Bugbear invade o planeta
18 de Junho de 2003

            Este mês de junho está sendo marcado pela distribuição em massa de uma variante do vírus Bugbear, que está se espalhando por todo o planeta desde o último dia 4. O Bugbear passou por praticamente todos os servidores de web do planeta, sendo identificado e removido nos servidores que possuíam uma boa política de segurança, mas causando muitos estragos a outros servidores e usuários de todo o planeta.
            Milhões de pessoas em todo o mundo receberam mensagens eletrônicas contaminadas ou notificações alertando que e-mails contaminados pelo Bugbear foram interceptados por programas antivírus. Devido ao aumento do elevado número de distribuição do Bugbear no mundo, a Symantec elevou a ameaça da categoria 3 para 4, numa escala que varia até 5.
            O worm que está se espalhando pelo mundo é identificado pela Symantec como W32.Bugbear.B@mm, que é uma variante do vírus W32.Bugbear@mm. Este novo worm de distribuição em massa também se propaga através da rede interna de uma empresa a partir do momento que uma das máquinas foi infectada.
            O Bugbear infecta os arquivos executáveis dos computadores contaminados, tem a capacidade de monitorar as teclas que estão sendo digitadas pelo usuário e trabalhar como um Backdoor, deixando o computador vulnerável para ataques por hackers. Inclusive, quando ele chega no computador hospedeiro, a primeira coisa que ele tenta fazer é finalizar os programas antivírus e firewall, de proteção contra invasões.
            As funções de Backdoor do Bugbear permitem que ele exclua arquivos no micro da vítima, finalize processos em andamento, copie arquivos, execute arquivos executáveis, obtenha a lista de arquivos existentes no micro, obtenha informações sobre o processador, memória, discos locais, recursos de rede, versão do Windows instalado, além de outras funções.
            Esta nova variante do Bugbear consegue infectar as máquinas explorando uma falha de segurança conhecida como “Incorrect MIME Header Can Cause IE to Execute E-mail Attachment“ dos sistemas equipados com os sistemas operacionais Windows 95, 98, Millennium, NT, 2000 e XP, que permite executar o worm assim que o e-mail é visualizado no vídeo.
            O Bugbear contém rotinas específicas para afetar instituições financeiras, fazendo com que a praga envie dados importantes como senhas utilizadas e o registro das atividades do teclado, criptografadas, para alguns endereços de e-mails públicos.
            Da mesma forma como acontecia com o primeiro Bugbear, na nova variante, que não gerencia corretamente todos os tipos de recursos da rede, as impressoras compartilhadas podem ser sobrecarregadas, causando a impressão de caracteres estranhos além de outros problemas.

            A Symantec Security Check disponibilizou um endereço na Internet pelo qual você pode checar se o seu micro está infectado ou não com a nova praga virtual. Basta acessar o endereço http://security.symantec.com/ssc/home.asp?j=1&langid=br&venid=sym&plfid=23&pkj=LSCKHJRKFVIXXGKZYVT e clicar no link Verificação de Vírus. Caso seu micro esteja infectado com o Bugbear, você também poderá removê-lo utilizando uma solução criada pela Symantec Security Response acessando o endereço http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.bugbear.b@mm.removal.tool.html.
            Maiores informações podem ser adquiridas no site da Symantec: www.symantec.com.br.

André Basílio é Diretor, Analista de Sistemas e Supervisor de Ensino da AB INFORMÁTICA.