I LOVE YOU E OS VÍRUS DE VBSCRIPT(r)

Página Inicialhttps://sites.google.com/site/barataeletricafanzine/ Email derneval@gmail.com Índice barata23.html

I LOVE YOU E OS VÍRUS DE VBSCRIPT(r)

http://migre.me/r6sKF

Derneval R.R. Cunha

Pois é. Você pensou que tudo tinha acabado com o vírus Melissa, o CIH e outros? Se enganou meu bem.. Quem mandou usar o Win98, o win2000, etc.. Ou pior, quem mandou usar o Outlook como software de email? Acontece. O grande problema dos vírus de macro, que começou a ficar sério com o Winword 6.0, agora independe de se ter ou não o Word instalado no micro. Com as últimas versões do Windows, veio um substituto para a linguagem Batch de programação. Para quem não sabe o que isso é, pode dar uma olhada no arquivo autoexec.bat. Antigamente a pessoa só era considerada "gênio" de informática se soubesse usar esses comandos do MSDOS. Do meu ponto de vista, é uma boa. Pode-se fazer muita coisa com o "Prompt do DOS" e um arquivo .BAT. O "Bill Gates" inventou de transformar o VB numa ferramenta para se usar no lugar desses comandos. Legal, né?

Eu acompanhei muita discussão sobre vírus. Inclusive tem um texto meu que está faturando uma nota em pelo menos 2 livros (sem minha permissão) sobre hackers. Antes, o pessoal curioso de "brincar" com vida artificial  ficava doido pela internet procurando uma versão do Turbo Assembler 3, 4, qualquer coisa para compilar os códigos fontes que volta e meia apareciam por aí. Agora tudo mudou, o VBscript é uma ferramenta "porreta" para se fazer vírus. Bem mais fácil de aprender do que o Assembler, disponível em qualquer micro rodando Win98 ou 2000. Quando li o primeiro manual do Win98 em que botei as mãos, me perguntei se havia a possibilidade de se fazer vírus com esse material. E não sei como isso passou desapercebido pelo pessoal da Microsoft.

Agora quem paga o pato é o usuário comum. Parece que o governo francês já deu ordem de parar de usar software da Microsoft. A resposta do Bill Gates a eclosão do ILOVEYOU foi simples: Disse que, se a a empresa for dividida, vai ficar mais facil aparecer virus de computador desse tipo. "Ficaria mais dificil para os usuarios obterem versoes melhores".. É, deve ser por isso que o juiz decidiu pela divisão da empresa. Vamos ter que esperar o resultado da apelação para a Suprema Corte antes de ter certeza q isso acabou.

Características:

O vírus na verdade é enquadrado como "Worm". Vírus de computador comum depende de um usuário que o envie para outro usuário, seja via disquete ou email. O termo é usado quando o programa pode se replicar sozinho de uma rede para outra, poupando este "trabalho". Primeiro, a pessoa recebe uma carta com o assunto ILOVEYOU ou dependendo das variantes pode ser outro tema qualquer. Não interessa. Uma vez ativado, ele usa o Outlook (que roda código VBscript) para enviar mensagens contendo código ILOVEYOU. O código, LOVE-LETTER-FOR-YOU.TXT.vbs, é salvo em três diferentes lugares no micro, também com os nomes MSKernel32.vbs e Win32DLL.vbs. Aí outros comandos são acionados próxima vez que o micro for iniciado. O registry fica com duas novas chaves:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL *T

A parte mais por assim dizer.. "interessante" do código, é que ele abre o Internet Explorer e tenta (tá fora do ar, o site) fazer o download de um arquivo chamado  WIN-BUGSFIX.exe no servidor www.skyinet.net, o que teoricamente permitiria uma "atualização on-line" do vírus. Claro, a tentativa de download é feita de forma invisível. O próximo passo é o envio da página LOVE-LETTER-FOR-YOU.txt para todo mundo que estivesse na sua lista de emails ou addressbook do Outlook. Ah, sim, ia esquecendo o texto da carta: "kindly check the attached LOVELETTER coming from me".

Em seguida, sai que nem louco procurando tudo quanto é arquivo de extensão js, jse,css, wsh, sct, e hta. Procura até mesmo em drives compartilhados de rede interna. Copia o mesmo código VBscript para dentro deles. Arquivos .JPG e MP3 recebem uma extensão .vbs no nome. O arquivo script.ini também é mexido, de forma que todo mundo que entra num canal de irc onde o usuário esteja, recebe o arquivo com o vírus. Pra finalizar, o vírus também mandaria qualquer password armazenada no cache do micro para o email MAILME@SUPER.NET.PH.

Como retirar o vírus:

Para se retirar o dito cujo do seu micro, é preciso procurar tudo quanto é arquivo .vbs que tenha entre 10 e 11 kbytes e deletar. Depois procurar e deletar os seguintes arquivos: MSKernel32.vbs no \Windows\System,  o Win32DLL.vbs no \Windows, o LOVE-LETTER-FOR-YOU.TXT.vbs no \Windows\System e o WinFAT32.EXE no subdiretório de download. Se você usa o MIRC, vai no subdiretório e apaga o script.ini também.

