27/2/2001 - 2:00 Giordani Rodrigues

Os fabricantes de programas antivírus estão divulgando alertas sobre um traiçoeiro vírus de computador que ataca os usuários do programa de troca de arquivos Gnutella. Batizado de W32/GnutellaMan, W32/Gnuman.worm, Mandragore e outros nomes, o vírus, do tipo worm, assume o lugar de qualquer arquivo que deveria ser partilhado pela rede Gnutella. Não importa que nome de arquivo seja procurado, o vírus sempre irá retornar aquele nome.

Por exemplo, quando um usuário procura por um arquivo musical utilizando a palavra-chave "rock", uma máquina infectada pelo vírus retorna a resposta de que o servidor Gnutella encontrou o arquivo "rock.exe". Este é, na verdade, o worm. Se o usuário resolver baixar o arquivo e executá-lo, será também infectado, dando continuidade ao processo.

Uma vez executado, o vírus copia a si mesmo na pasta "Iniciar", fazendo com que seja rodado toda vez que o computador é iniciado. O arquivo copiado é oculto e possui o nome GSPOT.EXE. Verificar a presença de tal arquivo é uma das formas de detectar a infeção.

O Gnutella é um programa gratuito para troca de arquivos de diversos formatos, incluindo MP3. Nos últimos dias, sua popularidade cresceu como alternativa ao uso do Napster, que vem sofrendo restrições por parte de tribunais americanos. Ao contrário do Napster, o Gnutella não utiliza um servidor central para funcionar, o que faz com que seja praticamente impossível controlar seu uso.

O risco de infecção pelo novo vírus ainda é considerado baixo, mas devido à forma como atua existe uma grande probabilidade de que se espalhe.

25/2/2001 - 2:00 Giordani Rodrigues

Este ano, o carnaval brasileiro atraiu não só os turistas estrangeiros como também os criadores de vírus. A McAfee anunciou a descoberta, na sexta-feira, do VBS/Carnival@mm, também chamado de Brazilian_Carnival.JPG.vbs. Trata-se de um vírus do tipo worm, criado nos Estados Unidos e que tenta enganar o usuário fazendo-se passar por uma foto do carnaval no Brasil.

O worm é codificado em Visual Basic Script (VBS) e se propaga por e-mail. A mensagem com o vírus possui as seguintes características:

Asunto: Next Week: Brazilian Carnival

Corpo da mensagem: That's Great...

Arquivo anexado: Brazilian_Carnival.JPG.vbs

Ao se clicar no anexo, o worm é executado e se instala na pasta de arquivos temporários, geralmente C:/Windows/Temp. Imediatamente a praga procura por todos os endereços de correio eletrônico do Outlook, enviando-se para estes. O Brazilian_Carnival não é destrutivo, mas pode congestionar as redes de comunicação, a exemplo do que aconteceu com o recente Anna Kournikova.

A McAfee sugere que os usuários utilizem os filtros do Outlook para impedir que mensagens com anexos como o descrito acima sejam baixadas. Por enquanto, o "vírus do carnaval" é considerado de baixo risco, pois não foi verificado um grande número de infecções.

22/2/2001 - 2:00 Rodrigo Sais

Para ler outros capítulos, clique nos links abaixo:

Capítulo 1

Capítulo 3

Capítulo 4

Assim que terminou o chiado estridente do modem, Lila deixou de existir. Em seu lugar, surgia Lil@: era hora do trabalho. Havia ali uma dissociação entre mente e corpo capaz de assustar até mesmo o kardecista mais convicto. Seu corpo físico permanecia de pernas cruzadas à maneira indiana, com seus dedos freneticamente digitando ou tamborilando no lado da mesa, pupilas dilatadas fixas no monitor. Era apenas um canalizador para a mente hiperativa de Lil@, que já tentava encontrar o caminho mais direto ao coração do Flying Dutch Bank. Tinha que encontrar o código-fonte do programa deles, e ela sabia que não levantaria daquela cadeira até conseguir seu intento.

Lil@ não estava preocupada com a moralidade de seus atos. Pouco interessava se há apenas dois dias estava trabalhando justamente para o banco que hackearia em breve. Não se importava com os correntistas que teriam problemas no dia seguinte por sua causa. Mesmo o dinheiro que receberia pelo trabalho era secundário. A única coisa relevante era que tinha um desafio à sua frente, uma porta fechada. Não descansaria enquanto não a tivesse aberto.

