Um worm de
computador, identificado como "Love Bug" causou muita destruição
a partir de 04 de maio de 2000, levando várias companhias européias
e o Parlamento britânico a desligarem suas redes de e-mail. A House
of Commons de Londres, o equivalente à Câmara dos Deputados,
desativou todos os seus sistemas de e-mail por duas horas para se proteger.
O nome do arquivo é VBS.LoveLet, sendo que alguns especialistas
o chamaram de VBS.ILoveYou.Worm.
A ação do "Iloveyou":
É um worm que se
espalha por canais mIRC e por e-mail, por meio do progamar de correio eletrônico
MS Outlook. Não afeta outros leitores de email como o Messenger
da Netscape, o Pegasus Mail ou o Eudora.
Tem a capacidade de destruir vários tipos de arquivos
e seu poder de disseminação tem se ampliado por meio de muitas
variantes que alteram o assunto dos e-mails que ele auto envia, usando o
livro de endereços do MS Outlook. A pessoa contaminada passa a disseminar
a praga virtual sem saber.
Ele envia, por e-mail ou por mIRC, um arquivo
anexado sempre com a extensão.VBS que, quando executado, inicia o
processo de contaminação e posterior disseminação.
Se o receptor usar o programa de correio Outlook e executar
o anexo o worm faz uma cópia de si mesmo na pasta de sistema e a
envia para todos os endereços do livro de endereços do Outlook.
O email contém um script Visual Basic conhecido como
"LOVE-LETTER-FOR-YOU.vbs", que chega como um anexo na mensagem. Em alguns
casos, pode vir como um TXT, JPG, MP3, bem como outras extensões.
Utiliza uma técnica perigosa chamada "double extension"
(extensão dupla). A "double extension" faz com que um anexo pareça
ser inocente, escondendo a extensão original do arquivo para o usuário.
O vírus altera a configuração da máquina,
passando a ser executado toda vez que o usuário liga o micro.
Pode causar sobrecarga nos servidores de
e-mail, pois as pessoas, sem saber que foram infectadas, ficarão
enviando o Iloveyou, de modo semelhante ao que aconteceu com o Happy99 e
o Bubbleboy.
Ao enviar indiscriminadamente mails a todos
endereços que encontra no Outlook, programa de e-mail eletrônico
da Microsoft, o worm pode atingir e-mails que servem com "Gateway" para
aparelhos de Fax e Pagers. Como ao final da linha não está
um computador, ele imprime o código do próprio programa. Nesse
caso, o prejuízo se restringe às páginas de fax impressas.
O worm tem grande poder de disseminação
e contamina máquinas isoladas e em rede local.
Modificações no sistema
- Se sobrescreve sobre arquivos com extensão ASM, BAT,
COM, DOC, INI, XLS, XLM, MDB, RAR, ZIP, PAS, GIF, JPG, JPEG, VBS, VBE, JS,
JSE, CSS, HTM, HTML, WSH, WAV, QT, QTM, SCT, HTA, MP2, MP3.
Alguns desses arquivos ficam apenas com extensão .vbs,
enquanto a outros é acrescentada a extensão VBS à sua
atual extensão, ou seja, usa a técnica "double extension",
substituindo esses arquivos por cópias dele mesmo, porém também
com extensão VBS. Ex.: O arquivo sonho.jpg se tornaria sonho.jpg.vbs
e seu conteúdo seria uma cópia do script do vírus. Evidentemente,
se esse arquivo for executado, irá infectar o sistema.
- Altera a página inicial do Internet Explorer, direcionando
para uma página em branco
- Tenta fazer o download de um programa, por exemplo no site
"www.skyinet.net/..../WIN-BUGSFIX>EXE" e adiciona entradas para rodar
este programa, caso o download seja executado com sucesso.
- O LoveLet tentará enviar um arquivo HTML infectado,
com o nome "LOVE-LETTER-FOR-YOU.htm" por meio de programas de batepapo,
como o mIRC.
