Sítio do Piropo

B. Piropo

< O Globo >
Volte
10/05/2004

< Sasser >


Há dez dias a Internet foi assolada pelo verme Sasser. Os especialistas em segurança estimam que em apenas uma semana mais de um milhão de máquinas foram afetadas. E, pior: 80% delas eram máquinas domésticas. Que, ao contrário das corporativas, geralmente sob os cuidados de profissionais que sabem como proceder, em geral estão nas mãos de leigos que não sabem o que fazer diante da ameaça (mas calma, que pelos menos os que lerem estas mal traçadas saberão).
É verdade que, perto das dez milhões de máquinas afetadas pelo Blaster, o Sasser pode ser considerado insignificante. Exceto por um detalhe: a forma quase sub-reptícia pela qual se dissemina.
Diferentemente da imensa maioria dos vírus e vermes conhecidos, que se propagam sob a forma de um arquivo anexo a uma mensagem de correio eletrônico que precisa ser executado para contaminar a máquina, o Sasser se aproveita de uma vulnerabilidade de Windows XP e 2000, já corrigida pela MS com um “remendo” (“patch”), que dispensa qualquer ação por parte do usuário. É como uma loteria ao contrário: se você ainda não instalou o “remendo”, basta se conectar à Internet e esperar. Se porventura o endereço IP (um número que identifica toda máquina ligada à rede) atribuído por seu provedor à sua máquina estiver entre os criados aleatoriamente por uma das máquinas contaminadas e esta última conseguir estabelecer contato com a sua, você será “premiado” com o verme.
A vulnerabilidade ocorre no Local Security Authority Subsystem Service (LSASS), uma interface para gerenciar serviços de segurança, autenticação de domínios e processos do Active Directory de Windows, e é do tipo “buffer overflow” (o artigo de mesmo nome na seção “Escritos” de meu sítio em <www.bpiropo.com.br> explica o que é isso). Sabendo explorá-la, um intruso pode controlar remotamente a máquina afetada, instalar programas, examinar, alterar e remover dados e até mesmo criar novas contas com privilégios de administrador.
Algumas semanas antes do Sasser eclodir, a MS pôs à disposição dos usuários a Security Update 835732 (veja detalhes no Boletim de Segurança MS04-011, em
<www.microsoft.com/technet/security/bulletin/MS04-011.mspx>,
onde a atualização pode ser obtida e instalada). Os que executam regularmente o Windows Update ou, melhor ainda, ajustam o sistema para efetuar atualização automática (Painel de controle / “Sistema” / aba “Atualizações automáticas”, marcar a caixa “Manter meu computador atualizado” e escolher uma das três configurações disponíveis no grupo “Configurações”), a instalaram em tempo hábil e imunizaram suas máquinas. Os que não o fizeram permanecem vulneráveis.
Em cada máquina contaminada o verme copia o arquivo Avserve.Exe no diretório de sistema (WINDOWS ou WINNT), altera a chave do registro
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] criando uma entrada que carrega o arquivo na inicialização, dá partida em um servidor de transferência de arquivos (FTP) na porta 5554, usa um algoritmo engenhoso para gerar endereços IP aleatórios, tenta estabelecer contato com as máquinas que possuem esses endereços e, se conseguir, caso a vulnerabilidade não tenha sido corrigida na máquina remota, transfere para ela uma cópia do verme usando o FTP. Em seguida exibe uma mensagem de alerta e desliga a máquina após um minuto.
Apenas isso. O Sasser não remove arquivos, não envia mensagens de correio eletrônico, não formata o disco rígido ou algo semelhante (na verdade, sob esse aspecto, parece muito um “piloto” criado para explorar a vulnerabilidade). Mas nada impede que outros vermes – ou novas versões deste – venham a fazê-lo. Portanto, todo cuidado é pouco.
O Sasser pode ser removido facilmente e todas os desenvolvedores de antivírus já fornecem ferramentas ou instruções para remoção manual (por exemplo: as da Symantec estão em
<www.symantec.com/avcenter/venc/data/w32.sasser.worm.html>).
Mas talvez a mais simples seja a da própria MS, em
<www.microsoft.com/security/incident/sasser.asp>.
Basta visitar a página e clicar no botão “Check My PC for Infection” para abrir uma janela com os termos de licença para uso da ferramenta. Se estiver de acordo, marque o botão “I Agree” e clique em “Continue” para fazer uma varredura em sua máquina. Se o Sasser não for encontrado, aparece a mensagem “Your PC Is Not Infected”. Se for, ele será removido. Se não funcionar, vá até
<www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=em>,
baixe a ferramenta de remoção e execute-a. Mas não esqueça: antes de tudo isso, baixe e instale o “remendo”. Mesmo que sua máquina não tenha sido infectada.
Como se vê, as ameaças não cessam. Agora, com essa nova forma de disseminação, é preciso modificar aquele nosso velho mantra. Além de “Nunca, jamais, em tempo algum, executar um arquivo anexo que não se tenha certeza absoluta que é seguro”, há que repetir trocentas vezes: “e sempre manter as atualizações críticas e de segurança do sistema escrupulosamente atualizadas”.
Por enquanto é isso. Mas logo “eles” inventarão novas artimanhas e teremos novamente que alterar o mantra...

B. Piropo