http://www.inf.ufsc.br/barata derneval@bigfoot.com Índice do BE 21
O último grande hit da imprensa (talvez o penúltimo) foi esse (agora não tão) novíssimo vírus. Apesar do pessoal falar do CIH, de outras variantes que também estão com o maior ibope (até se fala de infecção em computadores de companhias de eletricidade aqui no Brasil). Mas como dizia Jack, o estripador, vamos por partes:
Descrição do vírus:
O dito é um vírus de macro e como tal, funciona em ambiente Windows 95/98 ou mais especificamente Word 97 e word 2000. O email vêm com um subject que é Important Message from e a mensagem dentro diz "Here is that document you asked for ... don't show anyone else. ;-)" . As macros são acionadas quando o arquivo atachado é aberto e o Outlook Express, aquele sistema de correio eletrônico que vem junto com o Explorer, ele é acionado e manda copias de si próprio (quer dizer, do email com o attachment recebido) para até 50 destinatários contidos no addressbook. Dependendo do horário em que isto está acontecendo, aparece a mensagem Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here, quando se abre o arquivo word. O grande lance é que mesmo se a pessoa não usar o Outlook express, o .dot do Word que ele estiver usando (97 ou 2000) fica infectado e o vírus será enviado para outro usuário, se a vítima em questão tiver o costume de mandar arquivos .doc atachados.
Variantes e futuras versões
Apesar que tudo isso agora é notícia velha, existem as variantes,
como a W97M_MELISSA.A, que passa por cima de um patch desenvolvido
para impedir a versão inicial se propagar. A versão inicial
não faz absolutamente nada além do que está descrito
acima, mas as versões posteriores podem ter sido modificadas (algumas
foram) para, digamos.. formatar a winchester ou coisa do gênero.
Word-basic é algo relativamente fácil
de mexer e modificar, mas o fato é que mesmo tirar o Word 2000
não impede de novos vírus do mesmo gênero serem realizados.
O Outlook Express permite a visualização de páginas
html, o que permite o uso de código VB script, um tentativa
da MS de concorrer com o Javascript. Isso sem falar no Active X, que abre
um campo de possibilidades enormes. O CCC (Chaos Computer Club) já
demonstrou que usando esta tecnologia, um trojan capaz de "brincar" com o
home-banking de um indivíduo qualquer é possível. E
isso não é de hoje, tem uns bons 2 ou 3 anos, esta história,
com gente aqui no Brasil reclamando que aconteceu com eles e o banco em
questão se omitindo..
O possível autor e como foi descoberto:
Há alguma dúvida sobre o caso. O principal suspeito é
o indivíduo da foto ao lado, David L. Smith, 30 anos, residente em
New Jersey,
EUA. Foi acusado de interrupções
de comunicações públicas, conspiração
para cometer a ofensa, tentativa de comenter a ofensa e furto de tempo de
serviço de computador em 3o grau. Tudo junto, 40 anos
de prisao e US$ 480.000 de multa. A polícia o prendeu através
do número de telefone que foi usado para acessar o provedor de onde
foi postado o email para o newsgroup. A América On-Line, vai
gardando esse nome, porque eles estão vindo para o Brasil, mantém
arquivos enormes sobre quem está fazendo o que numa conta AOL e isso
está gerando discussão não é de hoje (até
que ponto eles respeitam a privacidade do usuário). Claro, tem um
sujeito que tá ganhando a maior fama como o cara que provou
"detetivescamente" a origem do vírus, através do chamado GUID,
Global User Identifier ou "Identificador Global de Usuário".
Esse último
seria um código, inscrito em cada documento Word 97 ou 2000 (embora
se acredite que outros produtos da Microsoft também contenham o dito).
Se o computador em questão está conectado a uma placa ethernet,
então o endereço da mesma (cerca de 12 dígitos) é
adicionado ao GUID do documento. Este número, claro, não será
visto pelo usuário, fica só disponível para software
capaz de fazer o "dump" do documento. Pode também ser alterado e um
GUID de documento criado num computador XYZ não é alterado
ao ser usado num computador ABC.
Esse tipo de coisa está
inclusive gerando uma discussão enorme lá nos EUA, porque a
Intel estava pensando em colocar um número de série em cada
chipzinho. Significando que um computador na internet (ou um documento word
produzindo por alguém fora da internet) poderia ser identificável.
