Sítio do Piropo

B. Piropo

< O Globo >
Volte
12/05/2003

< Cuidado com o Cavalo >


Este é o relato de um infausto acontecimento. Leia-o não apenas para se informar mas, sobretudo, porque talvez algum dia a forma pela qual me dei conta do problema e as ações tomadas para resolvê-lo possam lhe orientar diante de situação semelhante.
Dia desses recebi uma mensagem dando conta que alguém me enviara um cartão, com um atalho para o próprio. Cliquei nele e abriu-se uma janela de transferência de arquivo. Distraído (afinal, era apenas um cartão), mandei “Abrir” e esperei. Nada aconteceu. Imediatamente soou aquele alarme que o inconsciente toca toda vez que se faz uma grossa besteira: iludido por aquela lenga-lenga de cartão, eu executara algo sem saber o que. Gravei os arquivos pendentes, fechei todos os programas, reinicializei a máquina e fiz uma varredura completa com o Norton Antivírus. Nada. Nenhum sinal de vírus, cavalo de Tróia ou similar. Aliviado, imaginei tratar-se de um cartão mesmo, que não tinha sido exibido talvez por ter se corrompido algum arquivo, e segui adiante.
No dia seguinte, ao acionar o atalho Alt+Tab para mudar de programa, surpreendi-me com a presença de um ícone desconhecido entre os dos aplicativos em uso. Um programa adicional estava sendo executado à minha revelia. E quando eu tentava trazê-lo para o primeiro plano, nada acontecia. Que diabo era aquilo? Identifiquei-o graças ao “Task Switcher”, um dos “Power Toys” para Windows XP (falei dele há duas semanas no artigo “Power Toys para Windows XP”, disponível na seção “Escritos / Artigos no Globo” de meu sítio, em <www.bpiropo.com.br>). É um comutador de tarefas acionado pela combinação Alt+Tab que, além de exibir os ícones dos programas em execução, mostra também uma miniatura da janela do programa selecionado. Com ele examinei a janela do programa “fantasma”. Quando vi o que continha, gelei. Era um registro de minhas últimas ações.
Programas desse tipo chamam-se “key loggers”. Eles armazenam em um arquivo cada ação do usuário, cada tecla premida, cada clique do mouse. Depois, a um dado comando acionado pela Internet, encaminham esse arquivo a quem o “plantou” no micro, com tudo o que foi digitado naquele período, inclusive números de contas bancárias acompanhados das respectivas senhas. Em geral são instalados juntamente com os chamados “Cavalos de Tróia” ou “backdoors”, que permitem a terceiros comandar o micro remotamente. Em suma: abrindo o maldito cartão instalei um cavalo de Tróia que passou pelo escrutínio do Norton Antivírus. Mas qual?
Examinei a lista de aplicativos exibidas pelo Gerenciador de Tarefas de Windows XP (premindo concomitantemente as teclas Ctrl, Alt e Del e clicando no botão correspondente). Na aba “Aplicativos”, além dos programas em uso, havia uma suspeitíssima entrada adicional, sem nome. Poderia ser desativada? Sim: selecionei-a, cliquei em “Finalizar Tarefa” e ela desapareceu, juntamente com a janela do key logger no Task Switcher. Meio caminho andado. Restava identificar o arquivo executável e removê-lo.
Reinicializei a máquina para carregar o cavalo de Tróia, acionei o gerenciador de tarefas, passei para a aba “Processos” e anotei cada um dos processos em execução. Voltei à aba “Aplicativos”, desativei o programa fantasma e retornei a “Processos”. Lá estavam todos eles, exceto um certo “Msnet.Exe”. Bingo! Agora, era preciso removê-lo e impedir sua reinstalação.
Abri o editor de Registro (menu Iniciar, entrada “Executar”, comando ‘regedit”) e ordenei uma busca completa por ocorrências de “msnet”. Descobri diversas (incluindo algumas inofensivas referências a “msnetobj.dll”, um componente de Windows, nas quais não mexi). Uma referia-se também a um arquivo “Bush02.Exe”, um óbvio componente do cavalo de Tróia. Outra, a responsável pela carga do “key logger”, na chave [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]. Eliminei-as todas, removi os arquivos (Bush02.Exe da pasta WINDOWS e Msnet.Exe da pasta WINDOWS\SYSTEM32) e reinicializei o micro. Voilá! Livrei-me da peste. E, por segurança, antecipei a troca periódica de minhas senhas.
Só faltava descobrir que cavalo de Tróia era aquele e porque passou incólume pelo exame do Norton Antivírus. Uma pesquisa na Internet com “bush02” retornou centenas de entradas, nenhuma associada com “virus”, “trojan” ou “backdoor”. Já uma busca com “msnet.exe”, além de informações sobre o vírus “w32.boa.worm” que, por suas características, nada tinha a ver com o caso, retornou a excelente página
<http://pacs-portal.co.uk/startup_pages/startup_i.php>
com a relação de programas carregados durante a inicialização de Windows e a menção: “msnet.exe: incluída por uma variante do vírus sdbot”.
Informações sobre o sdbot nos sítios dos principais desenvolvedores de antivírus evidenciaram ser ele o culpado. Trata-se de um cavalo de Tróia geralmente enviado através de conexões de “bate-papo eletrônico” (“chat”) com o programa IRC. Como nenhum dos sítios consultados mencionava o arquivo Msnet.Exe (em geral o sdbot se propaga usando o executável Cnfgldr.Exe), tudo indica que se trata de uma nova variante, ainda não incluída nas definições de vírus, criada para se disseminar por correio eletrônico. E parece que há outras: recebi mensagem de um leitor relatando problema idêntico (cavalo de Tróia instalado através da abertura de um cartão) cujo executável denomina-se “msnteste.exe”.
Para encerrar: circulam pela Internet duas mensagens. Uma, supostamente enviada pela Globo.Com, informa que o destinatário foi pré-selecionado para a quarta edição do Big Brother Brasil e solicita baixar um formulário clicando no atalho “Instalar o formulário” (agradeço ao leitor Richard Souza por haver chamado minha atenção para ela). A outra, enviada por alguém que se faz passar pelo Banco do Brasil, informa que devido falhas na segurança do sistema, o BB desenvolveu uma “vacina” que pode ser instalada clicando-se no atalho “BBvacina.exe”. Ambas redigidas em péssimo português (o imbecilóide que se faz passar pelo BB solicita a “compreenção” dos destinatários, assim mesmo, com c-cedilha). Evidentemente, tanto em um caso quanto em outro, o resultado será a instalação de um cavalo de Tróia. Portanto, reitero: nunca, jamais, em tempo algum, abram qualquer tipo de arquivo enviado seja por que instituição for através de anexos ou atalhos em mensagens de correio eletrônico. E, caso se sinta tentado a fazê-lo, telefone antes para a instituição (mas não, evidentemente, para qualquer número citado na mensagem) pedindo confirmação. Cuide-se.
Eu, que vivo repetindo o mantra “nunca abra arquivos de origem desconhecida”, não me cuidei e quase quebrei a cara...

B. Piropo