Algumas variantes conhecidas:
O vírus do amor gerou filhotes e mais filhotes e
agora atende por diferentes nomes: "Friend Message", "Mother’s Day", "Joke",
"PresenteUOL" e muitos outros. Muitas variantes já são conhecidas,
inclusive brasileiras:
Versão Assunto Anexo
VBS/LOVELETTER.A ILOVEYOU LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.B Susitikim shi vakara.. idem
VBS/LOVELETTER.C FW: Joke Very Funny.vbs Very Funny.htm
VBS/LOVELETTER.E Mothers Day Order... mothersday.vbs
VBS/LOVELETTER.F Dangerous Virus Warning virus_warning.jpg.vbs
VBS/LOVELETTER.G Virus ALERT!!! protect.vbs
VBS/LOVELETTER.H ILOVEYOU LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.I Important/Read Carefully IMPORTANT.TXT.VBS
VBS/LOVELETTER.J How to protect yourself.. Virus-Protection-Instructions.vbs
VBS/LOVELETTER.K Thank You For Flying... ArabAir.TXT.vbs
VBS/LOVELETTER.L ILOVEYOU LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.M Bewerbung Kreolina BEWERBUNG.TXT.VBS
VBS/LOVELETTER.N LOOK! Look.vbs
VBS/LOVELETTER.O ILOVEYOU LOVE-LETTER-FOR-YOU.TXT.VBS
VBS/LOVELETTER.P Variant Test IMPORTANT.TXT.vbs
VBS/LOVELETTER.Q Yeah, Yeah another time.. Vir-Liller.vbs
VBS/LOVELETTER.R PresenteUOL UOL.TXT.vbs
VBS/LOVELETTER.T Recent Virus Attacks-Fix BAND-AID.DOC.vbs
Evidentemente, com todas essas variantes o número e
nome de arquivos criados no sistema é bastante diferente.
As variantes e os antivírus:
O vírus foi escrito na linguagem Visual Basic, portanto
qualquer pessoa sem grandes conhecimentos de programação pode
criar mutações.
Nas variantes já identificadas há textos diferentes
na linha de assunto e no corpo da mensagem. Entretanto, outras importantes
mudanças foram feitas no código fonte do vírus, aumentando
a capacidade de causar problemas de muitas dessas variantes.
A facilidade com que mudanças podem
ser feitas no código do vírus demonstrou que soluções
antivírus tradicionais (atualizações para cada variante)
se tornaram obsoletas. Note-se que os fabricantes de antivírus tiveram
um desgaste enorme para atualizar seus aplicativos de duas em duas horas,
para oferecer proteção contra as novas mutações
do vírus. O processo lento aumentou as possibilidades de contaminação,
devido ao intervalo de tempo entre a descoberta de variantes e a distribuição
das atualizações.
Com tantas atualizações necessárias,
usuários e gerentes de rede começaram a questionar a eficácia
dos antivírus, pois há grandes brechas de segurança
nos sistemas.
Configuração original do
"Iloveyou" no e-mail recebido:
Assunto - Subject: "ILOVEYOU"
Texto da mensagem - Message body:"Kindly check the attached
LOVELETTER coming from me."
Arquivo anexo - Attachement: "LOVE-LETTER-FOR-YOU.VBS" (com
tamanho = 10307 kbs)
Remoção manual do "Iloveyou" (algumas
variantes)
Procedimentos para desinfectar uma máquina
que contenha o "Iloveyou":
IMPORTANTE: Só execute
esses procedimentos se realmente souber fazê-lo (edição
de registro do Windows e uso de comandos do DOS), caso contrário recorra
a alguém que tenha um bom conhecimento técnico para desinfectar
o seu computador. Erros neste processo podem provocar danos sérios.
Assim, imprima essa página para, depois, poder seguir as instruções,
passo a passo.
1. Clique Use a função localizar do windows, para
procurar os seguintes arquivos:
"MSKernerl32.vbs"
"Win32DLL.vbs"
"LOVE-LETTER-FOR-YOU.vbs"
"LOVE-LETTER-FOR-YOU.htm"
"WinFAT32.exe" na pasta de downloads do Windows
"WIN-BUGSFIX.exe" também napasta de downloads do Windows
"script.ini" no arquivo mIRC
Se o arquivo win32dll.vbs estiver na pasta WINDOWS do disco
C (clique em Meu Computador, abra o disco C e abra a pasta WINDOWS) o computador
foi infectado.
Exclua todos os arquivos citados acima.
2. Desconectar o computador, se ele estiver em rede, para
evitar possível propagação do vírus.
3. Editar o registro do Windows
IMPORTANTE: Só siga o passo 3 se realmente souber fazê-lo
(edição de registro do Windows), caso contrário recorra
a alguém que tenha um bom conhecimento técnico para desinfectar
o seu computador. Qualquer erro neste processo pode provocar danos irreversíveis.
a. Clique em Iniciar / Executar
b. Digitar REGEDIT e teclar Enter.
c. No painel da esquerda, clique no sinal "+" à esquerda
da pasta HKEY_LOCAL_MACHINE
d. depois clique no sinal "+" à esquerda da pasta Software
e. depois clique no sinal "+" à esquerda da pasta Windows
f. depois clique no sinal "+" à esquerda da pasta Current
Version
g. e, depois, clique duas vezes na pasta Run, dentro da pasta
Current Version.
h. No painel do lado direito, procure pelas chaves de registro
(documentos identificados pelo ícone com as letras ab) que contém
(listados sob a coluna "Dados") ":\Windows\System\MSKernel32.vbs" e "\WIN-BUGSFIX.exe".
i. Clique sobre estas chaves para selecioná-las na
janela da direita.
j. Clique em DELETE. Responda SIM para apagar as chaves.
k. Procure pela chave que contém o valor de dados ":\Windows\System\Win32DLL.vbs".
