Como bloquear a ação do novo supervírus

Arquivado em: Arquivo-CdB
Publicado quinta-feira, 20 de setembro de 2001 as 17:58, por: cdb

Um novo supervírus tipo worm (verme em inglês) batizado de Nimda está aterrorizando a Web e já conseguiu superar as ameaças de seus antecessores Code Red e Sircam. Segundo o Computer Emergency Response Team Coordination Center (CERT/CC) norte-americano, a praga já se espalhou rapidamente por mais de 10 mil computadores em todo o mundo e infectou microcomputadores de diversas maneiras.

O Nimda – anagrama que significa admin escrito ao contrário -, também é chamado de W32.Nimda.A@mm e é particularmente perigoso porque não se espalha apenas por e-mail, mas também através de páginas Web e discos compartilhados em redes. Alguns usuários do Microsoft Outlook e do Outlook Express podem acabar contaminados simplesmente clicando na mensagem infectada, sem mesmo precisar abrir qualquer arquivo anexo, já que a mensagem com o Nimda podem chegar com o campo de assunto em branco e nada visível no corpo do e-mail com um arquivo anexo chamado readme.exe com 57 KB.

Segundo o organismo de segurança norte-americano, o Nimda está se disseminado rapidamente porque explora mais de 100 brechas de segurança conhecidas, sendo que os servidores atingidos pelo Code Red podem estar especialmente vulneráveis por causa de brechas deixadas por esse outro vírus tipo worm, para futura exploração.

De acordocom o CERT/CC, a boa notícia é que o Nimda, até o momento, não traz consigo nenhuma carga destrutiva.

Medidas de segurança
A maioria dos programas antivírus tem recursos para bloquear o Nimda, desde que esteja atualizado com as assinaturas das pragas mais recentes. Além disso, é sempre recomendável tratar com muito cuidado qualquer e-mail suspeito e analisar com o antivírus os arquivos anexos antes de abri-los.

No caso deste vírus, o arquivo readme.exe que acompanha o e-mail infectado tem um cabeçalho mal formado que faz o computador imaginar que se trata de um arquivo de som, mas é na verdade um programa que pode ser executado do painel de pré-visualização do Outlook.

A infecção acontece em computadores vulneráveis a esse problema já conhecido, que possibilita a execução do arquivo enviado sem a necessidade da mensagem ser lida. A Microsoft já liberou uma correção para o problema em http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Outra maneira para se proteger dessa falha é desativar a função de preview no Outlook, indo ao menu Exibir-Painel de pré-visualização para desabilitar a função. No Outlook Express, vá também ao menu Exibir e depois escolha a opção Layout. Na caixa de diálogo que surge, desmarque o item Mostrar painel de visualização.

Dependendo do ambiente, o novo vírus pode ter até 16 meios de se propagar. Por exemplo, o Nimda pode levar internautas a fazer o download de um arquivo infectado a partir de um determinado site com páginas comprometidas pelo worm.

O mais recomendável e prudente é não seguir nenhuma orientação suspeita feita pelo site e também aplicar a mesma correção fornecida pela Microsft. A função de download de arquivos também pode ser desabilitada no Internet Explorer, mas a ação inviabiliza o download de qualquer tipo de arquivo.

Quando infecta um computador, o Nimda passa a procurar servidores IIS da Microsoft vulneráveis a problemas já conhecidos. Caso eles sejam encontrados, os servidores serão infectados e o processo de propagação continuará. A solução para esse caso cai nas mãos dos administradores que devem instalar todas as correções já fornecidas pela Microsoft para fechar as brechas de seguranças nos servidores IIS.

Além disso, o computador infectado pelo Nimda tentará acessar unidades de rede compartilhadas com permissão de gravação, que também poderão ser contaminadas pelo worm, mesmo sem possuir estas falhas.

Outras medidas possíveis
Várias produtoras de programas anti-vírus estão oferecendo ferramentas para ajudar na proteção dos sistemas contra o worm Nimda, como, por exemplo, o laboratório de pesquisa McAfee Avert,