O ataque começou!
12 de Agosto de
2003
A promessa foi cumprida. Começou o grande ataque mundial de hackers, previsto
há 15 dias atrás. Um dos maiores clãs de hackers do mundo se uniu para
explorar uma falha de segurança existente nos computadores equipados com
os sistemas operacionais Windows NT 4.0, Windows NT 4.0 Terminal Services
Edition, Windows 2000, Windows XP e o novíssimo Windows Server 2003.
A Microsoft,
fabricante desses sistemas, já tinha descoberto a falha de segurança e
publicou, no seu site, uma correção para o bug (erro) desde o dia
16 de julho, publicando um patch de correção no endereço
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp.
De lá pra cá, a empresa de Bill Gates já revisou 4 vezes a correção, ocorrendo
a última revisão neste dia 12 de agosto.
O problema é que a maioria esmagadora dos usuários de computadores não
tem conhecimento a respeito dessas falhas de segurança que são encontradas
nos sistemas e muito menos da existência de suas correções, que são sempre
disponibilizadas gratuitamente via Internet. Vale lembrar que a empresa
de Bill Gates já lançou mais de 30 correções para seus sistemas somente
neste ano, ocorrendo, em média, cerca de uma correção por semana!
A vulnerabilidade
explorada pelos hackers permite que o invasor assuma o controle total
das máquinas conectadas à Internet; e a gigante do software aconselha
que todos os usuários das versões vulneráveis baixem a correção pela Internet
e instalem o patch o mais rápido possível.
Desde
o final do mês passado, já alertávamos aos usuários quanto aos perigos
que estavam por vir, noticiando a iminência desse ataque que, infelizmente,
veio a se concretizar (confira em
www.abinformatica.com.br/public/pub_2003_07_30.htm).
A partir do dia 29 de julho, grandes hackers do mundo inteiro começaram
a espalhar, por meio de uma lista confidencial de hackers, um código malicioso
para explorar uma das últimas falhas de segurança do Windows. Assim, eles
conseguiram desenvolver um vírus do tipo Worm para invadir computadores
no mundo inteiro através da Internet.
A vulnerabilidade explorada envolve uma falha crítica nos protocolos RPC
(Remote Procedure Call) e DCOM (Distributed Component Object Model), utilizados
para comunicações entre computadores. A falha permite que códigos maliciosos
invadam os computadores através da porta TCP 135 da máquina afetada. Assim
que o sistema é invadido, o vírus bloqueia o acesso à porta TCP 4444 de
Firewall e passa a utilizar a porta UDP 69 para contaminar outros computadores
conectados na rede mundial de computadores através do envio e execução
do arquivo MSBlast.exe, que é o próprio vírus.
A ISS
– Internet Security Systems (www.iss.net) –, empresa americana especializada em segurança
digital, está em alerta 3, numa escala que vai de 0 a 4. Este nível de
alerta é referência à insegurança dos sistemas de computadores em todo
o mundo.
Índice de alerta 3 do site da ISS
A Symantec, fabricante do Norton Antivírus, aumentou de 3 para 4, numa
escala que vai até 5, o nível de perigo do vírus, passando a ser um dos
vírus de nível mais alto dos últimos anos.
A praga
virtual foi lançada no dia 11 de agosto e recebeu diversos nomes por cada
um dos fabricantes de antivírus, sendo chamada de LovSan, MSBlaster, W32.Blaster.Worm
e Poza. O nome LovSan, que está sendo mais utilizado para referência ao
vírus, foi dado devido a uma mensagem escondida presente no seu código,
destinada ao Bill Gates, presidente e fundador da Microsoft, onde está
escrito: "Eu só queria dizer TE AMO SAN!! Billy Gates por que você
torna isso possível? Pare de fazer dinheiro e corrija seu programa!!"
Além
de permitir que hackers obtenham o controle total da máquina, o LovSan,
composto por um arquivo de apenas 6.176 bytes, ainda induz todos os computadores
infectados a realizarem um ataque massivo, a partir do dia 16 de agosto,
ao site
www.windowsupdate.com
da Microsoft, no qual ela publica as correções para os seus programas.
Se este novo ataque for bem sucedido, dificultará bastante a correção
da falha pelos usuários que estiverem com suas máquinas infectadas. O
vírus também causa instabilidade no sistema e travamento da máquina, além
de abrir uma seqüência de 20 portas do computador aleatoriamente (o intuito
dele abrir essas portas ainda é desconhecido atualmente).
Quem está com a máquina infectada, deve realizar os seguintes procedimentos para remover o vírus:
1 - Acesse o site citado da Microsoft para baixar
e instalar o patch de correção do problema.
2 - Desconecte o seu computador da Internet.
3 - Acesse o Gerenciador de Tarefas do Windows e finalize o processo MSBLAST.EXE.
4 - Apague o arquivo MSBLAST.EXE (se encontra na pasta C:\Windows\System32
ou C:\Winnt\System32).
5 - Abra o programa Regedit, localize a seguinte entrada de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e exclua
o seguinte conteúdo: "windows auto update"="msblast.exe".
6 - Atualize o seu antivírus.
Caso o vírus seja removido sem antes ter sido instalado o patch
da Microsoft, assim que o computador for ligado, surgirá uma mensagem
no vídeo informando que em 60 segundos o micro reinicializará. Após a
reinicialização, este processo passa a se repetir continuamente após o
reset.
Segundo
a Trend Micro, outra fabricante de antivírus, as regiões mais afetadas
pelo LovSan são Ásia e América do Norte, mas o vírus já chegou ao Brasil
e está fazendo grandes estragos, se espalhando rapidamente, principalmente
nos sistemas equipados com acesso à Internet em banda larga.
A recomendação
é que todos os usuários dos sistemas vulneráveis mencionados instalem
o patch de correção o mais rápido possível e atualizem seu antivírus
imediatamente.
André Basílio é Diretor, Analista de Sistemas e Supervisor de Ensino da AB INFORMÁTICA.
