É chato
ter que voltar a este assunto logo no início do ano, mas o
que fazer? Aos pobres doentes mentais que odeiam seus semelhantes
e desenvolvem vírus pelo simples prazer de prejudicar a quem
nem ao menos conhecem, juntaram-se os “spammers”, uma
imensa comunidade de indivíduos que usam a Internet como veículo
barato de fazer propaganda de quase tudo, mandando mensagens não
solicitadas que alardeiam as virtudes desde os mais mirabolantes
produtos e técnicas para aumentar o tamanho do pênis
até, quem diria, de programas “anti-spammers”,
ou seja, que teoricamente nos protegeriam deles mesmos. E a disseminação
de novos vírus e vermes, que parecia declinante no início
de 2003 graças à melhoria de desempenho dos programas
anti-vírus e à conscientização da comunidade
micreira, ao que parece voltou a crescer. Ao que tudo indica devido à adesão
dos “spammers”.
Mas o que têm os “spammers” a ver com vírus? Bem, é que
essa categoria de débeis mentais tornou-se um problema mundial (estima-se
que mais da metade do tráfego de mensagens de correio eletrônico
na Internet deve-se à sua ação) e já há um
forte movimento no sentido de aprovar leis contra essa prática, inclusive
em lugares que levam a sério a legislação, como os EUA e
alguns países europeus. O resultado é que, para um spammer, é essencial
que seja impossível chegar até ele reconstituindo o caminho de
sua mensagem através da Internet. Interesse que compartilham com os desenvolvedores
de vírus. E para isso nada melhor que um “proxy aberto”.
“ Proxy” é uma máquina que se interpõe entre
uma rede local e a Internet. Tudo o que trafega entre a rede e a Internet passa
pelo servidor proxy. Sua função é proteger a rede local:
se, durante a conexão de uma máquina da rede com um sítio
mal intencionado houver uma tentativa de invasão da rede, ela é interceptada
pelo proxy (que tem seu próprio endereço IP, ou seja, uma “identidade” diferente
daquela da máquina que está fazendo o acesso) e rechaçada
pelo “firewall”, um programa de segurança instalado no proxy
para este fim.
Ora, como tudo o que trafega entre a rede local e a Internet passa pelo proxy,
as mensagens de correio eletrônico não poderiam ser exceção.
E como ele se interpõe entre a rede e a Internet, se alguém “traçar” o
caminho de uma dessas mensagens em busca de sua origem, só chegará até o
proxy, que impede a visão de qualquer ponto do interior da rede. É como
se a mensagem tivesse se originado no proxy.
Ora, sendo o proxy o elo entre a rede local e a Internet, é fácil
a um indivíduo mal intencionado chegar até ele, que está exposto
com o fim de proteger a rede. Administradores de rede competentes e responsáveis
configuram seus proxies de forma a permitir acesso somente a pessoal autorizado.
Mas nem todos se preocupam com isso. Afinal, se o proxy impede qualquer invasão à rede,
porque se preocupar com os acessos ao próprio proxy?
Proxies que permitem acesso a qualquer um são conhecidos como “proxies
abertos” (“open relays”). Quem obtém seus dados pode
se aproveitar disso para enviar mensagens de correio eletrônico através
deles, mensagens cuja origem somente pode ser traçada até o proxy.
Ou seja: um negócio ideal para quem deseja enviar um número imenso
de mensagens de correio eletrônico e permanecer anônimo. Um interesse
comum a dois tipos de salafrários: criadores de vírus e spammers.
Resultado: a partir de meados do ano passado começaram a aparecer vermes
que, além das maldades habituais como disseminar-se descontroladamente,
remover ou corromper arquivos do disco rígido e coisas que tais, instalam
nas máquinas contaminadas um programa que faz com que elas, quando conectadas à Internet,
passem a atuar como um proxy aberto. Ou seja: um ponto do qual mensagens podem
ser enviadas sem que seja possível traçar sua origem.
O primeiro deles foi o Sobig, que criou uma rede de milhões (literalmente)
de proxies abertos. Outros vermes se seguiram com o mesmo propósito. Hoje,
segundo artigo de Robert Vamosi em
<http://reviews-zdnet.com.com/AnchorDesk/4520-7297_16-5114861.html?tag=adss>,
listas de open proxies são comercializadas a peso de ouro em salas de
chat e similares em todo o mundo. E o número de novos vermes voltou a
crescer.
Um deles é o MiMail.I, também conhecido por Paypal, detectado em
meados de novembro passado. Ele chega anexo a uma mensagem em inglês, supostamente
enviada pela empresa PayPal, usada para efetuar pagamentos por via eletrônica,
solicitando que o usuário rode um programa anexo para atualizar seus dados
(inclusive senha e números de cartão de créditos). É claro
que o programa instala o vírus, envia os dados para seus mal intencionados
criadores e se dissemina mandando cópias da mensagem para os endereços
de correio eletrônico que encontra na máquina contaminada (veja
mais detalhes, assim como providências para eliminar o vírus, no
sítio da F-Secure, em <http://www.f-secure.com/v-descs/mimail_i.shtml>).
Outro é o Jitux.A, que se dissemina tanto por correio eletrônico
quanto pelo MSN Messenger. A mensagem convida a vítima a visitar um URL
de onde é baixado o programa Jituxramon.Exe que, ao ser executado, se
instala na memória e a cada cinco minutos envia novas mensagens via MSN
ou correio eletrônico a todos os destinatários que encontra listados
na máquina infectada. Aparentemente ele não faz mais nada além
de se multiplicar, mas suspeita-se que seja mais um a criar uma rede de proxies
abertos (ou pelo menos um “balão de ensaio” para uma futura
versão com essa finalidade). Mais detalhes sobre o Jitux podem ser encontrados
no sítio da Trend Micro, em
<www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_JITUX.A>.
Mas da nova safra o mais perigoso parece ser o PE_QUIS.A, também conhecido
por Belzy. Foi detectado semana passada e está se disseminando rapidamente.
Chega com uma mensagem cuja linha de assunto é “Merry Christmas!” e
oferece um suposto descanso de tela natalino em um arquivo anexo intitulado “Xmas.Scr”.
Abri-lo instala o vírus que, na próxima vez que o micro é inicializado,
roda um programa avisando que o micro está contaminado e propondo um jogo
de perguntas e respostas que, se respondidas corretamente, levariam à descontaminação.
Não levam. Vejam detalhes sobre o comportamento do vírus e informações
sobre onde encontrar ferramentas para eliminá-lo no artigo de Matthew
Broersma, em <http://zdnet.com.com/2100-1105_2-5134559.html?tag=zdfd.newsfeed>.
Pois é isso. Como eu disse, é chato ter que voltar a falar desse
assunto logo no início do ano, mas as ameaças estão aí e
convém se precaver. E repetir o mantra: nunca, jamais, em tempo algum,
abra qualquer arquivo anexo de fonte desconhecida e confirme a fonte antes de
abrir os de fonte supostamente conhecida. Não se esqueça que os
desenvolvedores de vírus aprenderam a incluir na linha “remetente” nomes
colhidos ao acaso nos catálogos de endereços das máquinas
infectadas, portanto aquela mensagem aparentemente mais que confiável
por ter sido enviada pela respeitabilíssima senhora sua mãe pode
ser, na verdade, portadora de um verme enviado através de um proxy aberto
por um biltre que se aproveitou da identidade da pobre senhora para enganá-lo.
Triste mundo este em que sou obrigado a recomendar a meus leitores que tomem
cuidado até com as mensagens em cuja linha de remetente consta o nome
da própria mãe...
B.
Piropo
