Nos últimos tempos tem havido diversos casos de vírus propagados por quantidades massivas de correio electrónico na Internet. É importante que os utilizadores de sistemas informáticos entendam os riscos que tais amostras de código malicioso representam e os passos necessários para proteger os seus sistemas contra infecções de vírus.

Sistemas Afectados

Qualquer sistema correndo Microsoft Windows (todas as versões desde Windows 95) e utilizado para ler correio electrónico ou que aceda a serviços de partilhas de ficheiros “peer-to-peer”.

I. Descrição

Diariamente, assistimos à propagação por correio electrónico em massa de inúmeros exemplos deste tipo de vírus, como sejam o W32/Bagle e o W32/Novarg, com impacto num considerável número de utilizadores domésticos e empresariais. A tecnologia utilizada nestes vírus não é significativamente diferente de congéneres anteriores tais como o W32/Sobig e W32/Mimail. Mensagens não solicitadas de correio electrónico contendo anexos são enviados para os mais diversos e incautos destinatários. Podem conter endereço de retorno, um envelope provocante ou qualquer outro artifício que encoraja o receptor a abri-lo. Esta técnica é chamada engenharia social. Devido à nossa natureza crédula e curiosa, a engenharia social é frequentemente eficaz. O impacto generalizado destes últimos vírus, que dependem de intervenção humana para se disseminarem, demonstra a eficácia da engenharia social.

Continuas a ser importante a certificação de que um “software” anti-vírus é utilizado e actualizado regularmente, que anexos são examinados nos servidores de correio electrónico e que “firewalls” filtram portos e protocolos desnecessários. Continua, também, a ser necessário que os utilizadores sejam educados acerca dos perigos de abrir anexos, especialmente no que toca a ficheiros executáveis.

II. Impacto

Uma infecção por vírus pode ter consequências nefastas no seu sistema informático. Estas consequências incluem, mas não se limitam, a:

• Revelar Informação – Vírus propagados por correio electrónico em massa tipicamente colhem endereços de correio electrónico dos livros de endereços ou ficheiros encontrados no sistema infectado. Alguns vírus também tentarão enviar ficheiros de uma máquina infectada para outras potenciais vítimas ou até para o autor do vírus. Estes ficheiros podem conter informação sensível.
• Adicionar/Modificar/Apagar ficheiros – Uma vez comprometido o sistema, um vírus pode potencialmente adicionar, modificar ou apagar arbitrariamente ficheiros nesse sistema. Estes ficheiros podem conter informação pessoal ou ser necessários para o bom funcionamento do sistema informático.
• Afectar a estabilidade do sistema – Vírus podem consumir quantidades consideráveis de recursos computacionais, fazendo com que o sistema se torne lento ou até inutilizável.
• Instalar uma “backdoor” – Muitos vírus instalarão uma “backdoor” no sistema infectado. Esta “backdoor” pode ser usado por um atacante remoto para conseguir acesso ao sistema, ou para adicionar/modificar/apagar ficheiros no sistema. Estas “backdoors” podem também ser manipuladas para descarregar e controlar ferramentas adicionais para uso em ataques distribuídos de negação de serviços (Distributed Denial of Service – DDoS) contra outros “sites”.
• Atacar outros sistemas – Sistemas infectados por vírus são frequentemente utilizados para atacar outros sistemas. Estes ataques envolvem, muitas vezes, tentativas de explorar vulnerabilidades do sistema remoto ou ataques de negação de serviços que consomem grandes volumes de tráfego na rede.
• Enviar correio electrónico não solicitado em massa (SPAM) a outros utilizadores – Há inúmeras participações de “spammers” utilizando sistemas comprometidos para enviar correio electrónico em massa. Frequentemente, estes sistemas comprometidos são computadores mal protegidos para utilização “final” (ex.: sistemas domésticos e de pequenas empresas).

III. Solução

Corra e mantenha uma aplicação anti-vírus

Embora um pacote de “software” anti-vírus actualizado não seja protecção absoluta contra código malicioso, para a maior parte dos utilizadores continua a ser a primeira linha de defesa contra ataques deste tipo.

A maioria dos comerciante de “software” anti-vírus publicam frequentemente informação actualizada, ferramentas ou bases de dados de vírus para ajudar a detectar e recuperar de código malicioso.

Muitos pacotes anti-vírus suportam actualização automática de definições de vírus. A utilização destas actualizações automáticas é recomendável.

Não corra programas de origem desconhecida

Não descarregue, instale ou corra programas a menos que saiba que este é da autoria de uma pessoa ou companhia em que confia.

Utilizadores de correio electrónico devem suspeitar de anexos inesperados. Certifique-se de que conhece a origem de um anexo antes de o abrir. Lembre-se também que não basta que a mensagem tenha origem num endereço que reconhece. O vírus Melissa propagou-se precisamente por ser originado por endereços familiares.

Os utilizadores devem também acautelar-se contra URLs nas mensagens de correio electrónico. URLs podem conduzir a conteúdo malicioso que, em certos casos, poderá ser executado sem  intervenção do utilizador. Uma técnica comum de engenharia social conhecida como “phishing” utiliza URLs enganadores para levar utilizadores a visitar “web sites” maliciosos. Estes “sites” simulam “sites” legítimos, de modo a solicitar informação sensível tal como palavras-chave ou números de contas.

Adicionalmente, utilizadores de “Internet Relay Chat” (IRC), “Instant Messaging” (IM) e serviços de partilha de ficheiros devem ser particularmente cautelosos ao seguir “links” ou correr “software” enviado por outros utilizadores. Estes são métodos vulgarmente utilizados por intrusos na tentativa de montar redes de agentes distribuídos de negação de serviços (DDoS).

Use uma “firewall” pessoal

Uma “firewall” pessoal não protegerá necessariamente o seu sistema de um vírus propagado por correio electrónico, mas uma “firewall” pessoal devidamente configurada pode evitar que o vírus descarregue componentes adicionais ou lance ataques contra outros sistemas. Infelizmente, uma vez dentro do sistema, um vírus pode activar ou desactivar uma “firewall” de “software”, eliminando assim a sua protecção.

Filtros de “gateway” de correio electrónico

Dependendo das necessidades do seu negócio, é recomendável a configuração de filtros no “gateway” contra ficheiros com extensões específicas nos anexos de mensagens de correio electrónico. Esta filtragem deve ser configurada com cuidado, já que poderá afectar também anexos legítimos. Recomenda-se que os anexos fiquem em “quarentena” para posterior exame e/ou possível recuperação.

Recuperar de uma situação de compromisso

Se suspeita de que um sistema sob seu controle administrativo foi comprometido, por favor siga os passos estipulados no Recuperação de um compromisso de segurança nos Sistemas Operativos UNIX ou NT.

Fonte: CERT/CC
Referência: CERT/CC Advisory CA-2004-02
Autores: Jeff Carpenter, Chad Dougherty, Jeff Havrilla, Allen Householder, Brian King, Marty Lindner, Art Manion, Damon Morda, Rob Murawski
Adaptação/Tradução: Gustavo Neves