É preciso ir no registry e dar um "find" para ver se encontra algo como MSKernel32.vbs, WIN32dll.vbs e WIN-BUGSFIX.exe. SE achar, deleta. Não é aconselhável fazer isso se for sua primeira vez. Brincar com o Registry pode danificar seriamente seu micro. Talvez fosse melhor dar uma olhada no URL http://www.zdnet.com/downloads/toolkits/antivirus/iloveyou.html - aqui tem várias alternativas para tirar o micro via software.

 Não esquecer de mudar a página inicial do Internet Explorer (aproveita e passa a usar o Netscape), mas isso qualquer imbecil faz. Se vc não sabe, entra numa página, por exemplo.. http://barataeletrica.tk   depois clica no "Tools", em seguida no "Internet Options" e depois "Use current". Usuários de Linux ou Mac estão livres desse saco.

O Autor:

Quem fez o dito cujo foi um carinha de Manila, Onel de Guzman nas Filipinas. Diz a reportagem do Estadão que a idéia original era um trojam que coletasse senhas de internet para distribuir por aí. Lá por aqueles lados a internet ainda não é gratuita e não é todo mundo que pode pagar os tubos para ficar online.  Por incrível que pareça, as Filipinas  tem uma vírus-scene e não é de hoje.  Um dos poucos lugares onde ainda se encontra grupos interessados exclusivamente na arte de fazer vida artificial desse gênero. Tem outros, mas divulgar isso daí não vai fazer bem pra ninguém. Pelo visto, a coisa vai aumentar porque os noticiários locais idolatraram o sujeito.

O mais incrível foi a luta para achar o sujeito. Foram dias e dias onde se falava uma coisa e depois se falava outra, suspeito sempre preso em tal lugar, depois a TV falava que não, que o autor era outro. A mídia realmente "informa". Impressionante a falta de precisão e a ânsia de falar "peguei, peguei". Durante dias, um tal de Reomel Ramones, de 27 anos e sua mulher, "pagaram o pato" "sem ter nada a ver com o peixe". Foram presos apesar de inocentes, só porque a investigação preliminar mostrou alguma conexão. Fico curioso se não chegaram a apanhar da polícia por conta disso. A Filipinas não é o Brasil. É bem pior. Lá é um país que exporta sequestradores (atrás de vítimas porque os empresários locais já ficaram espertos ou emigraram). Atualmente o caso foi fechado e todo mundo, solto.

Timofônica, uma das variantes de destaque:

Só que isto não é tudo. Existem 30 variantes do vírus rodando pela internet. Algumas com os dizeres "dia das mães" ou outra frase que estimule a pessoa a fazer o download e iniciar o processo. A última versão do gênero é o vírus "Timofônica". O pessoal lá na Espanha (outro lugar com uns "pesquisadores" muito bons sobre vida artificial) tem pilhas e pilhas de reclamações sobre o sistema telefônico local que é controlado por uma multinacional chamada "Telefónica" . Já vi várias páginas de processos e reclamações do pessoal da Espanha contra a empresa. Manja taxas muito altas? Pois é. Esse vírus realmente extrapola, como hacktivismo ou forma de protesto. Ah, sim, "Timo", traduzido é travessura, brincadeira.

Essa versão, também em VBscript, também por volta de 12 k, além de replicar pela internet via email, manda mensagens curtas a usuários escolhidos a esmo. Ao terminar, apaga os dados do CMOS e formata o HD.  Quem tem medo deste bicho, pode criar manualmente a chave HKCU\Software\Microsoft\Windows\CurrentVersion\Timofonica com valor igual a 1.  Agora, se você tem razão para crer que o bicho está na sua máquina, não reinicialize sem alterar a chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cmos="c:Windows\System\cmos.com", que é responsável pelo apagamento e formatação do HD.

A característica inovadora do bicho em questão é o uso do Short Message System, que permite o envio de mensagens curtas a usuários do MoviStar, uma companhia espanhola de telefonia móvel GSM pertencente a Telefónica da Espanha. Um esquema simples: manda-se um email para ?????????@correo.movistar.net (no lugar do ? os números do telefone da pessoa). O programa gera números de forma aleatória.  A mensagem por si só não contém nenhum dano. É besteira falar inclusive q se trata de um vírus que contamina celulares, tal como a imprensa tem comentado. O vírus envia mensagens para celulares e mais nada.

As mensagens do Timofónica:

A que é enviada para o celular do indivíduo:

Asunto: TIMOFONICA informa que: Telefónica te está engañando.