Ela deve estar na pasta Run Services, no lado esquerdo da tela do Editor
de Registro. Do mesmo modo apague essa chave.
l. Sair do Editor do Registro.
4. O vírus também altera a página inicial
visualizada no Internet Explorer. Para mudar, clique com o botão
direito do mouse em cima do ícone do Internet Explorer no seu desktop.
Na tab General, mude o endereço para uma página em branco ou
para a sua página padrão e clique OK.
5. Para completar a desinfecção:
a. Procurar e deletar, em todos os seus discos não
removíveis (HD e discos de rede), os arquivos
"LOVE-LETTER-FOR-YOU.TXT" e "LOVE-LETTER-FOR-YOU.HTM".
b. Verificar se algum dos seguintes arquivos de mIRC está
em seu computador:
mirc32.exe, mlink32.exe, mirc.ini, script.ini or mirc.hlp
Se algum estiver, o vírus deve ter criado um arquivo
script.ini dentro da pasta destes arquivos. Deletar todos os arquivos script.ini
relacionados ao mIRC.
c. Busque e delete todas as ocorrências dos arquivos
abaixo - para evitar nova reinfecção do seu sistema:
C:\ WINDOWS \ SYSTEM \ MSKERNEL32.VBS e assemelhados
C:\ WINDOWS \ WIN32DLL.VBS e assemelhados
C:\ WINDOWS \ SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS e assemelhados
d. Busque e delete todos os arquivos que tenham a extensão
dupla citada anteriormente (VBS, VBE, JS, JSE, CSS, WSH, SCT, JPG, JPEG,
MP3 ou MP2) e também aqueles que tenham o mesmo nome de outros
arquivos seus, porém com a extensão trocada para VBS - para
evitar nova reinfecção do sistema.
e. As variantes do LoveLetter se beneficiam de na instalação
padrão do Windows 98 estar habilitado o "Windows Scripting Host"
habilitado. Portanto, a melhor maneira de se proteger contra este tipo de
ataque é desabilitá-lo:
- Clicar em "Painel de Controle / Adicionar e Remover Programas
/ Instalação do Windows"
- Clicar duplo em "Acessórios" (ou um clique
em "Detalhes").
- Rolar a lista até aparecer "Windows Scripting Host"
- Desmarcar essa opção
- Clicar em OK em todas as janelas e reiniciar o Windows.
6. Finalmente clicar em Iniciar/Desligar.
Escolher "Reiniciar em modo MS-DOS" e clicar em OK.
Depois que o computador reiniciar, a pasta
que deve aparecer é C\: Se não for digite CD\
Digite o comando DEL WIN-BUGSFIX.EXE
Pressionar conjuntamente CTR+ALT+DEL e
deixar o Windows reiniciar, em modo NORMAL desta vez.
7. Recomenda-se também, criar filtros dentro do Outlook
para ignorar e-mails com o título "subject" I LOVE YOU.
Remoção por meio de programas
antivírus
:As últimas versões dos principais programas
antivírus - Norton AntiVirus, McAfee VirusScan, Trend Micro,
InoculateIT, etc. - já tem informações sobre a maioria
das variantes do Iloveyou. É importante deixar habilitada a verificação
automática, pois só assim o vírus pode ser detectado
antes mesmo do documento ser aberto. Entretanto, alguns programas pequenos
(vacinas) foram disponibilizados para variantes específicas.
A Aladdin Brasil disponibilizou o LoveLetter Cleaner - um
miniaplicativo (36kb) que analisa o sistema, procurando pelo vírus
LoveLetter e todas as suas variantes. Se o seu sistema estiver infectado,
o programa irá - além de avisá-lo, efetuar a limpeza
local.
Arquivo: cleanll.exe Versão: Tamanho: 48
kb's
Tipo: freeware HP: http://www.aladdin.com.br/cleanll.exe
ou
ftp://ftp.esafe.com/pub/utils/cleanll.exe
Cuidados especiais
Avise os seus amigos e as pessoas para quem mandou mensagens.
Avise-as sobre o Iloveyou e indique-lhes essa hp pra que elas
aprendam a se livrar dele.
Procedimentos gerais de prevenção
Há um conjunto de procedimentos
gerais de prevenção contra vírus e outros programas
maliciosos que sempre devem ser realizados (em qualquer computador, especialmente
nos conectados à Internet).