V írus age na abertura da mensagem? 

    Compartilhando conhecimento desde 1998                                      Quem sou    Serviços    Colaborações   Contatos
 
seta.gif (161 bytes)  Publicado no site: Geek Brasil 
 > Vírus age na abertura da mensagem?  

O elemento

VBS.Haptime.A@mm é um dos nomes desse elemento que promete causar muitos estragos pela rede, outros são: VBS.HappyTime, VBS_HAPTIME.A, VBS.Happytime.A, VBS/Help, VBS_Haptime.A, VBS/Helper e VBS/Haptime@MM, além disso já existe uma variante que é o VBS.Haptime.B@mm cuja diferença são os nomes dos arquivos contaminados enviados por eles, o primeiro envia um arquivo denominado Untitled.htm e o segundo Instlog.htm.

Bem mas se a contaminação se dá por arquivos anexos que podem ser .htm, .html, .vbs, .asp, e .htt por que o título da matéria fala sobre contaminação na abertura da mensagem? Aí é que está o grande lance desse sujeito virtual, ele se aproveita de uma conhecida brecha de segurança do Outlook Express que permite a execução de VBS e ActiveX automaticamente quando uma mensagem em formato HTML é aberta. Isso quer dizer que se a mensagem for aberta em formato texto o arquivo contaminado virá anexo e a contaminação só ocorrerá se este for executado mas se a mensagem for aberta em formato HTML a execução e contaminação são automáticas pois o VBS vem no código HTML. Mensagens em HTML são as que trazem/levam cores, figuras, sons e outras firulas, as mensagens em formato texto trazem só texto mesmo...

Talvez seja interessante entender o que é VBS. O Haptime é um vírus escrito em Visual Basic que é uma linguagem de programação da Microsoft.  Um Script é um pequeno programa que pode ser escrito em várias linguagens. Portanto um VBS - Visual Basic Script é um programa escrito com a linguagem VB.

Sim, o vírus pode contaminar através da simples leitura de uma mensagem eletrônica e isso tem acontecido bastante pois eu tenho recebido diversas mensagens contaminadas e pedidos de ajuda em relação ao Haptime.

Características técnicas:

Nos links abaixo encontra-se farta documentação sobre o Haptime (em inglês).

http://www.symantec.com.br/avcenter/venc/data/vbs.haptime.b@mm.html

http://www.sophos.com/virusinfo/analyses/vbshaptimea.html

http://vil.nai.com/vil/dispVirus.asp?virus_k=99080

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_HAPTIME.A

Prevenção:

1 - A Microsoft disponibilizou um patch de correção para essa falha do Outlook impedindo que scripts sejam executados automaticamente na abertura das mensagens, está em: http://www.microsoft.com/technet/ie/tools/scrpteye.asp

2 - O Windows pode ser configurado para não executar scripts automaticamente da seguinte maneira:

-         Clique em Iniciar>Configurações>Painel de Controle

-         Depois em Adicionar ou remover programas>Instalação do Windows

-         Agora clique em Acessórios>Detalhes e veja se a opção Windows Scripting Host está marcada, desmarque-a para desabilitar o servidor de scripts do Windows.

Ops! O especialista Felipe Moniz alerta: " o Haptime não tem a ver com o WSH. O esquema funciona a partir de ActiveX mesmo,
através de um controle do Windows chamado "Scriptlet.TypLib". O
"Scriptlet.TypLib" é que executa o worm automaticamente. O KakWorm usa o mesmo controle".

3 - Também pode ser feita manualmente uma proteção contra execução automática de scripts mas só a recomendo para quem tem intimidade com o Registro do Windows: (dica do especialista Marcos Velasco)

Entre no registry e troque as entradas de todos os wscript.exe e cscript.exe para notepad.exe, desta forma, terão muito menos problemas contra worms-scripts.  Basta executar o regedit.exe (que vem em todas as versões do Windows), e fazer a pesquisa por "wscript.exe" e depois por "cscript.exe"... exemplo, na chave:

HKEY_CLASSES_ROOT\VBSFILE\Shell\Open\Command

Dentro desta chave, está:

wscript.exe "%1" %*

devemos modifica-lo para:

notepad.exe "%1" %*

4 - Existem softwares Script Checkers que permitem um gerenciamento das ações dos scripts possibilitando ao usuário optar pela execução ou não de scripts em seu sistema veja-os neste link.

5 - Para gerenciar o movimento de controles ActiveX e outros scripts faça o seguinte (usuários experientes):

-         No IExplorer clique em Ferramentas>Opções da Internet> Segurança> Nível personalizado

-         Rolando a barra serão encontradas diversas opções de configurações em que os controles ActiveX bem como scripts poderão ser executados automaticamente, sob consulta ao usuário ou nunca. É bom esclarecer que dependendo dessas configurações o navegador pode não apresentar recursos de alguns sites tornando a navegação desconfortável. É prerrogativa individual determinar qual a melhor configuração mas ATENÇÃO: se não souber como desfazer algo aí, não faça...

Desinfecção:

Os antivírus atualizados já protegem contra a ação do Haptime mas em caso de infecção do sistema vá até o site Virinfo, clique em Antivírus via Web e lá encontrará links para cinco serviços antivírus online e gratuitos.

Além disso a Trend Micro disponibilizou uma ferramenta específica para limpar sistemas infectados pelo Haptime, é o Fix_haptime.exe.

Conclusão:

Aconselho sempre aos internautas para que estejam atentos a dois procedimentos básicos de segurança: manter o antivírus atualizado e não executar arquivos anexos indiscriminadamente... Percebam que em alguns casos uma só dessas medidas é insuficiente para manter a integridade dos sistemas. No caso do Haptime é fundamental estar com o antivírus atualizado. O Mapa Mundial de incidência de vírus aponta hoje o Haptime como o mais atuante no Brasil e na Argentina.  
.
Principal | Artigos | AV Online | Ferramentas | Testes | Notícias | Boletim informativo | Serviços | Quem sou | Contatos
 .

Ary Lima Jr