O caso do Vírus Melissa
O caso do Vírus Melissa
https://sites.google.com/site/barataeletricafanzine/ Email derneval@gmail.com Índice barata21.html
O último grande hit da imprensa (talvez o penúltimo) foi esse (agora não tão) novíssimo vírus. Apesar do pessoal falar do CIH, de outras variantes que também estão com o maior ibope (até se fala de infecção em computadores de companhias de eletricidade aqui no Brasil). Mas como dizia Jack, o estripador, vamos por partes:
Descrição do vírus:
O dito é um vírus de macro e como tal, funciona em ambiente Windows 95/98 ou mais especificamente Word 97 e word 2000. O email vêm com um subject que é Important Message from e a mensagem dentro diz "Here is that document you asked for ... don't show anyone else. ;-)" . As macros são acionadas quando o arquivo atachado é aberto e o Outlook Express, aquele sistema de correio eletrônico que vem junto com o Explorer, ele é acionado e manda copias de si próprio (quer dizer, do email com o attachment recebido) para até 50 destinatários contidos no addressbook. Dependendo do horário em que isto está acontecendo, aparece a mensagem Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here, quando se abre o arquivo word. O grande lance é que mesmo se a pessoa não usar o Outlook express, o .dot do Word que ele estiver usando (97 ou 2000) fica infectado e o vírus será enviado para outro usuário, se a vítima em questão tiver o costume de mandar arquivos .doc atachados.
Variantes e futuras versões
Apesar que tudo isso agora é notícia velha, existem as variantes, como a W97M_MELISSA.A, que passa por cima de um patch desenvolvido para impedir a versão inicial se propagar. A versão inicial não faz absolutamente nada além do que está descrito acima, mas as versões posteriores podem ter sido modificadas (algumas foram) para, digamos.. formatar a winchester ou coisa do gênero.
Word-basic é algo relativamente fácil de mexer e modificar, mas o fato é que mesmo tirar o Word 2000 não impede de novos vírus do mesmo gênero serem realizados. O Outlook Express permite a visualização de páginas html, o que permite o uso de código VB script, um tentativa da MS de concorrer com o Javascript. Isso sem falar no Active X, que abre um campo de possibilidades enormes. O CCC (Chaos Computer Club) já demonstrou que usando esta tecnologia, um trojan capaz de "brincar" com o home-banking de um indivíduo qualquer é possível. E isso não é de hoje, tem uns bons 2 ou 3 anos, esta história, com gente aqui no Brasil reclamando que aconteceu com eles e o banco em questão se omitindo..
O possível autor e como foi descoberto:
Há alguma dúvida sobre o caso. O principal suspeito é o indivíduo da foto ao lado, David L. Smith, 30 anos, residente em New Jersey, EUA. Foi acusado de interrupções de comunicações públicas, conspiração para cometer a ofensa, tentativa de comenter a ofensa e furto de tempo de serviço de computador em 3o grau. Tudo junto, 40 anos de prisao e US$ 480.000 de multa. A polícia o prendeu através do número de telefone que foi usado para acessar o provedor de onde foi postado o email para o newsgroup. A América On-Line, vai gardando esse nome, porque eles estão vindo para o Brasil, mantém arquivos enormes sobre quem está fazendo o que numa conta AOL e isso está gerando discussão não é de hoje (até que ponto eles respeitam a privacidade do usuário). Claro, tem um sujeito que tá ganhando a maior fama como o cara que provou "detetivescamente" a origem do vírus, através do chamado GUID, Global User Identifier ou "Identificador Global de Usuário". Esse último seria um código, inscrito em cada documento Word 97 ou 2000 (embora se acredite que outros produtos da Microsoft também contenham o dito). Se o computador em questão está conectado a uma placa ethernet, então o endereço da mesma (cerca de 12 dígitos) é adicionado ao GUID do documento. Este número, claro, não será visto pelo usuário, fica só disponível para software capaz de fazer o "dump" do documento. Pode também ser alterado e um GUID de documento criado num computador XYZ não é alterado ao ser usado num computador ABC. Esse tipo de coisa está inclusive gerando uma discussão enorme lá nos EUA, porque a Intel estava pensando em colocar um número de série em cada chipzinho. Significando que um computador na internet (ou um documento word produzindo por alguém fora da internet) poderia ser identificável. Mais ou menos como o que acontecia no bloco comunista, onde um sujeito tinha que registrar sua máquina xerox com o governo de tal forma que cópias ilegais de manifestos contra o governo pudessem ter sua origem traçada até o indivíduo que começou a coisa. Transubstanciando a coisa pro Brasil: um funcionário de alguma empresa recém privatizada (e com pilhas de reclamações no Procom) que mandasse um email para um jornal denunciando tais e tais irregularidades e sacanagens contra o consumidor, esse cara poderia ser identificado com maior facilidade.