O texto contido na carta (enviada com o arquivo.vbs atachado) tem o seguintes dizeres:

   De     : (nombre del usuario infectado)    A      : (nombre del destinatario)    Tema   : TIMOFONICA    Adjunto: TIMOFONICA.TXT.vbs     Es de todos ya conocido el monopolio de Telefónica pero    no tan conocido los métodos que utiliza para llegar    hasta este punto. En el documento adjunto existen    opiniones, pruebas y direcciones web con más información    que demuestran irregularidades en compras de materiales,    facturas sin proveedores, stock irreal, etc. También    habla de las extorsiones y favoritismos a empresarios    tanto nacionales como internacionales. Explica también    el por qué del fracaso en Holanda y qué hizo para    adquirir el portal Lycos. En las direcciones web del    documento existen temas relacionados para que echéis un    vistazo a los comentarios, informes, documentos, etc.    Como comprenderéis, esto es muy importante, y os ruego    que reenviéis este correo a vuestros amigos y conocidos.

O texto contido no arquivo .vbs atachado é:

 Comentarios  ===========   ....  Tarifa plana de 6000 pts/mes.  Extorsión.  A principio de 1.998 tras un seguimiento de su gestión se descubrieron numerosas  irregularidades en su gestión, amparadas hasta el momento, en el desconocimiento  que nosotros teníamos sobre Internet.  Compras de materiales, que nunca apareció por ningún lado, pero si la factura del  proveedor.  ....  Yo pienso que si Timofonica (ke a fin de kuentas es la dueña de Terra) kiere soltar  dineros para una ONG, no le hace falta hacer este tipo de acto solidario, es mas, me  parece misero y ridikula la kantidad de un millon de pesetas ..  Son unos ridikulos de mierda, un millon de pesetas para ellos no es nada, pero un  millon de hits en sus paginas mas a final de mes supone una pekena subidita en las  acciones de Terra en Bolsa.  Total, ke Terra no son las Hermanitas de los Pobres (pobres monjas, kompararlas kon  los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!!!  Podran decir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke  protestamos por vicio, PERO ES KE EN 3 AÑOS KE LLEVO EN INET SOLO LA HAN  KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !!  Lo dicho , todo lo ke güele a Telefonica SUX, o en castellano tradicional, APESTA !  ....   Direcciones  ===========   http://www.telefonica.es/  http://www.timofonica.com/  http://100scripts.islaweb.com/scripting-timofonica.html  http://www.www2.labrujula.net/wwwboard/messages2/1165.html  http://www.tinet.org/mllistes/pc/September_1998/msg00005.html  http://area3d.area66.com/forotec/_disc1/0000015b.htm  http://wwh.itgo.com/Phreaking.htm  http://www.rcua.alcala.es/archives/ham-ea/msg00780.html  http://www.areas.org/debate/dp/2/messages/18.html  http://www.fut.es/mllistes/parlem/January_1999/msg00208.html   Visita estas páginas. Estás invitado.

Como forma de protesto, não sei se vale a pena. Talvez fosse melhor apelar pelas vias legais. Destruir o disco rígido dos outros é uma propaganda negativa horrível. O fato que um dos links contidos nas mensagens tem todas as características do vírus e também um link para páginas de antivírus mais usados não serve como defesa (tipo: "ah, eu coloquei um link pra antivírus no texto, só trouxa é que não foi atrás"). A maior parte das pessoas que recebem emails não pode pura e simplesmente clicar em tudo quanto é página. Alguns dos lins acima não estão funcionando. E a grande maioria dos que curtem mexer com micro, mesmo tendo posse de todas as informações, poderia passar batido pelo fato de que o próximo boot do micro poderia ser o último.

Bibliografia:

http://www.lovebugvirus.com/ - Uma boa página sobre a Worm

http://www.zdnet.com/zdnn/special/lovebites.html - A ZDNET tem uma página muito boa sobre o assunto

http://news.cnet.com/news/0-1003-200-1812992.html?st.sw.3746.txt.1003-200-1812992 - Esta é da CNN

http://www.cnn.com/2000/TECH/computing/05/04/iloveyou.01/index.html

http://cnnfn.com/2000/06/07/worldbiz/wires/love_wg/ Reportagem sobre a prisão

http://www.wired.com/news/lovebug/ - A Wired também colocou sua página.

http://www.wired.com/news/lovebug/0,1768,36129,00.html - Tirei vários toques sobre o vírus dessa e de outras páginas

http://www.zdnet.com/zdhelp/filters/quickstart/guides/0,10606,6013362,00.html - Página do vírus protection guide

http://www.estado.com.br/jornal/00/05/15/news047.html - Reportagens do Estadão captura do autor da Worm

http://www.estado.com.br/jornal/00/05/15/news068.html

http://www.estado.com.br/jornal/00/05/14/news214.html

http://www.estado.com.br/jornal/00/05/09/news206.html

http://CNN.com/2000/TECH/computing/06/07/cellphone.virus.ap/index.html - Sobre o novo vírus que ataca celulares

http://www.avp-es.com/noticias/timofonica.html Informação realmente relevante sobre o vírus que "ataca" celulares