Aparentemente, o trabalho seria fácil. Por curiosidade, Lil@ já havia fuçado no site do Flying Dutch Bank. Afinal, tinha uma conta lá, e queria saber se poderia confiar na proteção oferecida. Apesar de apresentar um grau de segurança maior que o do Banco Atalaia, não era de forma alguma impenetrável. Nunca seria. Quanto mais as tecnologias de proteção e criptografia se desenvolvem, mais modos de quebrá-las surgem, numa corrida parelha, mas na qual os hackers sempre estão uma cabeça à frente.

Após duas horas de trabalho, percebeu que um sistema muito engenhoso havia sido montado. Havia três criptografias diferentes no site. O curioso é que não estavam sobrepostas, como era comum. Estavam espalhadas aparentemente aleatoriamente, nas mesmas páginas. Lil@ sorriu. A estratégia havia realmente funcionado, e ela perdeu bastante tempo procurando o algoritmo que ordenava as criptografias. Finalmente, um desafio à altura.

A mente de Lil@ enxergava os dados à sua frente quase de uma maneira física. Em vez de uma porta com três cadeados, como era de se esperar, havia três portas com cadeados diferentes. Ela perdeu muito tempo pensando qual porta abrir primeiro, até dar-se conta de que todas desembocavam na mesma sala. Quem montou a segurança desenvolveu um bom estratagema. Afinal, quem abre um cadeado, abre três, se for preciso. Mas quem encontra três portas, vai sempre ficar na dúvida. Ponto pra ele.

Mas a maior surpresa ainda estava por vir. Quando finalmente rompeu as proteções, Lil@ encontrou um arquivo que destoava dos demais. Todos os outros tinham nomes incompreensíveis, mas aquele era simples: senhadosgerentes.doc

"Muito fácil!" pensou Lil@. Já preparava-se para abrir o arquivo quando seu cérebro emitiu um alerta e refreou sua curiosidade feminina. "Fácil demais. Fácil demais!" Procedeu com mais cautela. Copiou o arquivo para seu computador, e abriu. Quando leu o conteúdo, deu graças por ter sido prudente:

LILA,

VOCÊ NÃO É BEM-VINDA AQUI

BONETTO

Lila sorriu. Se tivesse aberto o arquivo diretamente, o sistema teria registrado sua entrada. Começou a gargalhar. Aparentemente, Bonetto era mais esperto do que aparentava, mas se achava que aquilo ia impedi-la...

Lil@ já se preparava para continuar quando, abruptamente, saiu de seu transe. Ouviu pancadas vindas do teto de seu apartamento. As gargalhadas deviam ter incomodado a sua vizinha de cima. O estranho é que Lila não havia se dado conta de que estava quase gritando e xingando Bonetto. Sentiu seu rosto ficando vermelho. Ultimamente, isso acontecia com muita freqüência - ficava tão entretida no trabalho que gritava e falava sozinha. Um pouco abalada, continuou o serviço.

Após meia hora, havia conseguido o código-fonte e apagado os traços de sua passagem no sistema do Flying Dutch Bank. Mas, dessa vez, não iria continuar mexendo no site. Desta vez não poderia assinar sua obra. Se fosse muito perfeccionista, iria acabar se denunciando. Estava, de certa forma, com um pouco de medo de ser descoberta. Foi quando teve uma idéia...

Era hora de entrar no computador de Anjo.

Lil@ rapidamente encontrou o que queria: um programinha com vários scripts, ataques DoS e demais artifícios hackers de baixo nível. Era um programa muito eficaz para tirar páginas do ar, mas pouco útil para os serviços que ela prestava. Deixava muitos rastros, que ela teria que mascarar manualmente. Mas Bonetto nunca iria suspeitar que Lila faria um serviço porco como o que ela deixaria.

Enquanto Lil@ estava no sistema de Anjo, encontrou algo que lhe desagradou imensamente. Seu namorado estava trocando e-mails com Janaína. uma de suas amigas. Não era bem uma amiga: era uma colega de cursinho, preocupada com futilidades, e que não saía da academia. Curiosa, abriu a mensagem:

From: anjomau666@hotmail.com

To: janainamsm@bol.com.br

Oi, gatinha!

Claro q eu kero te ver de verdade. Eu te @mo!!!! Já não güento mais a Lila... Ela é muito infantil, e meio bobinha. Eu tento explicar umas coisa de computador pra ela e ela nunca entende.

Que tal no cinema do Cristal, amanhã, às 19:00h?

Beijussssssss,

Anjo

Enquanto lia, lágrimas escorriam do rosto de Lila. Sentia um misto de raiva e asco. Imediatamente pensou em apagar a mensagem, mandar um mailbomb para Anjo, ir na casa dele e estourar a cara dele... Seus dedos tamborilavam furiosamente na mesa., e ela sentiu a visão ficando turva.

