Barata Eletrica21:(MELISS~1.TXT):23/07/1999 << Back To Barata Eletrica21


O caso do Vφrus Melissa O ·ltimo grande hit da imprensa (talvez o pen·ltimo) foi esse (agora nπo tπo) novφssimo vφrus. Apesar do pessoal falar do CIH, de outras variantes que tambΘm estπo com o maior ibope (atΘ se fala de infecτπo em computadores de companhias de eletricidade aqui no Brasil). Mas como dizia Jack, o estripador, vamos por partes: Descriτπo do vφrus: O dito Θ um vφrus de macro e como tal, funciona em ambiente Windows 95/98 ou mais especificamente Word 97 e word 2000. O email vΩm com um subject que Θ Important Message from e a mensagem dentro diz "Here is that document you asked for ... don't show anyone else. ;-)" . As macros sπo acionadas quando o arquivo atachado Θ aberto e o Outlook Express, aquele sistema de correio eletr⌠nico que vem junto com o Explorer, ele Θ acionado e manda copias de si pr≤prio (quer dizer, do email com o attachment recebido) para atΘ 50 destinatßrios contidos no addressbook. Dependendo do horßrio em que isto estß acontecendo, aparece a mensagem Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here, quando se abre o arquivo word. O grande lance Θ que mesmo se a pessoa nπo usar o Outlook express, o .dot do Word que ele estiver usando (97 ou 2000) fica infectado e o vφrus serß enviado para outro usußrio, se a vφtima em questπo tiver o costume de mandar arquivos .doc atachados. Variantes e futuras vers⌡es Apesar que tudo isso agora Θ notφcia velha, existem as variantes, como a W97M_MELISSA.A, que passa por cima de um patch desenvolvido para impedir a versπo inicial se propagar. A versπo inicial nπo faz absolutamente nada alΘm do que estß descrito acima, mas as vers⌡es posteriores podem ter sido modificadas (algumas foram) para, digamos.. formatar a winchester ou coisa do gΩnero. Word-basic Θ algo relativamente fßcil de mexer e modificar, mas o fato Θ que mesmo tirar o Word 2000 nπo impede de novos vφrus do mesmo gΩnero serem realizados. O Outlook Express permite a visualizaτπo de pßginas html, o que permite o uso de c≤digo VB script, um tentativa da MS de concorrer com o Javascript. Isso sem falar no Active X, que abre um campo de possibilidades enormes. O CCC (Chaos Computer Club) jß demonstrou que usando esta tecnologia, um trojan capaz de "brincar" com o home-banking de um indivφduo qualquer Θ possφvel. E isso nπo Θ de hoje, tem uns bons 2 ou 3 anos, esta hist≤ria, com gente aqui no Brasil reclamando que aconteceu com eles e o banco em questπo se omitindo.. O possφvel autor e como foi descoberto: Hß alguma d·vida sobre o caso. O principal suspeito Θ o indivφduo da foto ao lado, David L. Smith, 30 anos, residente em New Jersey, EUA. Foi acusado de interrupτ⌡es de comunicaτ⌡es p·blicas, conspiraτπo para cometer a ofensa, tentativa de comenter a ofensa e furto de tempo de serviτo de computador em 3o grau. Tudo junto, 40 anos de prisao e US$ 480.000 de multa. A polφcia o prendeu atravΘs do n·mero de telefone que foi usado para acessar o provedor de onde foi postado o email para o newsgroup. A AmΘrica On-Line, vai gardando esse nome, porque eles estπo vindo para o Brasil, mantΘm arquivos enormes sobre quem estß fazendo o que numa conta AOL e isso estß gerando discussπo nπo Θ de hoje (atΘ que ponto eles respeitam a privacidade do usußrio). Claro, tem um sujeito que tß ganhando a maior fama como o cara que provou "detetivescamente" a origem do vφrus, atravΘs do chamado GUID, Global User Identifier ou "Identificador Global de Usußrio". Esse ·ltimo seria um c≤digo, inscrito em cada documento Word 97 ou 2000 (embora se acredite que outros produtos da Microsoft tambΘm contenham o dito). Se o computador em questπo estß conectado a uma placa ethernet, entπo o endereτo da mesma (cerca de 12 dφgitos) Θ adicionado ao GUID do documento. Este n·mero, claro, nπo serß visto pelo usußrio, fica s≤ disponφvel para software capaz de fazer o "dump" do documento. Pode tambΘm ser alterado e um GUID de documento criado num computador XYZ nπo Θ alterado ao ser usado num computador ABC. Esse tipo de coisa estß inclusive gerando uma discussπo enorme lß