada uma técnica de contágio, fica fácil prever o rumo que tomarão os futuros mutantes.


MONOPÓLIO

O que se vê no final das contas é que essa coisa de todo mundo usando o mesmo software acaba sendo uma ameaça à segurança de dados da grande coletividade, até mesmo dos pobres coitados (felizardos?) que nem sabem o que é um computador, pois seus dados pessoais estão armazenados nessas máquinas infernais. Existe uma fragilidade intrínseca nas redes baseadas em apenas um fabricante de hardware ou de software. No caso do Melissa, bastou infectar meia dúzia de servidores que usassem Word e Outlook e pronto -- desastre garantido. Com isso, ficamos na mão das gigantescas corporações de software e dos autores de virus, que não param de encontrar os milhares de buracos e pontos fracos nessas monstruosas novas versões de software.

À medida que o monopólio microsoftiano se alastrar ainda mais pelo planeta, ficará fácil para os inventores de virus bolar novos organismos visando exclusivamente afetar programas feitos pelo gigante de Redmond. Massificando o uso de software aplicativo de um mesmo fabricante, o usuário pouco treinado fica completamente à mercê de código virulento. Como disse o genial P.C.Barreto <barreto@pobox.com> em seu divertido Diário da Tropa <www.onelist.com/subscribe/diariodatropa>: "Quanto mais aumenta o refinamento da exploração da engenharia pessoal, como neste vírus Melissa, mais aumenta o abismo entre os usuários de personalidade A, capacitados a buscar escapatórias ao rolo compressor do Office, e os de personalidade B, que não podem dispensar um attachment sob pena de 'ficar mal' com colegas, prospects e -- principalmente -- chefes. Deixar de abrir um ou outro attachment é uma decisão de foro íntimo. Enquanto isso, deixar de usar o Office individualmente pode ser um suicídio profissional; coletivamente, um crime de lesa-majestade."


MAIORES INFORMAÇÕES

Um relatório muito bem elaborado sobre o macro-virus Melissa pode ser encontrado em <www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html>.


FUTURO

O Melissa deve entrar para a história como precursor de uma nova modalidade de virus. Pode ter sido apenas uma inocente experiência inicial para testar uma técnica devastadora de propagação via e-mail. Podemos esperar para muito breve uma ou mais grandes contaminações mundiais de virus semelhantes, só que altamente destrutivos.


Agradecimento especial à querida Anna Catharina pela primorosa formatação

[ Voltar ]