O verme “MyDoom.O”, na verdade um cavalo de Tróia que instala o backdoor “Zincite.A”, obtém endereços de correio eletrônico nos sítios de busca Google, Lycos, AltaVista e Yahoo. Complicou? Então destrinchemos.
Um vírus é um programa executado à revelia do usuário. Pode fazer uma bobagem inofensiva como exibir uma mensagem na tela ou executar uma ação extremamente daninha, como corromper arquivos e formatar discos rígidos. Há vírus que transportam e instalam um segundo programa. Que pode ser, por exemplo, um “keylogger” (“registrador de teclas”), que anota cada tecla premida pelo usuário e as envia sob a forma de um arquivo via Internet. Ou um “backdoor” (“porta dos fundos”), que “abre” uma porta (a comunicação entre computadores se faz através de endereços de entrada/saída denominados “portas”, cujo acesso é bloqueado, exigindo permissão do administrador da rede; “abrir” uma porta significa deixa-la vulnerável a acessos não autorizados, algo como destrancar uma porta dos fundos para facilitar a entrada sorrateira de intrusos).
Vírus que transportam outros programas chamam-se “cavalos de Tróia”, uma alusão à forma pela qual os gregos invadiram Tróia escondendo guerreiros no interior de um cavalo de madeira (para detalhes, consultar literatura sobre mitologia ou assistir ao filme “Tróia”, que relata o mesmo fato com menos fidelidade porém com muito mais som e fúria, o que torna a experiência mais divertida). O “Zincite.A” instalado pelo “MyDoom.O” é um “backdoor” que “abre” a porta 1034.
Vírus necessitam de ajuda para se disseminar. Desde um amigo inocente até um patife mal intencionado que o envia geralmente como um arquivo anexado a uma mensagem de correio eletrônico. Abrir o arquivo instala o vírus. Mas propagar vírus assim é lento e complicado. Por isso surgiram os vermes.
Um verme é um vírus que se dissemina por seus próprios meios. Os primeiros abriam o catálogo de endereços de correio eletrônico da máquina contaminada e, a cada endereço encontrado, enviavam uma cópia de si mesmo anexada a uma mensagem criada e despachada pelo próprio vírus. Quem a recebia podia identificar a origem pelo endereço do remetente e avisava a vítima, retardando a disseminação dos vermes. Por isso eles passaram a preencher a linha “De” com outro endereço colhido aleatoriamente no catálogo da máquina contaminada (por isso você recebe tantos avisos informando que enviou uma mensagem contendo vírus para pessoas de quem nunca ouviu falar; foi o verme que “plantou” seu endereço na linha de remetente). E mais tarde, no afã de aumentar a rapidez de disseminação, os vermes aprenderam a garimpar endereços perscrutando o interior de qualquer arquivos onde habitualmente eles podem ser encontrados.
Agora ficou fácil: o “MyDoom.O” é um verme porque se dissemina sozinho, é um cavalo de Tróia porque carrega com ele o “Zincite.A”, que por sua vez é um “backdoor” porque facilita o acesso à porta de comunicação 1034 da máquina. E aquele negócio dos sítios de busca?
Google, Yahoo, Lycos e AltaVista são sítios que varrem a Internet e seus milhões de novas páginas adicionadas a cada dia, “indexando” o que encontram (ou seja: criam índices de todos os termos encontrados; por isso as buscas são tão rápidas: o dispositivo consulta o índice, não as páginas). Agora imagine quantos endereços de correio eletrônico são encontrados nessas páginas. Esses endereços, assim como os “domínios” onde foram localizados, são armazenados em listas nos sítios de busca. Pois bem: a variante “MyDoom.M” consegue extrair endereços destas listas. É por isso que, embora recente, ela representa uma ameaça tão séria.
Uma advertência: há quem pense que o fato do “MyDoom.O” obter endereços nos sítios de busca representa uma ameaça aos visitantes desses sítios. Não é verdade. O endereço obtido não é o dos visitantes, mas os eventualmente contidos nas páginas indexadas, portanto a visita não representa perigo algum.
Finalmente: não há espaço aqui para descer a detalhes sobre o “MyDoom.O”, as mensagens que o disseminam, as alterações nas máquinas contaminadas, os cuidados a se tomar para evitar a contaminação e a forma de removê-lo. Mas os interessados encontrarão um resumo de tudo isso junto a esta coluna na seção Escritos de meu sítio, em <www.bpiropo.com.br>.
Cuide-se. E, sobretudo, repita comigo aquele velho mantra que você já deve saber de cor: “nunca, jamais, em tempo algum, abra anexos não solicitados de desconhecidos. E, se o remetente for conhecido, consulte-o antes de abrir”. Boa sorte.
B.
Piropo