Após alguns minutos, Lil@ retomou o controle. Era hora da vingança. Após trinta minutos estava tudo terminado.

Quem entrasse no site do Flying Dutch Bank pela manhã, teria uma surpresa desagradável. Todas as páginas estariam imprestáveis, com exceção de uma. A página inicial carregaria, com os seguintes dizeres:

ANJO ESTEVE AQUI!

TENTEM ME PEGAR! HAHA!!

SHOUTZ TO Ph4z3R, DeStRuCt0r e Janaína

e-mails para anjomau666@hotmail.com

O IP que os técnicos do Flying Dutch Bank achariam, obviamente, era o que Anjo estava usando na sua conexão do dia anterior. A caveira mal desenhada, símbolo de seu grupo, estava lá, com uma única diferença - o fundo da tela era lilás...

Para ler outros capítulos, clique nos links abaixo:

Capítulo 1

Capítulo 3

Capítulo 4

Rodrigo Sais, o Groo, é jornalista. Esta é uma peça de ficção. Qualquer semelhança com fatos envolvendo pessoas ou empresas reais terá sido mera coincidência.

21/2/2001 - 2:00 Redação InfoGuerra

Se você usa Excel, tenha cuidado com um vírus cuja descoberta foi anunciada hoje pela Sophos. É o XM97/Barisada-O, uma variante do vírus de macro XM97/Barisada-B, que tenta enganar o usuário fazendo-se passar por um jogo. Ele ataca o programa Excel e armazena as macros no arquivo RMC.XLS.

No dia 24 de abril, entre 2 e 3 horas da madrugada, o vírus exibe uma série de caixas de diálogo fazendo perguntas ao usuário que, aparentemente, são parte de um jogo de fantasias do tipo RPG.

A primeira caixa de diálogo, com o título "1st Question" (1ª Pergunta), traz o texto: "Question: What is the Sword Which Karl Styner (=Grey Scavenger)? Answer: Barisada".
(Pergunta: Qual é a espada usada por Karl Styner (=Grey Scavenger)? Resposta: Barisada)


Caso responda "No", aparecerá uma caixa de diálogo com o título "Right Answer" (Resposta Certa) e a mensagem "Good! You"re Authorized now!" (Bom! Você está autorizado agora!)

Caso responda "Yes", uma caixa de diálogo com o título "Wrong Answer" (Resposta Errada) aparecerá com o texto "I will give you one more Chance. Be careful!!" (Eu lhe darei mais uma chance. Tenha cuidado!!)


A próxima caixa de diálogo, com o título "Wrong Answer may cause The Serious Problem!" (A resposta errada pode causar sérios problemas!) traz o texto "Summoning Xavier is the Ultimate Magic. Right?" (Summonig Xavier é o mágico do momento. Certo?)

Caso a resposta seja "Yes" aparecerá a uma caixa de diálogo com o título "Right Answer" (Resposta Certa) e a mensagem "ok, i will forgive you" (Ok. Eu perdoarei você.)

Caso pressione "No" aparecerá a caixa de diálogo com o título "You shall Die" (Você deve morrer) com a mensagem "Wrong Answer, Your file will be deleted!" (Resposta errada, seu arquivo será apagado)

O vírus, então, apaga todas as células das planilhas abertas. No momento em que distribuiu a notícia, a Sophos considerou o risco de contaminação baixo.

Tradução de Luiz Fernando Spósito

20/2/2001 - 23:00 Giordani Rodrigues

O agente especial do FBI Robert Phillip Hanssen, de 56 anos (foto), foi preso em flagrante sob a acusação de ter agido como espião russo pelos últimos 15 anos. A prisão, anunciada ontem pelo FBI, foi feita no domingo à noite, em um parque na cidade de Vienna, na Virgínia, no momento em que Hanssen tentava deixar um pacote cheio de documentos altamente confidenciais que seriam resgatados por agentes russos em troca de US$ 50 mil, deixados em um outro local.

Robert Hanssen era um especialista em vigilância eletrônica e contra-inteligência e, segundo depoimentos juramentados prestados ao FBI, ele entregou aos russos mais de 6 mil páginas de documentos secretos nos últimos anos. Para tanto, utilizou sofisticados meios de comunicação e criptografia. Em troca de seus serviços, teria recebido mais de US$ 600 mil em dinheiro e diamantes.

