O vírus ILOVEYOU começou a se propagar na quinta-feira, 4 de maio de 2000 a partir das Filipinas. Seu autor, ainda não identificado no momento em que este artigo é escrito, provavelmente é um dos estudantes da AMA, uma escola de informática da cidade de Manila. A disseminação foi extraordinariamente rápida, superando por larga margem a do vírus Melissa: em poucas horas afetou 250 sítios, infectando 300 mil máquinas. Em cinco dias, infectou cinqüenta milhões de máquinas em todo o mundo e causou alegados prejuízos de dez bilhões de dólares americanos.

Na verdade, trata-se de um "worm", não de um vírus. A diferença é sutil: vírus são programas, sempre contidos em arquivos executáveis, enquanto "worms" produzem efeitos semelhantes, mas não estão contidos em executáveis: o ILOVEYOU é um script desenvolvido em uma linguagem de programação da MS denominada Visual Basic, ou VB. Em sua forma original (mas não a única: leia adiante sobre as variantes) o vírus é enviado como um arquivo anexado a uma mensagem de correio eletrônico cujo assunto ("subject") é "ILOVEYOU". Muitas vezes a mensagem provem de pessoa conhecida, em quem se confia (quando se instala em uma máquina, o vírus envia uma cópia de si mesmo a todos os integrantes do Catálogo de Endereços da vítima à sua revelia). No corpo da mensagem há apenas a frase "kindly check the attached LOVELETTER coming from me" ("tenha a bondade de verificar a carta de amor anexada remetida por mim").

O anexo é um arquivo intitulado "LOVE-LETTER-FOR-YOU.TXT.vbs", assim mesmo, todo em maiúscula exceto pela extensão Vbs, que indica tratar-se de um script em VB (as regras para nomear arquivos em Windows permitem usar pontos em mais de um local do nome, mas a extensão que define o tipo de arquivo será formada sempre pelas letras após o último ponto; no caso, a aparente "extensão" TXT – em maiúsculas para chamar mais atenção – é apenas mais um engodo engendrado pela mente malsã que criou o vírus para fazer crer que se trata de um inocente arquivo texto). O vírus é instalado assim que se abre o anexo, em geral através de um duplo clique sobre seu ícone, portanto abstenha-se de abri-lo. Usuários de Linux e seus diversos sabores, assim como do Mac OS, não são afetados pelo vírus mas podem propagá-lo passando adiante mensagens de correio eletrônico que o contenham.

Os efeitos do ILOVEYOU

Ao ser aberto, o script do vírus ILOVEYOU executa as seguintes ações:

