I LOVE YOU E OS VÍRUS DE VBSCRIPT(r)
Página Inicialhttps://sites.google.com/site/barataeletricafanzine/ Email derneval@gmail.com Índice barata23.html
I LOVE YOU E OS VÍRUS DE VBSCRIPT(r)
Derneval R.R. Cunha
Pois é. Você pensou que tudo tinha acabado com o vírus Melissa, o CIH e outros? Se enganou meu bem.. Quem mandou usar o Win98, o win2000, etc.. Ou pior, quem mandou usar o Outlook como software de email? Acontece. O grande problema dos vírus de macro, que começou a ficar sério com o Winword 6.0, agora independe de se ter ou não o Word instalado no micro. Com as últimas versões do Windows, veio um substituto para a linguagem Batch de programação. Para quem não sabe o que isso é, pode dar uma olhada no arquivo autoexec.bat. Antigamente a pessoa só era considerada "gênio" de informática se soubesse usar esses comandos do MSDOS. Do meu ponto de vista, é uma boa. Pode-se fazer muita coisa com o "Prompt do DOS" e um arquivo .BAT. O "Bill Gates" inventou de transformar o VB numa ferramenta para se usar no lugar desses comandos. Legal, né?
Eu acompanhei muita discussão sobre vírus. Inclusive tem um texto meu que está faturando uma nota em pelo menos 2 livros (sem minha permissão) sobre hackers. Antes, o pessoal curioso de "brincar" com vida artificial ficava doido pela internet procurando uma versão do Turbo Assembler 3, 4, qualquer coisa para compilar os códigos fontes que volta e meia apareciam por aí. Agora tudo mudou, o VBscript é uma ferramenta "porreta" para se fazer vírus. Bem mais fácil de aprender do que o Assembler, disponível em qualquer micro rodando Win98 ou 2000. Quando li o primeiro manual do Win98 em que botei as mãos, me perguntei se havia a possibilidade de se fazer vírus com esse material. E não sei como isso passou desapercebido pelo pessoal da Microsoft.
Agora quem paga o pato é o usuário comum. Parece que o governo francês já deu ordem de parar de usar software da Microsoft. A resposta do Bill Gates a eclosão do ILOVEYOU foi simples: Disse que, se a a empresa for dividida, vai ficar mais facil aparecer virus de computador desse tipo. "Ficaria mais dificil para os usuarios obterem versoes melhores".. É, deve ser por isso que o juiz decidiu pela divisão da empresa. Vamos ter que esperar o resultado da apelação para a Suprema Corte antes de ter certeza q isso acabou.
Características:
O vírus na verdade é enquadrado como "Worm". Vírus de computador comum depende de um usuário que o envie para outro usuário, seja via disquete ou email. O termo é usado quando o programa pode se replicar sozinho de uma rede para outra, poupando este "trabalho". Primeiro, a pessoa recebe uma carta com o assunto ILOVEYOU ou dependendo das variantes pode ser outro tema qualquer. Não interessa. Uma vez ativado, ele usa o Outlook (que roda código VBscript) para enviar mensagens contendo código ILOVEYOU. O código, LOVE-LETTER-FOR-YOU.TXT.vbs, é salvo em três diferentes lugares no micro, também com os nomes MSKernel32.vbs e Win32DLL.vbs. Aí outros comandos são acionados próxima vez que o micro for iniciado. O registry fica com duas novas chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL *T
A parte mais por assim dizer.. "interessante" do código, é que ele abre o Internet Explorer e tenta (tá fora do ar, o site) fazer o download de um arquivo chamado WIN-BUGSFIX.exe no servidor www.skyinet.net, o que teoricamente permitiria uma "atualização on-line" do vírus. Claro, a tentativa de download é feita de forma invisível. O próximo passo é o envio da página LOVE-LETTER-FOR-YOU.txt para todo mundo que estivesse na sua lista de emails ou addressbook do Outlook. Ah, sim, ia esquecendo o texto da carta: "kindly check the attached LOVELETTER coming from me".
Em seguida, sai que nem louco procurando tudo quanto é arquivo de extensão js, jse,css, wsh, sct, e hta. Procura até mesmo em drives compartilhados de rede interna. Copia o mesmo código VBscript para dentro deles. Arquivos .JPG e MP3 recebem uma extensão .vbs no nome. O arquivo script.ini também é mexido, de forma que todo mundo que entra num canal de irc onde o usuário esteja, recebe o arquivo com o vírus. Pra finalizar, o vírus também mandaria qualquer password armazenada no cache do micro para o email MAILME@SUPER.NET.PH.
