Sítio do Piropo

B. Piropo

< Jornal Estado de Minas >
Volte
24/07/2003

< Gruel, o verme >


Há dois meses, escrevendo sobre o Fizzer, um “verme” que além de usar os meios tradicionais de disseminação recorria também aos programas de trocas de arquivos musicais tipo Kazaa e assemelhados, eu dizia que provavelmente novos exemplares surgiriam explorando os mesmos caminhos. Mas, honestamente, não esperava que uma das primeiras manifestações fosse um vírus tão estúpido quanto o Gruel, detectado semana passada.
Para quem não lembra, o Fizzer é um “verme” que instala um “Cavalo de Tróia” que permite que o biltre que o plantou na máquina alheia assuma o controle dela ou tenha acesso a dados confidenciais nela armazenados. Ou seja: tire algum proveito. Eu não aprovo esse tipo de comportamento ilícito mas, com algum esforço e muita complacência, sou capaz de entender as razões que levam a ele. O que não consigo é entender que tipo de desvio mental leva alguém a desenvolver uma imbecilidade como o Gruel.
O Gruel, a exemplo de seu criador, é um verme. Chega à máquina da vítima sob a forma de uma mensagem de correio eletrônico com um arquivo anexado que, ao ser executado (ou seja, “aberto” pelo destinatário), manda uma cópia de si mesmo a todos os endereços armazenados no Catálogo de Endereços de Windows (usado pelo Outlook e pelo Outlook Express) e, se a máquina abrigar uma pasta de arquivos compartilhados do programa Kazaa, cria nela um arquivo denominado “Windows XP KeyGen 2.5.Exe” que também dissemina o vírus. Usa, portanto, um mecanismo de propagação muito semelhante ao do Fizzer. A diferença está nos efeitos.
A mensagem que propaga o Gruel, ironicamente, explora justamente o medo que todo usuário tem de ser contaminado. A linha “Assunto” contém ou o texto “Symantec: New serious virus found” ou “Microsoft Windows Critical Update”. No primeiro caso o nome do anexo é “Symantec_Norton_Tool.Exe”. No segundo pode ser “Windows Critical Update 088562.Exe” ou “AntiVirus_Patch.Exe”. Se a mensagem supostamente vier da Symantec (a empresa responsável pelo anti-vírus Norton), conterá um alerta informando que um novo vírus foi descoberto e recomendando executar o anexo para proteger a máquina. Se o suposto remetente é a Microsoft o texto – também em inglês – informa que o anexo corrigiria novas vulnerabilidades que teriam sido encontradas no Windows. Em qualquer caso, a execução do anexo resulta em desastre.
O primeiro sintoma é a exibição do que parece ser uma mensagem de erro emitida pelo sistema informando que houve um problema e que Windows precisa ser encerrado. Na janela há dois botões: “Send Error” e “Send and Close”. Clicar no primeiro resulta na abertura de outra janela semelhante, com mais dois botões: “Close” e “Back”. O primeiro é inoperante e o segundo retorna à janela anterior. A função disso tudo parece ser simplesmente fazer a vítima gastar algum tempo enquanto o vírus executa sua faina nefanda. Porque, ao clicar finalmente em “Send and Close”, aparecerá uma mensagem em inglês informando que: “Seu computador agora é meu. Por que? Porque como eu não tinha nada para fazer, pensei: por que não fazer uma maldade?”. E continua, vociferando contra o mundo, contra Windows, contra o capitalismo e contra o comunismo. Fruto perfeito e acabado da mente doentia de um imbecilóide. A janela não pode ser fechada nem movida. E, enquanto é exibida, diversos objetos do Painel de Controle abrem-se inesperadamente, a bandeja do drive de CD é ejetada, a barra de tarefas desaparece e o led do disco rígido pisca sem parar.
Enquanto executa essa pirotecnia, o Gruel remove da pasta de sistema todos os arquivos de extensões Exe, Com, Dll e Ocx, assim como o Editor de Registro e diversos outros arquivos de sistema. Além disso, diversas chaves do Registro são corrompidas ou removidas. Terminada sua abominável atividade, dificilmente a máquina poderá ser reinicializada (talvez essa seja a razão mais provável da propagação relativamente lenta do Gruel: ele só consegue enviar as mensagens que o disseminam enquanto o micro permanece funcional e se estiver conectado à Internet quando o anexo for aberto). E, se depois de contaminada, a máquina conseguir inicializar, provavelmente estará inoperante. Para fazê-la voltar à vida a solução é restaurar a última cópia de segurança. E, para aqueles que acreditam que cópia de segurança é luxo, resta reinstalar o sistema operacional, substituir os arquivos do Registro por uma cópia “limpa”, atualizar as definições de seu antivírus e fazer uma varredura completa do sistema.
Como se vê, além de se propagar, o único efeito do Gruel é inutilizar a máquina da vítima. O psicótico que o criou nada ganha com isso, não tira proveito algum e nem ao menos sabe a quem prejudicou. Nada, exceto a satisfação doentia de saber que causou mal a alguém. Uma atitude que, por mais que eu me esforce, jamais conseguirei entender.
Os dados essenciais sobre o Gruel são esses. Seu nome “oficial” é W32.Gruel@mm ou W32.Gruel-A@mm (há também as variantes Gruel-B, E, F, G, H e I. Se desejar mais detalhes, visite a Sophos (<www.sophos.com/virusinfo/analyses/w32gruela.html>), a Trusecure (<www.trusecure.com/knowledge/hypeorhot/2003/gruel.shtml>), a VS Antivirus (essa em espanhol, em <www.vsantivirus.com/gruel-a.htm>) e a Symantec que, talvez por ser uma das supostas signatárias das mensagens, caprichou e traz as informações mais completas em <www.symantec.com/avcenter/venc/data/[email protected]>.
Pois é isso. Mais que nunca vale a recomendação: nunca abra arquivos anexados não solicitados, mesmo que aparentemente provenham de fontes seguras (além do Gruel, que supostamente é enviado pela Symantec ou Microsoft, andam circulando pela Internet mensagens supostamente provenientes do Banco do Brasil, oferecendo um “patch” de segurança para seu programa de Internet banking, e da Rede Globo, informando que o destinatário foi selecionado para participar da próxima edição do Big Brother Brasil, ambos falsos, com o objetivo de instalar um “Cavalo de Tróia” na máquina do destinatário). E fique atento para mensagens com as características descritas. Se receber uma delas, remova-a sem piedade, juntamente com seu anexo. E depois, só por segurança, atualize as definições de seu anti-vírus e faça uma varredura completa da máquina.
Do jeito que as coisas andam, todo cuidado é pouco...

B. Piropo