No último
dia 18, pouco depois das três da tarde, hora local, com o número
de um cartão de crédito roubado e um endereço de
correio eletrônico fictício, usando um computador da província
canadense da Colúmbia Britânica controlado por um Cavalo
de Tróia para impossibilitar sua identificação,
um desconhecido abriu uma conta no provedor Easynews, em Phoenix, Arizona,
EUA. Alguns minutos depois essa conta enviou uma única mensagem
para seis grupos de notícias da Usenet: alt.binaries.amp; alt.binaries.boneless;
alt.binaries.nl; alt.binaries.pictures.chimera; alt.binaries.pictures.erotica
e alt.binaries.pictures.erotica.amateur.female. Ela continha apenas
um anexo com uma foto pornográfica e sua linha de assunto era
“Nice, who has more of it? DSC-00465.jpeg”. A conta não
mais foi utilizada depois disso. Foi assim que o verme Sobig.F começou
sua faina de gerar dezenas de milhões de mensagens que infectaram
quase um milhão de micros causando a disseminação
mais rápida da história dos vírus: ao se abrir
o anexo que exibia a foto, instalava-se o Sobig.F (veja artigo de Martyn
Williams em <www.pcworld.com/news/article/0,aid,112139,00.asp>).
Após instalado, o verme procura na máquina arquivos com
endereços de correio eletrônico. Para cada um que encontra
envia uma mensagem com endereço de remetente forjado para dificultar
a localização da fonte e uma dentre diversas linhas de
Assunto: Re: That movie; Re: Wicked screensaver; Re: Your application;
Re: Approved; Re: Re: My details; Re: Details; Your details ou Thank
you!. O corpo da mensagem é um texto curto em inglês instando
o destinatário a abrir o arquivo anexo com um dos seguintes nomes:
movie0045.pif; wicked_scr.scr; application.pif; document_9446.pif; details.pif;
your_details.pif; thank_you.pif; document_all.pif ou your_document.pif
(abrir qualquer um deles contamina a máquina). Isto feito, cria
o arquivo winppr32.exe no diretório Windows e duas entradas no
Registro invocando, a cada inicialização, a carga do programa
que fica rodando em segundo plano aparentemente inerte. Sua única
ação, depois disso, é usar o Network Time Protocol
(um serviço do sistema operacional) para consultar um dos diversos
sítios dedicados a fornecer data e hora. Se descobrir que está
entre 16hs e 19hs (horário de Brasília) de uma sexta-feira
ou domingo, tenta estabelecer contato com um dentre vinte possíveis
servidores localizados nos EUA, Canadá e Coréia, identifica-se
usando um código de oito bits e recebe em troca um endereço
Internet juntamente com algumas instruções. Caso contrário
permanece quieto, sempre verificando data e hora. No dia dez de setembro
próximo se desativa por seus próprios meios (como a ação
do vírus é quase imperceptível pode ser que sua
máquina esteja infectada e você não saiba; atualize
as definições de seu programa antivírus e faça
uma varredura completa ou visite o sítio de um dos fornecedores
de antivírus em busca de uma ferramenta de remoção;
a da Symantec está em <http://securityresponse.symantec.com/avcenter/venc/data/[email protected]>).
Os vinte servidores com os quais o Sobig tentaria estabelecer contato
nas datas e horários agendados eram todos máquinas domésticas,
previamente invadidas pelo autor do verme, que ficavam permanentemente
ligadas à Internet através de serviços de Internet
rápida tipo DSL. Felizmente (desta vez) todos foram localizados
e desativados em tempo hábil pelas autoridades e empresas de
segurança (tanto o CERT quanto o FBI americano estiveram envolvidos
assim que se percebeu a gravidade da ameaça; o vírus começou
a se espalhar na segunda, 18/08, portanto a primeira vaga de ataque
seria na tarde da última sexta-feira, 22/08). Um exame desses
servidores revelou que as instruções enviadas às
máquinas que porventura houvessem se conectado no horário
programado solicitariam executar um determinado arquivo a ser baixado
de um dado endereço Internet. Um endereço falso.
Segundo os responsáveis pela investigação, minutos
antes da primeira vaga de conexões (daí a importância
de sincronizar os relógios pelos provedores de hora certa da
Internet) o responsável pelo Sobig.F estabeleceria contato com
os vinte servidores selecionados (que, enfatize-se, pertencem a pessoas
inocentes) e forneceria o endereço válido onde estaria
o arquivo com o verdadeiro código malicioso. Desta forma, quando
as autoridades descobrissem o que estaria ocorrendo, centenas de milhares
de máquinas no mundo inteiro já teriam entrado em ação
impossibilitando quaisquer contramedidas.
E quais seriam as intenções do criador do vírus?
O que conteria o arquivo a ser executado? Infelizmente, ninguém
sabe. Poderia ser um simples “Cavalo de Tróia” que
expusesse as informações confidenciais de alguns milhões
de micros, um ataque do tipo DoS (Denial of Service) a um sítio
particularmente sensível ou seja lá o que for que tenha
passado pela mente doentia do criador do vírus. Mas certamente
coisa boa não era.
A trama não parece coisa de “hacker de galinheiro”,
esses garotos bobos que descobrem como invadir máquinas alheias
apenas para se vangloriar. Há detalhes que indicam ter sido engendrada
por profissional. Por exemplo: as vinte máquinas escolhidas para
fornecer o endereço do programa a ser baixado se espalhavam da
América à Ásia, todas de diferentes provedores
e proprietários insuspeitos, tornando extremamente difícil
localizá-las e desativá-las (a última somente foi
bloqueada minutos antes do horário previsto para o primeiro contato).
A sofisticação de sincronizar as conexões pelo
horário correto, o número de máquinas invadidas
na preparação do golpe, a forma pela qual o vírus
começou a se disseminar, tudo isso indica a participação
de gente altamente especializada (veja artigo de Eryn Joyce e Sharon
Gaudin em <www.internetnews.com/infra/article.php/3067671>).
E essa, ao que parece, foi apenas a primeira tentativa.
Desta vez, por uma mistura de acaso e competência, escapamos (há
que tirar o chapéu para a turma da segurança que em quatro
dias conseguiu identificar o problema, perceber sua gravidade potencial
e desativá-lo).
Vamos ver se continuamos a ter essa sorte.
B.
Piropo