Voltando ao caso Melissa, Richard M. Smith, presidente da empresa de software Phar Lap Softwae Inc descobriu essa capacidade do GUID e mandou uma mensagem para um newsgroup, pedindo ajuda. Esta mensagem foi lida por um estudante de ciência de computação da suécia, Fredrik Bjorck, que disse a Smith que o Melissa lembrava muito outros 3 vírus, postados em 1997, todos vindos do email skyroket@aol. O arquivo contendo o Melissa foi originalmente postado no newsgroup Alt.Sex e conteria códigos e senhas para páginas pornô na web, mesmo email. Estes vírus e alguns outros estavam no site http://www.sourceofkaos.com/homes/vic/start.html e comparando o GUID, chegou-se a conclusão que os arquivos provinham do mesmo autor, que seria o VicodinES, usando a conta skyroket.
Só que existem dúvidas. O sujeito foi preso por métodos antigos, como comparação dos logs de telefone da AOL. Muitos dizem que o VicodinES tá aposentado. O suspeito que foi preso pode encarar uma sentença de 40 anos, mudou de advogado, a última notícia. Mas ainda não se tem certeza de nada.
E o futuro?
O caso está gerando alguma polêmica, mas já gerou alguns danos sérios. De um lado, temos que o arquivo de VicodinES, sobre distribuição de vírus, disponível em http://www.zdnet.com/zdnn/special/essay.html virou manchete na ZDNET. A fabricação de vírus de macro entrou em um novo patamar, a construção de worms, denominação dada a vírus capazes de proliferar em redes de computadores. Temos agora o vírus Chernobyl (com seu site www.cihvirus.com) que também gerou um pânico na imprensa. Existe o happy99.exe e amanhã, quem sabe? O mais chato é que vários sites famosos, dedicados a esse campo, foram detonados na histeria dessa worm. Novamente, todo um avanço relacionado a inteligência artificial foi retardado. Montes de lugares que antes veiculavam informações sobre vírus estão fechando as portas. E não só sobre vírus. O site http://www.etext.org, um arquivo destinado aos textos anônimos que ajudaram a levantar o interesse pela internet, está com medo de publicar receitas consideradas como "subversivas". Conhecimento é poder. E pelo jeito, essa histéria está sendo usada como uma desculpa para que as pessoas não tenham acesso a informação que poderia ajuda-las a depender menos das grandes corporações e órgãos do governo. Meu conselho é que, se você encontrar uma informação que considera útil para o seu trabalho, mas que pode ser retirada do ar, não exite: grave em disquete e se tiver um amigo com um gravador de CD, grave em CDROM. Amanhã não será outro dia..
Bibliografia:
http://windows.miningco.com/library/weekly/aa040299.htm
http://www.Genocide2600.com/~spikeman/melissa.html
http://www.zdnet.com/zdnn/special/essay.html
http://www.ciac.org/ciac/bulletins/j-037.shtml
http://www.lewman.com/melissa_macro_virus_source_code.htm
http://www.zdnet.com/zdnn/stories/news/0,4586,1014267,00.html
http://www.zdnet.com/zdnn/stories/news/0,4586,2234550,00.html
http://www.zdnet.com/zdnn/stories/news/0,4586,2233931,00.html
http://www.zdnet.com/zdtv/cybercrime/viruswatch/story/0,3700,2234592,00.html
http://www.geocities.com/SiliconValley/Program/1143/portuguese.html
http://www.geocities.com/SiliconValley/Heights/3652/span.html
(o famoso email que distribuiu o melissa)
http://x36.deja.com/[ST_rn=ap]/getdoc.xp?AN=310029226&CONTEXT=926459947.737345589&hitnum=0 m/1143/portuguese.html">http://www.geocities.com/SiliconValley/Program/1143/portuguese.html
http://www.geocities.com/SiliconValley/Heights/3652/span.html
(o famoso email que distribuiu o melissa)
http://x36.deja.com/[ST_rn=ap]/getdoc.xp?AN=310029226&CONTEXT=926459947.737345589&hitnum=0