AB Informática

Vírus MyDoom é a nova ameaça na Internet
27 de Janeiro de 2004

            Em apenas 24 horas, um novo vírus que se espalha via Internet chegou a contaminar computadores de 168 países. O nome do vírus é MyDoom e também está sendo chamado como Novarg, MiMail e Shimg.
            O MyDoom foi descoberto nesta segunda-feira, dia 26, e está se espalhando tão rapidamente pela Internet que poderá superar a marca de contaminação dos vírus BugBear e Sobig, tornando-se um dos piores vírus já lançados até hoje. Segundo a empresa especializada em segurança de e-mails MessageLabs (www.messagelabs.com), a cada 12 e-mails que circulam pela Internet, um está portanto o vírus MyDoom, correspondendo a 8% de todos os e-mails que circulam pela Internet atualmente.
            Para se ter idéia, o Sobig.F, que foi considerado o pior vírus de toda a história da Internet mundial, no ápice de sua propagação infectava um a cada 17 e-mails que circulava pela Internet. O famoso vírus ILoveYou chegou a contaminar um a cada 28 e-mails que trafegavam na rede mundial de computadores.
            Em apenas 24 horas após o seu surgimento, o MyDoom já se espalhou por 1,2 milhão de e-mails em 168 países do mundo. Os Estados Unidos são o país que mais está sofrendo com o vírus tendo em vista que 60% das infecções estão ocorrendo naquele país.
            O MyDoom está causando um certo colapso nas empresas que dependem da tecnologia paralisando o trabalho de usuários que precisam utilizar computadores para execução de suas tarefas. Ele instala um backdoor e abre as portas TCP 3127 a 3198 dos computadores infectados permitindo sua invasão por hackers que passam a ter o controle total da máquina. Além disso, o MyDoom está programado para efetuar um ataque do tipo Denial of Service (DoS – Negação de Serviço), entre os dias 1^o e 12 de fevereiro próximos, ao site do SCO (www.sco.com), grupo desenvolvedor de sistemas operacionais da plataforma UNIX e de soluções para pequenas e médias empresas como softwares de gerenciamento de correio eletrônico, autenticação de usuários, comércio eletrônico, etc. O Grupo SCO está presente em 82 países e já instalou mais de 2 milhões de sistemas em todo o mundo.
            Pelo que parece, o MyDoom foi criado por alguma(s) pessoa(s) ligada(s) à comunidade Linux tendo em vista que este vírus contamina apenas computadores equipados com qualquer versão do sistema operacional Windows (a partir do Windows 95), da Microsoft, que é odiada pela maioria dos usuários Linux. O Grupo SCO que sofrerá o ataque a partir do dia 1^o próximo também é alvo da comunidade Linux já que, desde maio de 2003, o Grupo está entrando com processos na justiça contra empresas que utilizam o sistema operacional Linux, alegando que parte do código utilizado em diversas versões do Linux utilizava linhas de programação de sua propriedade. Linus Torvalds, o principal criador do Linux, sistema operacional que possui o código fonte aberto e disponível a qualquer pessoa, nega toda a história. Mesmo assim, o Grupo SCO abriu processos contra a IBM, Red Hat e Novell, iniciando uma batalha contra a comunidade Linux.

            O ataque do tipo DoS que o Grupo SCO está para sofrer é uma Negação de Serviço. Ou seja: a partir da data determinada, o vírus determinará que cada computador contaminado acesse o site do Grupo SCO. Como são milhões de computadores que estarão contaminados e que tentarão acessar tal site ao mesmo tempo, o servidor do Grupo SCO receberá uma carga tão grande de requisições que não conseguirá atender a nenhuma, causando a paralisação do sistema.
            A praga, é transmitida através de um e-mail contendo um arquivo anexado executável nas extensões EXE, SCR, CMD, PIF, BAT ou ZIP. Ao ser aberto, contamina a máquina e se envia automaticamente para todos os endereços de e-mail encontrados no computador contaminado.
            Muitos usuários estão abrindo o arquivo anexado por acreditarem ser uma mensagem enviada automaticamente pelo seu servidor de e-mails relatando uma falha na transmissão de um e-mail. A mensagem chega com títulos como "Mail Delivery System" e "Mail Transaction Failed". Até o meu próprio computador recebeu um e-mail desses hoje. Mas, não abri o arquivo executável e não tive problemas. Em seu conteúdo estava escrito “Mail transaction failed. Partial message is available.” (Transação do correio falhou. Mensagem está parcialmente disponível.), induzindo o usuário a abrir o arquivo para ver o seu conteúdo.
            Outros e-mails também chegam com a mensagem "The message contains Unicode characters and has been sent as a binary attachment" (a mensagem contém caracteres Unicode e está sendo enviada como um anexo binário). Na boa fé, ao abrir o arquivo, o computador é contaminado e, pelo fato do vírus causar um imenso tráfego na rede, muitas empresas chegam a ficar com seus sistemas paralisados.
            O site de segurança Internet Security Systems (www.iss.net) está em alerta 2 numa escala que vai de 1 a 4, sugerindo ampliação da vigilância nos computadores e ação corretiva nos computadores contaminados.

Enquanto a McAfee (VirusScan) chama o vírus de W32/Mydoom@MM, a Symantec (Norton Antivirus) denomina-o como W32.Novarg.A@mm, caracterizando-o como um vírus de risco 4, numa escala que vai de 1 a 5.

Maiores informações sobre o MyDoom, inclusive com instruções para remoção do vírus, podem ser encontradas no site da McAfee no endereço http://us.mcafee.com/virusInfo/default.asp?id=helpCenter&hcName=mydoom ou no site da Symantec no endereço http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.novarg.a@mm.html.

André Basílio é Diretor, Analista de Sistemas e Supervisor de Ensino da AB INFORMÁTICA.