Como retirar o vírus:
Para se retirar o dito cujo do seu micro, é preciso procurar tudo quanto é arquivo .vbs que tenha entre 10 e 11 kbytes e deletar. Depois procurar e deletar os seguintes arquivos: MSKernel32.vbs no \Windows\System, o Win32DLL.vbs no \Windows, o LOVE-LETTER-FOR-YOU.TXT.vbs no \Windows\System e o WinFAT32.EXE no subdiretório de download. Se você usa o MIRC, vai no subdiretório e apaga o script.ini também.
É preciso ir no registry e dar um "find" para ver se encontra algo como MSKernel32.vbs, WIN32dll.vbs e WIN-BUGSFIX.exe. SE achar, deleta. Não é aconselhável fazer isso se for sua primeira vez. Brincar com o Registry pode danificar seriamente seu micro. Talvez fosse melhor dar uma olhada no URL http://www.zdnet.com/downloads/toolkits/antivirus/iloveyou.html - aqui tem várias alternativas para tirar o micro via software.
Não esquecer de mudar a página inicial do Internet Explorer (aproveita e passa a usar o Netscape), mas isso qualquer imbecil faz. Se vc não sabe, entra numa página, por exemplo.. http://barataeletrica.tk depois clica no "Tools", em seguida no "Internet Options" e depois "Use current". Usuários de Linux ou Mac estão livres desse saco.
O Autor:
Quem fez o dito cujo foi um carinha de Manila, Onel de Guzman nas Filipinas. Diz a reportagem do Estadão que a idéia original era um trojam que coletasse senhas de internet para distribuir por aí. Lá por aqueles lados a internet ainda não é gratuita e não é todo mundo que pode pagar os tubos para ficar online. Por incrível que pareça, as Filipinas tem uma vírus-scene e não é de hoje. Um dos poucos lugares onde ainda se encontra grupos interessados exclusivamente na arte de fazer vida artificial desse gênero. Tem outros, mas divulgar isso daí não vai fazer bem pra ninguém. Pelo visto, a coisa vai aumentar porque os noticiários locais idolatraram o sujeito.
O mais incrível foi a luta para achar o sujeito. Foram dias e dias onde se falava uma coisa e depois se falava outra, suspeito sempre preso em tal lugar, depois a TV falava que não, que o autor era outro. A mídia realmente "informa". Impressionante a falta de precisão e a ânsia de falar "peguei, peguei". Durante dias, um tal de Reomel Ramones, de 27 anos e sua mulher, "pagaram o pato" "sem ter nada a ver com o peixe". Foram presos apesar de inocentes, só porque a investigação preliminar mostrou alguma conexão. Fico curioso se não chegaram a apanhar da polícia por conta disso. A Filipinas não é o Brasil. É bem pior. Lá é um país que exporta sequestradores (atrás de vítimas porque os empresários locais já ficaram espertos ou emigraram). Atualmente o caso foi fechado e todo mundo, solto.
Timofônica, uma das variantes de destaque:
Só que isto não é tudo. Existem 30 variantes do vírus rodando pela internet. Algumas com os dizeres "dia das mães" ou outra frase que estimule a pessoa a fazer o download e iniciar o processo. A última versão do gênero é o vírus "Timofônica". O pessoal lá na Espanha (outro lugar com uns "pesquisadores" muito bons sobre vida artificial) tem pilhas e pilhas de reclamações sobre o sistema telefônico local que é controlado por uma multinacional chamada "Telefónica" . Já vi várias páginas de processos e reclamações do pessoal da Espanha contra a empresa. Manja taxas muito altas? Pois é. Esse vírus realmente extrapola, como hacktivismo ou forma de protesto. Ah, sim, "Timo", traduzido é travessura, brincadeira.
Essa versão, também em VBscript, também por volta de 12 k, além de replicar pela internet via email, manda mensagens curtas a usuários escolhidos a esmo. Ao terminar, apaga os dados do CMOS e formata o HD. Quem tem medo deste bicho, pode criar manualmente a chave HKCU\Software\Microsoft\Windows\CurrentVersion\Timofonica com valor igual a 1. Agora, se você tem razão para crer que o bicho está na sua máquina, não reinicialize sem alterar a chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cmos="c:Windows\System\cmos.com", que é responsável pelo apagamento e formatação do HD.
A característica inovadora do bicho em questão é o uso do Short Message System, que permite o envio de mensagens curtas a usuários do MoviStar, uma companhia espanhola de telefonia móvel GSM pertencente a Telefónica da Espanha. Um esquema simples: manda-se um email para ?????????@correo.movistar.net (no lugar do ? os números do telefone da pessoa). O programa gera números de forma aleatória. A mensagem por si só não contém nenhum dano. É besteira falar inclusive q se trata de um vírus que contamina celulares, tal como a imprensa tem comentado. O vírus envia mensagens para celulares e mais nada.