• cria diversos arquivos no HD com nomes que induzem o usuário a pensar que são arquivos de sistema, porém todos com extensão Vbs ou Htm (por exemplo: Mskernel32.Vbs, Win32dll.Vbs, LOVE-LETTER-FOR-YOU.TXT.HTM). Sua única função é disseminar o vírus;
• examina os discos rígidos da máquina em busca de determinados tipos de arquivos. Quanto os encontra: substitui arquivos de extensão Vbs ou Vbe por cópias do vírus; faz o mesmo com arquivos de extensão Js, Jse, Css, Wsh, Sct ou Hta (todos eles tipos de scripts), mudando a extensão para Vbs; Idem para arquivos com extensão Jpg ou Jpeg; arquivos com extensão Mp2 o Mp3 não são substituídos, mas recebem o atributo "oculto", têm a extensão alterada para Vbs e recebem uma cópia do vírus. Todos estes arquivos, se executados, tentarão instalar o vírus. Como a maioria dos arquivos originais são sobrescritos pelo vírus e não simplesmente removidos, mesmo depois de eliminado o vírus sua recuperação torna-se praticamente impossível;
• se, durante a varredura do HD, o script encontra o arquivo Mirc32.Exe, Mlink32.Exe, Mirc.Ini, Script.Ini ou Mirc.Hlp, cria um script mIRC intitulado Script.Ini na mesma pasta. A partir de então, cada vez que o usuário da máquina contaminada entrar em um canal IRC (as populares "salas de chat"), o script enviará cópias do vírus aos demais participantes;
• altera a página inicial do Internet Explorer. A nova página inicial faz com que, na próxima conexão, o IE baixe de determinados sítios da Internet o arquivo WIN-BUGSFIX.Exe, adicionando-o à lista de programas de execução automática na inicialização. Em seguida altera novamente a página inicial do Internet Explorer para "about.blank". A partir daí o arquivo WINBUGSFIX.Exe é invocado toda a vez que a máquina é ligada. Sua função é enviar automaticamente mensagens de correio eletrônico contendo as senhas porventura armazenadas no cache para o endereço [email protected] (este endereço, evidentemente, já foi desabilitado pelos responsáveis pelo provedor, mas é bom ter em mente que novas variantes do vírus podem enviar as senhas para outros endereços);
• varre o Catálogo de Endereços da máquina e envia uma mensagem com uma cópia de si mesmo para cada um dos integrantes. Isto é feito automática e subrepticiamente, sem que o usuário tome conhecimento;
• altera diversas entradas do Registro de Windows com o objetivo de modificar ajustes e executar automaticamente programas criados pelo vírus.

Em conjunto, estas ações provocam a perda de todos os arquivos com as extensões mencionadas, o envio de mensagens de correio eletrônico contendo senhas digitadas pelo usuário da máquina contaminada para o endereço citado e o envio do vírus para todos os participantes de "chats" e integrantes do Catálogo de Endereços do usuário da máquina contaminada.

As variantes da praga

Sendo um script em VB, o vírus pode ser modificado facilmente. Não se iluda, não é necessário ser um gênio da programação para efetuar as alterações: qualquer idiota com noções básicas de VB pode fazê-lo (na verdade, para criar uma variante de um vírus, ser idiota é condição necessária, embora não suficiente). Portanto não é de admirar que as variantes tenham se multiplicado tão rapidamente.

Quase todas diferem do original apenas em detalhes. O assunto pode ser "joke", "mother's day order confirmation" (simulando uma confirmação do débito em seu cartão e crédito do valor de uma falsa ordem de presente para o dia das mães, com um anexo intitulado Mothersday.Vbs - uma das variantes mais cruéis, já que este é o tipo de arquivo anexado que dificilmente alguém deixa de abrir), ou uma frase qualquer (há uma variante cujo assunto é "Susitikim shi vakara kavos puodukui..." que em lituano significa "vamos nos encontrar nesta tarde para um café").

O nome do arquivo anexo, o que efetivamente contém o vírus, também varia e pode ser "Very Funny.Vbs" ou qualquer outro (embora sempre sucedido pela extensão Vbs). E os efeitos de cada uma das variantes podem ser ligeiramente diferentes (algumas deixam em paz os arquivos Jpg e Jpeg mas eliminam os de extensão Bat e Ini, o que impede a máquina de ser inicializada no próximo boot). Há variantes particularmente perversas, que exploram justamente o medo da contaminação fazendo-se passar por alertas contra vírus (muitas delas advertindo contra o próprio ILOVEYOU e uma, em particular, simula ter sido enviada pela Symantec, os desenvolvedores do Norton Antivírus). Elas sugerem proteger o micro executando o arquivo anexo - que pode se chamar "virus_warning.jpg.vbs" ou "protect.vbs", uma coisa aparentemente lógica. O problema é que ao invés de proteger a máquina, ele instala o vírus.

Até quarta-feira, 10 de maio, haviam surgido 19 variantes porém no momento em que você estiver lendo este artigo provavelmente o número terá aumentado. Procure em <http://www.zdnet.com/zdhelp/stories/main/0,5594,2562929,00.html > informações atualizadas sobre novas variantes.