nos EUA, porque a Intel estava pensando em colocar um n·mero de sΘrie em cada chipzinho. Significando que um computador na internet (ou um documento word produzindo por alguΘm fora da internet) poderia ser identificßvel. Mais ou menos como o que acontecia no bloco comunista, onde um sujeito tinha que registrar sua mßquina xerox com o governo de tal forma que c≤pias ilegais de manifestos contra o governo pudessem ter sua origem traτada atΘ o indivφduo que comeτou a coisa. Transubstanciando a coisa pro Brasil: um funcionßrio de alguma empresa recΘm privatizada (e com pilhas de reclamaτ⌡es no Procom) que mandasse um email para um jornal denunciando tais e tais irregularidades e sacanagens contra o consumidor, esse cara poderia ser identificado com maior facilidade. Voltando ao caso Melissa, Richard M. Smith, presidente da empresa de software Phar Lap Softwae Inc descobriu essa capacidade do GUID e mandou uma mensagem para um newsgroup, pedindo ajuda. Esta mensagem foi lida por um estudante de ciΩncia de computaτπo da suΘcia, Fredrik Bjorck, que disse a Smith que o Melissa lembrava muito outros 3 vφrus, postados em 1997, todos vindos do email skyroket@aol. O arquivo contendo o Melissa foi originalmente postado no newsgroup Alt.Sex e conteria c≤digos e senhas para pßginas porn⌠ na web, mesmo email. Estes vφrus e alguns outros estavam no site http://www.sourceofkaos.com/homes/vic/start.html e comparando o GUID, chegou-se a conclusπo que os arquivos provinham do mesmo autor, que seria o VicodinES, usando a conta skyroket. S≤ que existem d·vidas. O sujeito foi preso por mΘtodos antigos, como comparaτπo dos logs de telefone da AOL. Muitos dizem que o VicodinES tß aposentado. O suspeito que foi preso pode encarar uma sentenτa de 40 anos, mudou de advogado, a ·ltima notφcia. Mas ainda nπo se tem certeza de nada. E o futuro? O caso estß gerando alguma polΩmica, mas jß gerou alguns danos sΘrios. De um lado, temos que o arquivo de VicodinES, sobre distribuiτπo de vφrus, disponφvel em http://www.zdnet.com/zdnn/special/essay.html virou manchete na ZDNET. A fabricaτπo de vφrus de macro entrou em um novo patamar, a construτπo de worms, denominaτπo dada a vφrus capazes de proliferar em redes de computadores. Temos agora o vφrus Chernobyl (com seu site www.cihvirus.com) que tambΘm gerou um pΓnico na imprensa. Existe o happy99.exe e amanhπ, quem sabe? O mais chato Θ que vßrios sites famosos, dedicados a esse campo, foram detonados na histeria dessa worm. Novamente, todo um avanτo relacionado a inteligΩncia artificial foi retardado. Montes de lugares que antes veiculavam informaτ⌡es sobre vφrus estπo fechando as portas. E nπo s≤ sobre vφrus. O site http://www.etext.org, um arquivo destinado aos textos an⌠nimos que ajudaram a levantar o interesse pela internet, estß com medo de publicar receitas consideradas como "subversivas". Conhecimento Θ poder. E pelo jeito, essa histΘria estß sendo usada como uma desculpa para que as pessoas nπo tenham acesso a informaτπo que poderia ajuda-las a depender menos das grandes corporaτ⌡es e ≤rgπos do governo. Meu conselho Θ que, se vocΩ encontrar uma informaτπo que considera ·til para o seu trabalho, mas que pode ser retirada do ar, nπo exite: grave em disquete e se tiver um amigo com um gravador de CD, grave em CDROM. Amanhπ nπo serß outro dia.. Bibliografia: http://windows.miningco.com/library/weekly/aa040299.htm http://www.Genocide2600.com/~spikeman/melissa.html http://www.zdnet.com/zdnn/special/essay.html http://www.ciac.org/ciac/bulletins/j-037.shtml http://www.lewman.com/melissa_macro_virus_source_code.htm http://www.zdnet.com/zdnn/stories/news/0,4586,1014267,00.html http://www.zdnet.com/zdnn/stories/news/0,4586,2234550,00.html http://www.zdnet.com/zdnn/stories/news/0,4586,2233931,00.html http://www.zdnet.com/zdtv/cybercrime/viruswatch/story/0,3700,2234592,00.html http://www.geocities.com/SiliconValley/Program/1143/portuguese.html http://www.geocities.com/SiliconValley/Heights/3652/span.html (o famoso email que distribuiu o melissa) http://x36.deja.com/[ST_rn=ap]/getdoc.xp?AN=310029226&CONTEXT=926459947.737345589&hitnum=0