As mensagens do Timofónica:
A que é enviada para o celular do indivíduo:
Asunto: TIMOFONICA informa que: Telefónica te está engañando.
O texto contido na carta (enviada com o arquivo.vbs atachado) tem o seguintes dizeres:
De : (nombre del usuario infectado) A : (nombre del destinatario) Tema : TIMOFONICA Adjunto: TIMOFONICA.TXT.vbs Es de todos ya conocido el monopolio de Telefónica pero no tan conocido los métodos que utiliza para llegar hasta este punto. En el documento adjunto existen opiniones, pruebas y direcciones web con más información que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock irreal, etc. También habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales. Explica también el por qué del fracaso en Holanda y qué hizo para adquirir el portal Lycos. En las direcciones web del documento existen temas relacionados para que echéis un vistazo a los comentarios, informes, documentos, etc. Como comprenderéis, esto es muy importante, y os ruego que reenviéis este correo a vuestros amigos y conocidos.
O texto contido no arquivo .vbs atachado é:
Comentarios =========== .... Tarifa plana de 6000 pts/mes. Extorsión. A principio de 1.998 tras un seguimiento de su gestión se descubrieron numerosas irregularidades en su gestión, amparadas hasta el momento, en el desconocimiento que nosotros teníamos sobre Internet. Compras de materiales, que nunca apareció por ningún lado, pero si la factura del proveedor. .... Yo pienso que si Timofonica (ke a fin de kuentas es la dueña de Terra) kiere soltar dineros para una ONG, no le hace falta hacer este tipo de acto solidario, es mas, me parece misero y ridikula la kantidad de un millon de pesetas .. Son unos ridikulos de mierda, un millon de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes supone una pekena subidita en las acciones de Terra en Bolsa. Total, ke Terra no son las Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!!! Podran decir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 AÑOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho , todo lo ke güele a Telefonica SUX, o en castellano tradicional, APESTA ! .... Direcciones =========== http://www.telefonica.es/ http://www.timofonica.com/ http://100scripts.islaweb.com/scripting-timofonica.html http://www.www2.labrujula.net/wwwboard/messages2/1165.html http://www.tinet.org/mllistes/pc/September_1998/msg00005.html http://area3d.area66.com/forotec/_disc1/0000015b.htm http://wwh.itgo.com/Phreaking.htm http://www.rcua.alcala.es/archives/ham-ea/msg00780.html http://www.areas.org/debate/dp/2/messages/18.html http://www.fut.es/mllistes/parlem/January_1999/msg00208.html Visita estas páginas. Estás invitado.
Como forma de protesto, não sei se vale a pena. Talvez fosse melhor apelar pelas vias legais. Destruir o disco rígido dos outros é uma propaganda negativa horrível. O fato que um dos links contidos nas mensagens tem todas as características do vírus e também um link para páginas de antivírus mais usados não serve como defesa (tipo: "ah, eu coloquei um link pra antivírus no texto, só trouxa é que não foi atrás"). A maior parte das pessoas que recebem emails não pode pura e simplesmente clicar em tudo quanto é página. Alguns dos lins acima não estão funcionando. E a grande maioria dos que curtem mexer com micro, mesmo tendo posse de todas as informações, poderia passar batido pelo fato de que o próximo boot do micro poderia ser o último.
Bibliografia:
http://www.lovebugvirus.com/ - Uma boa página sobre a Worm
http://www.zdnet.com/zdnn/special/lovebites.html - A ZDNET tem uma página muito boa sobre o assunto
http://news.cnet.com/news/0-1003-200-1812992.html?st.sw.3746.txt.1003-200-1812992 - Esta é da CNN
http://www.cnn.com/2000/TECH/computing/05/04/iloveyou.01/index.html
http://cnnfn.com/2000/06/07/worldbiz/wires/love_wg/ Reportagem sobre a prisão
http://www.wired.com/news/lovebug/ - A Wired também colocou sua página.
http://www.wired.com/news/lovebug/0,1768,36129,00.html - Tirei vários toques sobre o vírus dessa e de outras páginas
http://www.zdnet.com/zdhelp/filters/quickstart/guides/0,10606,6013362,00.html - Página do vírus protection guide
http://www.estado.com.br/jornal/00/05/15/news047.html - Reportagens do Estadão captura do autor da Worm
http://www.estado.com.br/jornal/00/05/15/news068.html
http://www.estado.com.br/jornal/00/05/14/news214.html
http://www.estado.com.br/jornal/00/05/09/news206.html
http://CNN.com/2000/TECH/computing/06/07/cellphone.virus.ap/index.html - Sobre o novo vírus que ataca celulares
http://www.avp-es.com/noticias/timofonica.html Informação realmente relevante sobre o vírus que "ataca" celulares