Como evitar a contaminação

O primeiro passo é uma recomendação clássica: nunca abra um arquivo não solicitado recebido como anexo a uma mensagem, especialmente quando se tratar de arquivo executável, scripts ou arquivos que possam conter macros (que podem ser reconhecidos pelas extensões, como Exe, Com, Bat, Pif, Vbs, Doc, Xls, Ppt, além de outras). Ao contrário do que a maioria das pessoas parece pensar pode-se, sim, viver sem abrir anexos. Eu mesmo jamais o faço e tenho passado muito bem, obrigado, com uma máquina que nunca foi contaminada.

Mas se por acaso você descobrir em sua caixa de entrada uma mensagem com um desses anexos, fique tranqüilo: o simples fato da mensagem estar lá não significa que a máquina foi contaminada (desde que não se abra o anexo, evidentemente). Remova-a e avise ao remetente que está disseminando o vírus (tenha em mente que em geral quem envia a mensagem é o próprio vírus, sem que o remetente sequer tome conhecimento).

O próximo passo é opcional, mas confere uma segurança adicional nada desprezível: desabilitar o mecanismo de execução de scripts VB em sua máquina. É claro que isso implica alguma perda de funcionalidade, já que impede a execução de qualquer script. Mas pode valer a pena, pelo menos enquanto durar esta fase aguda de disseminação do ILOVEYOU. Para fazê-lo, abra o objeto "Instalar ou Remover Programas" do Painel de Controle, passe para a aba "Instalação do Windows", selecione a entrada "Acessórios" da caixa de dados e clique no botão "Detalhes". Procure a entrada "Windows Scripting Host", desmarque-a e saia, clicando sempre em OK. Para habilitar a função (passada a onda do ILOVEYOU) repita o procedimento, marcando a caixa.

E não esqueça de atualizar seu antivírus...

Finalmente, mas não menos importante: atualize as definições de seu programa antivírus (não tem? Então instale um o mais rápido possível). Assim que a epidemia do ILOVEYOU foi constatada, os desenvolvedores incluíram em seus sítios as vacinas e antídotos correspondentes. Procure pelas suas. Você encontra links para os sítios dos principais desenvolvedores em < www.zdnet.com/zdhelp/stories/main/ 0,5594,2561848,00.html >, inclusive Symantec, McAfee, Dr. Solomon's e Panda.

Como remover o vírus

Mas o que fazer se sua máquina já foi contaminada? Bem, é caso para tristeza, mas não para desespero. Os arquivos perdidos não poderão ser recuperados, mas o vírus pode ser removido, evitando que continue a destruir arquivos e siga se disseminando.

A primeira providência é localizar e remover os arquivos MSKernel32.vbs e LOVE-LETTER-FOR-YOU.TXT.vbs no diretório WINDOWS\SYSTEM, Win32DLL.vbs no diretório WINDOWS, WinFAT32.EXE no diretório padrão que recebe seus arquivos baixados via Internet, script.ini no diretório MIRC e WIN-BUGSFIX.exe (provavelmente no diretório raiz). Em seguida, examine com o Notepad os arquivos com extensão Vbs de seu HD, removendo os que contiverem o vírus (não se preocupe, você vai reconhecê-los).

Depois, edite o Registro e remova as chaves:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX

(ficaria maçante incluir aqui uma descrição detalhada do procedimento; se você precisar de um roteiro passo-a-passo, procure neste mesmo artigo, que está à sua disposição na seção Escritos de minha página, em <www.bpiropo.com.br>.)

[Aqui o texto acima mencionado pode ser lido a seguir. N.E.]

Se você não se sente seguro em fazer a remoção do vírus manualmente, procure na Internet por utilitários que fazem isso automaticamente. Há diversos. Como não os testei, não posso testemunhar sobre sua eficácia, mas se provierem de empresas conceituadas, hão de ser seguros e eficientes. Alguns deles, como o Lovefix, da Symantec, exigem que o antivírus da empresa esteja instalado. Outros não impõem condições. Destes, o mais conhecido é o Antilove.Exe, da Panda Software. Procure por ele no sítio <www.pandasoftware.com/>. E boa sorte.

