EFEITO COLATERAL: ATÉ QUEM ESTÁ PROTEGIDO É ATINGIDO
    Compartilhando conhecimento desde 1998                                      Quem sou    Serviços    Colaborações   Contatos
 
seta.gif (161 bytes)  Publicado no site: Farol News
 > A mensagem 

Tornou-se comum hoje em dia o recebimento de mensagens, muitas vezes de desconhecidos, alertando para o fato de ele ter recebido uma mensagem sua contaminada por vírus (worm).

Como essas mensagens são emitidas automaticamente por programas instalados em servidores de redes têm um ar de seriedade e muitas vezes provocam a dúvida: “Será que meu sistema está mesmo contaminado?”.

Veja abaixo o conteúdo de duas dessas mensagens que pode variar de acordo com o software que a emitiu: 

“Um virus foi encontrado numa mensagem de Email que acabou de ser enviada por voce”.

Este scanner de Email a interceptou e impediu a mensagem de chegar no seu destino.

O virus foi reportado como sendo: Worm.Bagle.U

Por favor atualize seu antivirus ou contate o seu suporte tecnico o mais rapido possivel pois voce tem um virus no seu computador“. 

“A L E R T A   V I R U S

Nosso anti-virus detectou o  W32/Netsky.q@MM

virus em seu email para a caixa postal:

-> xxx@yyy.br

A entrega desse email foi cancelada.

Por favor, verifique seu email com um anti-virus atualizado.” 

Desvendando a fraude 

Uma nova safra de vírus (worms) tem a capacidade de forjar os endereços eletrônicos dos remetentes de arquivos contaminados. Através de mecanismos baseados em arquivos.dll, .ocx ou outros que são criados durante a instalação do vírus, eles executam varreduras no sistema em busca de e-mails que serão copiados e usados na disseminação do próprio vírus. 

Tais endereços são capturados não só na lista de contatos do Outlook mas também em websites que estejam armazenados no cache, em documentos do Word, apresentações do Power Point e até mesmo em arquivos de texto entre outros. Os endereços são utilizados tanto no campo Destinatário quanto no Remetente sendo que além disso alguns desses vírus ainda inventam nomes que serão inseridos antes do @domínio dos endereços capturados. 

Se seu endereço eletrônico está de alguma forma presente num sistema contaminado ele pode ser usado tanto como destinatário quanto como remetente de arquivos que serão enviados visando a disseminação desse vírus. Quando essa mensagem chega na caixa postal do destinatário pode ser interceptada pelo antivírus do provedor que automaticamente a bloqueia e envia um alerta de vírus ao remetente. Pronto! Você estará recebendo um falso alerta de vírus sem ter nada a ver com isso. Daí advém toda essa confusão de falsos alertas de vírus. Pior, isso ocorre não só com provedores mas com  qualquer servidor de rede que esteja configurado para simplesmente alertar os remetentes de mensagens contaminadas. 

Como funciona 

Como exemplo desses vírus que usam esse tipo de recurso e causam tanta confusão cito o MyDoom, Netsky, Bagle e Sober em todas as suas variantes que são dezenas. 

O Netsky.p captura e-mails em todos os arquivos (do sistema contaminado) com as seguintes extensões:

.dbx, .tbb, .adb, .dhtm, .cgi, .shtm, .uin, .rtf, .vbs, .doc, .wab, .asp, .php, .txt, .eml e .html.  

Já o Sober.f vai mais longe:.abc, .abd, .abx, .adb, .ade, .adp, .adr, .asp, .bas, .cfg, .cgi, .cls, .ctl, .dbx, .dhtm, .doc, .dsp, .dsw, .eml, .fdb, .frm, .hlp, .ini, .jsp, .ldb, .ldif, .log, .mbx, .mda, .mdb, .mde, .mdw, .mdx, .mht, .mmf, .msg, .nab, .nch, .nfo, .nsf, .ods, .oft, .php, .pl, .pp, .ppt, .pst, .rtf, .shtml, .sln, .tbb, .txt, .uin, .vap, .vbs, .wab, .wsh, .xls e .xml. 

Essas novas pragas ainda se dão ao requinte de evitar enviar mensagens contaminadas a endereços de determinados domínios (empresas de tecnologia e antivírus) dificultando assim a sua identificação rápida. O Sober.f não envia arquivos contaminados para e-mails que contenham as seguintes seqüências: mailer-daemon, office, redaction, support, variabel, password, time, postmas, service, freeav, @ca., abuse, winrar, domain., host., viren, ewido., emsisoft, linux, google, @foo, winzip, @arin, mozilla, @iana, @avp, @msn, Microsoft, @sophos, @panda, symant, ntp-, @ntp., @kaspers, free-av, antivir, vírus, verizon., @ikarus., @nai., @messagelab e clock. 

Como proceder 

Sabendo-se que os próprios vírus forjam os e-mails dos remetentes a atitude mais sensata ao meu ver é simplesmente ignorar e deletar os falsos alertas. Recomendo também que se evite enviar esses alertas no caso do seu antivírus detectar mensagens contaminadas sendo recebidas pois provavelmente o real remetente não é aquele que consta como sendo. 

