  |
 |
 |
|
|
|
 |
 |
 VÍRUS II Nimda: o invasor chega pelo site Novo verme ataca PCs e servidores com sistemas operacionais Microsoft e mais: contagia até mesmo o micro do internauta caso navegue em site infectado por BRUNA CABRAL Uma dor de cabeça das grandes. Milhares de internautas do mundo inteiro apresentaram esse sintoma depois de uma ‘navegadinha’ na Web na última semana. A ‘epidemia’ foi causada pelo Nimda, uma praga virtual que se disseminou rapidamente na Rede, inaugurando uma nova forma de contágio: via browser. Isso mesmo. O vírus se aproveita de falhas apresentadas por algumas versões do Internet Explorer para invadir o HD. Mesmo que o internauta seja prevenido a ponto de não abrir um executável. O problema é que o Nimda, considerado pelos especialistas uma mistura de I Love You, Sircam e Code Red, ataca tanto servidores quanto PCs. E utiliza-se de um para infectar o outro. “Quando se instala em servidores Web, o verme altera todos os sites hospedados na máquina, incluindo um frame com o executável contaminado”, explica o engenheiro de segurança Marco Carnut, da equipe da Tempest, empresa especializada em segurança. A partir daí, a situação se complica para internautas com versões mais antigas do IE (4.0, 5.0 e 5.5 sem o service pack 2). “Nesses casos, o executável se aproveita de brechas para rodar automaticamente.” A mesma tática de ataque via Java Script é adotada pelos vírus Happy Time e JS Exception, mas eles nunca chegaram a se alastrar na Rede. “Ambos, na verdade, são exploits – pragas conceituais criadas só para provar as falhas do browser”, explica o consultor de Informática Rômulo Cholewa. Falhas que, aliás, são conhecidas há muito tempo. “Também não são recentes os patchs que a Microsoft disponibilizou para corrigi-las.” Uma vez dentro da máquina, o Nimda não destrói, mas dá uma ‘canseira’ no PC: envia-se para todos os contatos da lista de e-mail do usuário, substitui arquivos de sistema por arquivos gerados por ele (e contaminados, claro) e altera outros, causando queda considerável no desempenho do sistema, senão perda total. Mas o pior efeito do Nimda é abrir a máquina infectada para compartilhamento, deixando o HD vulnerável à ação de hackers. Nem quando chega por e-mail o Nimda é facilmente ‘detectável’ – o verme se esconde em executáveis disfarçados de arquivos de som. Mas nem sempre é assim. Os executáveis também podem vir com as já ‘manjadas’ apresentações Readme.exe ou Readme.eml. O corpo da mensagem e o subject também são variados. E, mesmo que o usuário desconfie e não abra o arquivo, o Nimda é capaz de entrar em ação. Mas é nos servidores NT que o vírus causa mais danos. Ele chega nessas máquinas também por uma vulnerabilidade de software – no caso, o Internet Information Server, servidor de páginas do NT. O vírus habilita uma conta de usuário guest e a inclui no grupo de administrador, assumindo o controle sobre a máquina (ou, pior, permite que outras pessoas o façam remotamente). Foi esse passo inicial, aliás, que inspirou o nome da praga: Nimda é admim ao contrário. A partir daí, o Nimda causa a mesma bagunça que promove nas workstations: propaga-se indefinidamente via e-mail, altera e cria arquivos, satura linhas de comunicação, além de sobrecarregar e abrir a máquina para compartilhamento na Web. E vai um pouco além: detecta se o equipamento está em rede e se espalha, infectando todos os micros, mesmo workstations. Também contamina sites, caso seja um servidor Web. Há ainda uma quarta forma de contágio: ele pega carona no trabalho feito pelo Code Red.
|
|