B. Piropo

Este roteiro foi baseado nas informações colhidas em diversas páginas sobre o vírus ILOVEYOU no sítio da editora Ziff Davis (www.zdnet.com). A remoção do vírus consiste em três passos básicos: remover os arquivos que contém o script ou que foram criados por ele, restaurar a página inicial do Internet Explorer (se necessário) e remover as entradas do Registro criadas pelo vírus.

1) Remoção de arquivos: Carregue o Windows Explorer executando um duplo clique sobre seu ícone na entrada "Programas" do menu Iniciar. Navegue até os diretórios (pastas) abaixo. Procure pelos arquivos especificados e os remova, clicando com o botão direito sobre seu ícone, selecionando a entrada "Excluir" do menu de contexto que então se abre e clicando no botão "Sim" na janela que solicita confirmar a exclusão. Repita este procedimento para cada arquivo.

a) No diretório: WINDOWS\SYSTEM localize e exclua os arquivos MSKernel32.vbs e LOVE-LETTER-FOR-YOU.TXT.vbs;

b) No diretório: WINDOWS localize e exclua o arquivo Win32DLL.vbs;

c) No diretório MIRC (se existir), localize e exclua o arquivo script.ini (este arquivo somente é criado se você tem instalado o programa mIRC que permite usar salas de "chat", ou conversas através do teclado via Internet);

d) No diretório raiz de seu drive C, localize e exclua o arquivo WIN-BUGSFIX.exe (OBS1: talvez esse arquivo não exista em sua máquina; se de fato não existir, não se preocupe. OBS2: talvez você não consiga remover este arquivo dentro de Windows. Se receber uma mensagem de erro ao tentar removê-lo usando o procedimento padrão acima descrito, será necessário remover o arquivo usando o DOS. Para fazê-lo: encerre todos os programas e prepare a máquina para ser desligada. Acione a entrada "Desligar" do menu Iniciar, marque a entrada "Reiniciar o computador em modo MS-DOS" e clique OK. Quando a máquina houver sido reinicializada, verifique se está no diretório raiz do drive C (o que pode ser verificado através do "prompt", que aparece imediatamente antes do cursor piscando; se estiver no diretório raiz, o prompt será "C:\>"; se não for, mude para ele digitando o comando "CD\ [ENTER]". Do diretório raiz, elimine o arquivo digitando o comando "DEL WIN-BUGSFIX.* [ENTER]". Para voltar a Windows, reinicialize a máquina).

e) No diretório padrão que recebe seus arquivos baixados via Internet, localize e exclua o arquivo WinFAT32.EXE (OBS1: talvez esse arquivo não exista em sua máquina; se de fato não existir, não se preocupe. OBS2: se você não sabe qual é o diretório padrão que recebe seus arquivos baixados via Internet, efetue uma busca em todos os seus discos rígidos usando a opção "Arquivos ou pastas" da entrada "Localizar" de seu menu Iniciar, entrando com o nome do arquivo na caixa "Nome"; ver abaixo como usar a entrada "Localizar").

