O ataque começou!
12 de Agosto de 2003

            A promessa foi cumprida. Começou o grande ataque mundial de hackers, previsto há 15 dias atrás. Um dos maiores clãs de hackers do mundo se uniu para explorar uma falha de segurança existente nos computadores equipados com os sistemas operacionais Windows NT 4.0, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP e o novíssimo Windows Server 2003.
            A Microsoft, fabricante desses sistemas, já tinha descoberto a falha de segurança e publicou, no seu site, uma correção para o bug (erro) desde o dia 16 de julho, publicando um patch de correção no endereço
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp. De lá pra cá, a empresa de Bill Gates já revisou 4 vezes a correção, ocorrendo a última revisão neste dia 12 de agosto.
            O problema é que a maioria esmagadora dos usuários de computadores não tem conhecimento a respeito dessas falhas de segurança que são encontradas nos sistemas e muito menos da existência de suas correções, que são sempre disponibilizadas gratuitamente via Internet. Vale lembrar que a empresa de Bill Gates já lançou mais de 30 correções para seus sistemas somente neste ano, ocorrendo, em média, cerca de uma correção por semana!
            A vulnerabilidade explorada pelos hackers permite que o invasor assuma o controle total das máquinas conectadas à Internet; e a gigante do software aconselha que todos os usuários das versões vulneráveis baixem a correção pela Internet e instalem o patch o mais rápido possível.
            Desde o final do mês passado, já alertávamos aos usuários quanto aos perigos que estavam por vir, noticiando a iminência desse ataque que, infelizmente, veio a se concretizar (confira em
www.abinformatica.com.br/public/pub_2003_07_30.htm). A partir do dia 29 de julho, grandes hackers do mundo inteiro começaram a espalhar, por meio de uma lista confidencial de hackers, um código malicioso para explorar uma das últimas falhas de segurança do Windows. Assim, eles conseguiram desenvolver um vírus do tipo Worm para invadir computadores no mundo inteiro através da Internet.
            A vulnerabilidade explorada envolve uma falha crítica nos protocolos RPC (Remote Procedure Call) e DCOM (Distributed Component Object Model), utilizados para comunicações entre computadores. A falha permite que códigos maliciosos invadam os computadores através da porta TCP 135 da máquina afetada. Assim que o sistema é invadido, o vírus bloqueia o acesso à porta TCP 4444 de Firewall e passa a utilizar a porta UDP 69 para contaminar outros computadores conectados na rede mundial de computadores através do envio e execução do arquivo MSBlast.exe, que é o próprio vírus.
            A ISS – Internet Security Systems (
www.iss.net) –, empresa americana especializada em segurança digital, está em alerta 3, numa escala que vai de 0 a 4. Este nível de alerta é referência à insegurança dos sistemas de computadores em todo o mundo.


Índice de alerta 3 do site da ISS

            A Symantec, fabricante do Norton Antivírus, aumentou de 3 para 4, numa escala que vai até 5, o nível de perigo do vírus, passando a ser um dos vírus de nível mais alto dos últimos anos.
            A praga virtual foi lançada no dia 11 de agosto e recebeu diversos nomes por cada um dos fabricantes de antivírus, sendo chamada de LovSan, MSBlaster, W32.Blaster.Worm e Poza. O nome LovSan, que está sendo mais utilizado para referência ao vírus, foi dado devido a uma mensagem escondida presente no seu código, destinada ao Bill Gates, presidente e fundador da Microsoft, onde está escrito: "Eu só queria dizer TE AMO SAN!! Billy Gates por que você torna isso possível? Pare de fazer dinheiro e corrija seu programa!!"
            Além de permitir que hackers obtenham o controle total da máquina, o LovSan, composto por um arquivo de apenas 6.176 bytes, ainda induz todos os computadores infectados a realizarem um ataque massivo, a partir do dia 16 de agosto, ao site
www.windowsupdate.com da Microsoft, no qual ela publica as correções para os seus programas. Se este novo ataque for bem sucedido, dificultará bastante a correção da falha pelos usuários que estiverem com suas máquinas infectadas. O vírus também causa instabilidade no sistema e travamento da máquina, além de abrir uma seqüência de 20 portas do computador aleatoriamente (o intuito dele abrir essas portas ainda é desconhecido atualmente).

            Quem está com a máquina infectada, deve realizar os seguintes procedimentos para remover o vírus: 

1 - Acesse o site citado da Microsoft para baixar e instalar o patch de correção do problema.
2 - Desconecte o seu computador da Internet.
3 - Acesse o Gerenciador de Tarefas do Windows e finalize o processo MSBLAST.EXE.
4 - Apague o arquivo MSBLAST.EXE (se encontra na pasta C:\Windows\System32 ou C:\Winnt\System32).
5 - Abra o programa Regedit, localize a seguinte entrada de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e exclua o seguinte conteúdo: "windows auto update"="msblast.exe".
6 - Atualize o seu antivírus.

            Caso o vírus seja removido sem antes ter sido instalado o patch da Microsoft, assim que o computador for ligado, surgirá uma mensagem no vídeo informando que em 60 segundos o micro reinicializará. Após a reinicialização, este processo passa a se repetir continuamente após o reset.
            Segundo a Trend Micro, outra fabricante de antivírus, as regiões mais afetadas pelo LovSan são Ásia e América do Norte, mas o vírus já chegou ao Brasil e está fazendo grandes estragos, se espalhando rapidamente, principalmente nos sistemas equipados com acesso à Internet em banda larga.
            A recomendação é que todos os usuários dos sistemas vulneráveis mencionados instalem o patch de correção o mais rápido possível e atualizem seu antivírus imediatamente.

André Basílio é Diretor, Analista de Sistemas e Supervisor de Ensino da AB INFORMÁTICA.