O Tanatos, ou BugBear, surgiu há exatamente duas semanas e está se disseminando tão rapidamente que já mereceu classificação de máxima periculosidade dos especialistas em segurança. Trata-se de mais um vírus que se aproveita da mesma vulnerabilidade explorada pelos temíveis Nimda, Klez e BadTrans, que afeta as versões 5.1 e 5.5 do Internet Explorer e que, se não corrigida, permite que a máquina seja contaminada pelo simples ato de exibir a mensagem no Outlook ou Outlook Express (para detalhes, visite a seção “Escritos - Coluna do Piropo/Trilha Zero” de meu sítio, em <www.bpiropo.com.br>, e leia as colunas de 01/10 e 24/12 de 2001 e 06/05/2002). Se sua versão do IE é a 5.1 ou 5.5 e você não instalou o “patch”, vá a
<www.microsoft.com/technet/security/bulletin/MS01-027.asp>,
procure pelo atalho (“link”) correspondente à sua versão, baixe e instale-o imediatamente.  

O nome oficial do novo vírus é W32/BugBear-A, mas é mais conhecido por BugBear ou Tanatos. Ele se dissemina através arquivos anexados a mensagens de correio eletrônico. Quando penetra em uma rede, aloja-se nos recursos compartilhados, inclusive impressoras, o que faz com que elas passem a imprimir páginas sem nexo (o código binário do vírus). Se na máquina houver uma das versões vulneráveis do IE, a contaminação se dá pela simples exibição da mensagem. Se for uma versão diferente ou se a correção já tiver sido aplicada, a contaminação se dará pela execução do anexo. Ocorre que este vírus age de uma forma peculiar, criando “respostas” para mensagens escolhidas aleatoriamente na máquina contaminada, às quais se anexa e envia aos remetentes. E é grande a tentação de executar um arquivo anexado em resposta a uma mensagem sua para um conhecido, mesmo que o assunto seja um tanto estranho. Portanto, nunca foi tão oportuno o velho e repetido conselho: nunca, jamais, em tempo algum, execute arquivos anexados não solicitados seja qual for sua proveniência.

A linha de assunto da mensagem que transporta o BugBear pode conter uma dentre dezenas de frases, como: “click on this!”, “Correction of errors”, “Get a FREE gift!”, “Membership Confirmation”  e outras. O arquivo anexo tem um nome escolhido aleatoriamente que pode ser: images, music, news, photo, pics, Setup, video ou qualquer outro (inclusive em português), com extensão dupla (como .Doc.Pif ou algo semelhante, mas a última é quase sempre Exe, Scr ou Pif). Seu tamanho é exatamente 50.688 ou 50.664 bytes (no último caso, se comprimido pelo utilitário UPX). Ele já está circulando no Brasil (na última semana recebi várias mensagens contaminadas) e, ao ser executado, cria arquivos no disco rígido da máquina, incluindo xxx.Exe na pasta Iniciar, yyyy.Exe e zzzzzzz.Dll na pasta de sistema (x, y e z representam letras diferentes entre si e escolhidas aleatoriamente). Cria ainda uma nova entrada no registro que faz com que rode à cada inicialização da máquina.

O BugBear pouco altera o comportamento do micro, o que faz com que muitas vezes passe despercebido. Sua primeira ação é desabilitar silenciosamente os mais conhecidos programas antivírus e “firewalls”. Depois, se esconde e roda em segundo plano. Seu componente zzzzzzz.Dll captura e arquiva toda a atividade do teclado e, cada vez que a máquina efetua uma conexão com a internet, o arquivo (que, evidentemente, inclui todos os “usernames” e senhas digitados, inclusive para acessar contas bancárias) é enviado sub-repticiamente para um dentre diversos endereços de correio eletrônico. Uma relação deles está disponível em
<www.sophos.com/virusinfo/analyses/w32bugbeara.html>,
mas outros serão criados na medida que os da relação forem desativados. Além disso, enquanto conectado, o vírus mantém aberta a porta 36794 e permite, a quem conhecer os comandos adequados, acesso total à máquina, com privilégios para ler, remover, transferir arquivos e terminar processos, entre outros.

As características do BugBear já foram incorporadas às definições da maioria dos antivírus e quem se mantém rigorosamente atualizado não corre perigo (se não for o seu caso, atualize-se). Mas se sua máquina já foi infectada, você terá que recorrer a uma das ferramentas de remoção criadas pelas boas empresas de segurança (a MacAfee AVERT criou o Stinger, disponível em <http://vil.nai.com/vil/stinger/> e a Sophos criou uma ferramenta que pode ser baixada de <www.sophos.com/support/bugbear.html>). Portanto, mesmo que a contaminação já tenha ocorrido, não se afobe porque tem jeito.

Mas o bom mesmo é não se contaminar. E para isso basta seguir escrupulosamente três regras: mantenha instalado e rigorosamente atualizado um bom antivírus, visite regularmente o sítio Windows Update e instale todas as atualizações de segurança que encontrar e nunca, mas nunca mesmo, execute um arquivo anexo não solicitado, por mais inofensivo que lhe pareça e por mais fidedigna que seja a fonte. Não se esqueça que os novos vírus preenchem as linhas de remetente com endereços encontrados nas máquinas infectadas e por vezes aquele arquivo anexado com um jeitão inócuo, aparentemente enviado pela respeitabilíssima senhora sua mãe em resposta a uma mensagem sua, pode esconder um vírus terrível. E a única culpa da pobre senhora seria, no máximo, haver gerado um filho descuidado que abre anexos sem saber o que contêm...

B. Piropo