Mais ou menos como o que acontecia no bloco comunista, onde um sujeito tinha
que registrar sua máquina xerox com o governo de tal forma que
cópias ilegais de manifestos contra o governo pudessem ter sua origem
traçada até o indivíduo que começou a coisa.
Transubstanciando a coisa pro Brasil: um funcionário de alguma empresa
recém privatizada (e com pilhas de reclamações no Procom)
que mandasse um email para um jornal denunciando tais e tais
irregularidades e sacanagens contra o consumidor, esse cara poderia ser
identificado com maior facilidade.
Voltando ao caso Melissa,
Richard M. Smith, presidente da empresa de software Phar Lap Softwae Inc
descobriu essa capacidade do GUID e mandou uma mensagem para um newsgroup,
pedindo ajuda. Esta mensagem foi lida por um estudante de ciência
de computação da suécia, Fredrik Bjorck, que disse a
Smith que o Melissa lembrava muito outros 3 vírus, postados em 1997,
todos vindos do email skyroket@aol. O arquivo contendo o Melissa foi
originalmente postado no newsgroup Alt.Sex e conteria códigos e senhas
para páginas pornô na web, mesmo
email.
Estes vírus e alguns outros estavam no site
http://www.sourceofkaos.com/homes/vic/start.html
e comparando o GUID, chegou-se a conclusão que os arquivos provinham
do mesmo autor, que seria o VicodinES, usando a conta skyroket.
Só que existem
dúvidas. O sujeito foi preso por métodos antigos, como
comparação dos logs de telefone da AOL. Muitos dizem que o
VicodinES tá aposentado. O suspeito que foi preso pode encarar uma
sentença de 40 anos, mudou de advogado, a última notícia.
Mas ainda não se tem certeza de nada.
E o futuro?
O caso está gerando alguma polêmica, mas já gerou alguns danos sérios. De um lado, temos que o arquivo de VicodinES, sobre distribuição de vírus, disponível em http://www.zdnet.com/zdnn/special/essay.html virou manchete na ZDNET. A fabricação de vírus de macro entrou em um novo patamar, a construção de worms, denominação dada a vírus capazes de proliferar em redes de computadores. Temos agora o vírus Chernobyl (com seu site www.cihvirus.com) que também gerou um pânico na imprensa. Existe o happy99.exe e amanhã, quem sabe? O mais chato é que vários sites famosos, dedicados a esse campo, foram detonados na histeria dessa worm. Novamente, todo um avanço relacionado a inteligência artificial foi retardado. Montes de lugares que antes veiculavam informações sobre vírus estão fechando as portas. E não só sobre vírus. O site http://www.etext.org, um arquivo destinado aos textos anônimos que ajudaram a levantar o interesse pela internet, está com medo de publicar receitas consideradas como "subversivas". Conhecimento é poder. E pelo jeito, essa histéria está sendo usada como uma desculpa para que as pessoas não tenham acesso a informação que poderia ajuda-las a depender menos das grandes corporações e órgãos do governo. Meu conselho é que, se você encontrar uma informação que considera útil para o seu trabalho, mas que pode ser retirada do ar, não exite: grave em disquete e se tiver um amigo com um gravador de CD, grave em CDROM. Amanhã não será outro dia..
Bibliografia:
http://windows.miningco.com/library/weekly/aa040299.htm
http://www.Genocide2600.com/~spikeman/melissa.html
http://www.zdnet.com/zdnn/special/essay.html
http://www.ciac.org/ciac/bulletins/j-037.shtml
http://www.lewman.com/melissa_macro_virus_source_code.htm
http://www.zdnet.com/zdnn/stories/news/0,4586,1014267,00.html
http://www.zdnet.com/zdnn/stories/news/0,4586,2234550,00.html
http://www.zdnet.com/zdnn/stories/news/0,4586,2233931,00.html
http://www.zdnet.com/zdtv/cybercrime/viruswatch/story/0,3700,2234592,00.html
http://www.geocities.com/SiliconValley/Program/1143/portuguese.html
http://www.geocities.com/SiliconValley/Heights/3652/span.html
(o famoso email que distribuiu o melissa)
http://x36.deja.com/[ST_rn=ap]/getdoc.xp?AN=310029226&CONTEXT=926459947.737345589&hitnum=0