Para saber o e-mail do real remetente em casos de dúvidas sugiro a leitura do artigo Como reconhecer mensagens de e-mail fraudulentas (link 1). 

A contribuição dos ADMINs 

Sem cair em generalizações pode-se afirmar que boa parte de toda essa confusão causada por falsos alertas de vírus tem a colaboração de alguns profissionais responsáveis pela configuração dos programas antivírus utilizados em servidores de redes. 

Por comodismo, desconhecimento ou outra razão qualquer, diversos provedores de acesso e também redes de empresas e outras instituições mantém seus programas antivírus configurados para emitir um alerta ao suposto remetente toda vez que recebem uma mensagem contaminada. Com isso além de aumentarem desnecessariamente o fluxo de dados na rede ainda causam transtornos e aborrecimentos aos internautas que recebem seus falsos alertas. 

Vale lembrar que não é novidade essa “colaboração” entre ADMINs de redes e criadores de vírus. O worm NIMDA só contamina  redes que estejam desatualizadas em relação aos patchs de segurança da Microsoft e mesmo assim causou grandes estragos ao redor do mundo há pouco tempo e ainda continua atuante. Não à toa seu criador homenageou ironicamente essa classe de profissionais: NIMDA lido ao contrário é ADMIN. 

Genialidade maligna 

Considero admirável a capacidade criativa desses sujeitos que desenvolvem esses pequenos softwares poderosos o suficiente para se disseminarem e causarem estragos em milhares de computadores nos cinco continentes. Além das técnicas de programação eles se utilizam recursos psicológicos pois envolvem profissionais de Informática nesse processo de disseminação e conseguem atingir até mesmo quem teu seu sistema protegido contra vírus. 

Pena que essa genialidade criativa esteja sendo utilizada direcionada a objetivos nocivos e doentios. 

Afinal tem vírus ou não? 

Se ao receber um alerta de vírus ou em qualquer outra circunstância você tiver dúvidas quanto à integridade de seu sistema em relação a vírus, recomendo que siga os procedimentos abaixo: 

-          Certifique-se que seu antivírus esteja atualizado e bem configurado.

-          Se utiliza Windows ME ou XP desative o recurso “Restauração do Sistema” antes da operação de rastreamento pois em caso contrário eventuais vírus  removidos serão restaurados. (links 2 e 3)

-          Execute as operações de rastreamento e remoção (se for o caso) no “Modo de Segurança” do Windows. (link 4)

-          Se for uma rede doméstica ou corporativa execute os passos acima em cada uma das máquinas tomando o cuidado de deixa-las desconectadas da rede até que todas tenham passado pelo processo. Sim, em determinado momento toda a rede será derrubada. 

Informação para proteção 

Neste caso dos falsos alertas de vírus a informação correta é muito importante aos internautas pois ao receberem esse tipo de mensagem os usuários desinformados ficam confusos e se mobilizam tentando achar vírus onde pode não ter e/ou enviando falsos alertas... 

Para acompanhar as novidades sobre vírus e segurança na Internet recomendo a visita a alguns sites bem como a assinatura de seus respectivos newsletters (boletins informativos). (links 5, 6, 7, 8, 9, 10 e 11) 

Dúvidas ou dificuldades? 

Estou à disposição para colaborar no que estiver ao meu alcance. 

Nota explicativa: 

Cabe esclarecer que ao indicar a leitura de textos em websites de empresas NÃO significa que eu esteja recomendando os produtos comercializados por essas empresas. Estou sugerindo a leitura de textos que considero pertinentes e relevantes para o bom entendimento do assunto tratado neste artigo. 

Links 

1     Como reconhecer mensagens de e-mail fraudulentas

http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1077306560,35959,/ 

2     Como desativar ou ativar o recurso de restauração do sistema no Windows Me

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/brdocid/20020515174228924 

3     Como desativar ou ativar o recurso de restauração do sistema no Windows XP

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/brdocid/20020515173951924 

4     Como iniciar o Windows 95/98/Me no Modo de Segurança

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/brdocid/20010918105524924 

5     Virinfo www.virinfo.net 

6     Infoguerra www.infoguerra.com.br 

7     Módulo www.modulo.com.br 

8     Info Exame http://info.abril.com.br/seguranca/index.shl 

9     IDG Now http://idgnow.terra.com.br/idgnow/idgnow.html 

10   Virus Alerta http://www.superdicas.com.br/va/

11   Segurança Máxima http://geocities.yahoo.com.br/segurancamaxima/

> Leia: Aviso de antivírus é usado em golpe - Golpistas criam e-mail falso baseado em avisos enviados por antivírus. Quem cair na armadilha pode ter a conta do banco "zerada".
.
Principal | Artigos | AV Online | Ferramentas | Testes | Notícias | Boletim informativo | Serviços | Quem sou | Contatos
 .

Ary Lima Jr