f) Usando a entrada "Localizar" do menu Iniciar, localize e exclua todos os arquivos com extensão Vbs de todos os seus discos rígidos. Para fazê-lo, proceda da seguinte maneira: acione a opção "Arquivos ou pastas" da entrada "Localizar" do menu Iniciar. Na janela que então se abre, clique na seta para baixo à direita da entrada "Examinar:" e selecione a opção "Unidades de disco locais..." (se o único disco rígido de sua máquina é o drive C, escolha apenas ele). Na janela "Nome", entre apenas com "*.vbs", exatamente assim, mas sem as aspas. Em seguida, clique no botão "Localizar agora". Atenção: EM HIPÓTESE ALGUMA execute um clique duplo sobre os ícones de qualquer dos arquivos que eventualmente venham a aparecer na lista que provavelmente surgirá abaixo da janela (isto executará novamente o código do vírus). Procure, na lista, por arquivos com extensão dupla (por exemplo: nomequalquer.jpg.vbs ou nomequalquer.mp3.vbs) e arquivos com 10K a 11K (se o tamanho do arquivo não aparecer na lista, aumente a largura da janela Localizar arrastando uma de suas molduras laterais com o mouse). Estes arquivos contém o vírus. Elimine-os, clicando com o botão direito sobre seu ícone Na lista e acionando a entrada Excluir (REPITO: cuidado para não executar um clique duplo sobre qualquer um deles).

2) Restaure a página inicial do Internet Explorer. Em certas circunstâncias, o vírus altera a página inicial do Internet Explorer. Se iso ocorreu em sua máquina, reconstitua a página inicial através do seguinte procedimento: abra o Internet Explorer, acione a entrada "Opções da Internet" do menu "Ferramentas", passe para a aba "Geral" e entre com o URL desejado na caixa "Endereço" do grupo "Página inicial" (alternativamente: enquanto conectado à Internet, acesse a página que você deseja incluir como página inicial, repita o procedimento acima e clique no botão "Usar atual" para entrar com seu URL na caixa "Endereço").

3) Tomando os indispensáveis cuidados para quem vai editar o Registro (se não sabe quais são, consulte a série de colunas Trilha Zero sobre o Registro de Windows publicadas em abril e maio de 1997, particularmente a coluna de 28/04/1997, sobre o Editor do Registro, disponíveis na seção Escritos) localize e remova as entradas adicionadas pelo vírus. Para efetuar a remoção: carregue o editor de Registro acionando a entrada "Executar" do menu Iniciar, digite "REGEDIT" (assim mesmo, mas sem aspas) na caixa de dados e clique no botão OK. No painel esquerdo da janela do Editor do Registro, clique no sinal de adição que aparece à esquerda da entrada HKEY_LOCAL_MACHINE para exibir o nível imediatamente inferior da árvore do registro. Em cada um destes níveis, localize as entradas seguintes e repita o procedimento clicando no sinal de adição para exibir o nível subseqüente: "Software"; "Microsoft"; "Windows"; "CurrentVersion". Atingido este nível, ainda no painel esquerdo, clique sobre a pasta "Run" (desta vez diretamente na pasta, não no sinal de adição que eventualmente a antecede). Isto fará com que seu conteúdo seja exibido no painel direito. Nele, procure pela entrada "MSKernel32", clique com o botão esquerdo sobre ela e acione a entrada "Excluir" do menu de contexto que então se abre, confirmando a exclusão se for solicitado. Repita o procedimento para excluir a entrada "WIN-BUGSFIX" ainda no painel direito da chave "Run". Retorne ao painel esquerdo e clique sobre a pasta "RunServices" para exibir seu conteúdo no painel direito. Localize a entrada "Win32DLL" e a remova repetindo o procedimento acima.

Estes três passos são o suficiente para a remoção do vírus. Note, entretanto, que embora o vírus já não mais esteja instalado após a remoção, os arquivos por ele destruídos não são recuperados. Esta recuperação é praticamente impossível dada a forma particularmente perversa que o vírus age, sobrescrevendo-os com seu próprio código ao invés de simplesmente removê-los (um arquivo removido de um disco rígido na verdade tem apenas suas entradas no diretório e tabela de alocação de arquivos removidas, porém seu conteúdo permanece no disco, o que pode eventualmente permitir sua recuperação; um arquivo sobrescrito por outro tem seu conteúdo – ou parte dele – substituído pelo do novo arquivo, o que impossibilita a recuperação do anterior).