Sítio do Piropo

B. Piropo

< Comunicações >
Volte
15/03/2004

< Por que recebo avisos que >
<
enviei mensagens com vírus? >


P: Há alguns dias, meu antivírus ( Norton) interceptou três mensagens com o vírus W32/Netsky.B@mm e as colocou em quarentena. De lá para cá tenho recebido sistematicamente mensagens de aviso de provedores dizendo que estou enviando mensagens com o tal vírus. O Problema é que nunca ouvi falar nos endereços destas mensagens e nunca as enviei. Fiz um minucioso exame de todo meu arquivo de mensagens recebidas para verificar se os endereços constavam daqueles blocos imensos de destinatários múltiplos e não achei nenhuma correspondência. É como se alguém estivesse usando meu endereço a minha revelia. Já atualizei o Norton ( que aliais estava OK) e fiz uma varredura em todos Winchesters e nada foi detectado. Como é que pode?

R. Knorr  

R: Se as coisas ocorrem como eu imagino, quem deve se preocupar não é você, mas algumas (pelo visto, muitas) pessoas que têm seu endereço de correio eletrônico em algum arquivo de suas máquinas. Pois presumo que os avisos dos provedores informando que você está enviando vírus terem começado a chegar logo após o Norton Anti Vírus ter interceptado e posto em quarentena algumas mensagens infectadas com o Netsky foi mera coincidência. Se elas foram postas em quarentena (e sugiro que você as remova manualmente), sua máquina não está contaminada e portanto não é a responsável pelo envio das mensagens com seu nome na caixa “De”. Mas vejamos “como é que pode”: o Netsky, do qual enfrentamos um surto violento nas últimas semanas, não é um vírus, mas um verme (o nome “verme” não é, como se pode imaginar, uma referência ao biltre que o desenvolveu, mas ao fato do nefasto programeto se multiplicar e se propagar para outras máquinas usando seus próprios meios). A maioria dos vermes modernos, após infectar uma máquina e nela exercer sua ação deletéria, perscruta todo o disco rígido desta máquina em busca de arquivos contendo endereços de correio eletrônico (as variantes antigas faziam isso apenas no arquivo do catálogo de endereços, mas as novas efetuam a busca em diversos tipos de arquivos; o Netsky, por exemplo, investiga o conteúdo de todos os arquivos com as seguintes extensões: .dhtm, .cgi, .shtm, .msg, .oft, .sht, .dbx, .tbb, .adb, .doc, .wab, .asp, .uin, .rtf, .vbs, .html, .htm, .pl, .php, .txt e eml). Quando encontram um endereço, forjam uma mensagem de correio eletrônico e a enviam àquele endereço. Essa mensagem, em geral, tem uma linha de “Assunto” que atrai a atenção do internauta, um texto que tenta convencê-lo a abrir um arquivo anexo que, ao ser aberto, contamina a máquina (no caso do Netsky, esse arquivo tem seu nome escolhido aleatoriamente em uma lista, mas a extensão é sempre .pif) e – aqui está o ponto que lhe interessa e a explicação do “como é que pode?” – na linha “De”, incluem um endereço de remetente forjado, colhido também aleatoriamente na própria lista de endereços encontrados na máquina infectada. O objetivo é justamente dificultar a identificação da origem da contaminação, fazendo com que o aviso dos provedores informando que “sua máquina enviou uma mensagem contaminada” seja enviado ao endereço errado. Portanto, o que ocorre é exatamente o que você suspeita: alguém está usando seu endereço à sua revelia. Infelizmente, no caso, esse “alguém” é o próprio verme (não o autor, mas o programa), que faz isso automática e aleatoriamente, colhendo seu endereço em uma máquina de terceiros. E não há nada que você possa fazer contra isso – exceto, naturalmente, ignorar as mensagens. Mas não se preocupe, que elas não se originam de sua máquina. Eu mesmo recebo de cinco a dez desses avisos diariamente e já me acostumei a ignorá-los.

B. Piropo