Os depoimentos atestam que os disquetes de computador e os documentos impressos entregues por Hanssen aos seus contatos russos comprometeram numerosas fontes humanas de informação bem como a segurança dos Estados Unidos, incluindo estratégias nucleares e de inteligência do país.

De acordo com uma nota liberada à imprensa pelo FBI, o diretor do órgão, Louis J. Freeh, disse que se as acusações contra o agente forem provadas o caso representará "a mais séria violação da lei e risco à segurança nacional" dos EUA.

"A completa extensão dos danos causados ainda é desconhecida porque nenhuma avaliação detalhada poderia ter sido conduzida sem colocar em risco as investigações. Nós acreditamos que as perdas foram excepcionalmente graves", afirmou Freeh em um comunicado oficial sobre o caso, divulgado ontem.

Hanssen, que usou vários pesudônimos — "B", "Ramon Garcia", "Jim Baker" e "G. Robertson" — também é acusado de estar envolvido com Aldrich Ames, agente da CIA preso em 1994 por ter fornecido aos russos informações sobre agentes americanos duplos, o que resultou na morte de dez pessoas. Robert Hanssen teria confirmado as informações de Ames, levando à execução de dois agentes e à prisão de um terceiro.

19/2/2001 - 2:00 Giordani Rodrigues

Poucos dias depois do estrago causado pelo vírus Anna Kournikova (VBS/SST-A), surge uma nova versão da praga. É o VBS/SST-B, divulgado hoje pela empresa britânica Sophos, fabricante de programas antivírus. Segundo a Sophos, o VBS/SST-B chega por e-mail com uma mensagem em alemão com as seguintes características:

Assunto: Neues von Ihrem Internetdienstleister - Robert T. Online informiert

Corpo da Mensagem: Sehr geehrter Internetsurfer, es hat sich einiges bei uns getan. Die Telekom kann auch Ihre Internetkosten reduzieren. Wir haben auch für Sie den richtigen Tarif... Damit auch Sie sich entscheiden können, haben wir eine Übersicht aller für Sie relevanter Termine an diese eMail gehängt. Wir sind Sicher, auch Sie werden Ihren Wunschtarif finden. Bei fragen stehen wir Ihnen natürlich jederzeit zur Verfügung... Ihr T-Online Service Team

Traduzido, o texto sifnifica: "Caro internauta, aconteceram muitas mudanças. A Telekom pode reduzir seus custos. Nós temos a escala perfeita de tarifas para você...segue em anexo um resumo das próximas datas para ajudá-lo a tomar uma decisão. Temos certeza de que uma delas será perfeita para você. Não deixe de nos contatar para obter maiores informações. Atenciosamente. Equipe da T-Online Service"

Arquivo anexado: Neue Tarife.txt.vbs

Assim como o Kournikova, o VBS/SST-B possui uma dupla extensão, que pode enganar os usuários fazendo-se passar por um arquivo de texto, quando na verdade é um Visual Basic Script (VBS). Se o usuário clicar no arquivo infectado, este irá ser copiado no diretório Windows com o nome Neue Tarife.txt.vbs.

O vírus também modifica o registro do Windows para ser carregado quando o computador é reiniciado. Ele tenta se espalhar usando o catálogo de endereços do Microsoft Outlook e canais de IRC (bate-papo online).

Na última sexta-feira, a McAfee também lançou um alerta sobre o mesmo vírus, mas não como uma variante do Kournikova, e sim com o nome de VBS/VBSWG.k@MM. A McAfee considera o risco de contaminação baixo. A Sophos disse que ainda não detectou nenhum caso de infecção por este vírus e considera improvável que ele se espalhe por países que não falem a língua alemã.

18/2/2001 - 23:00 Giordani Rodrigues

Ao ver sua cidade no noticiário internacional, o prefeito de Sneek, na Holanda, Siebold Hartkamp, considerou que o jovem que deu origem às notícias só poderia ser uma pessoa talentosa e resolveu oferecer-lhe um emprego na prefeitura. O jovem em questão é "OnTheFly", o criador do vírus Anna Kournikova, que infectou milhões de computadores ao redor do mundo nos últimos dias, segundo os fabricantes de programas antivírus.

"É claro que nós estamos falando de um homem que mostrou que é capaz de algo. Para pessoas como ele nós sempre temos um lugar em nosso departamento de Tecnologia da Informação", comentou o prefeito, de acordo com Xander Teunissen (Thejian), engenheiro de redes holandês que enviou a história para o site Help Net Security.

O prefeito disse estar feliz com a publicidade que sua cidade está tendo depois do incidente com o vírus. "Eu estava assistindo à CNN e de repente vi nossa delegacia num canal de televisão internacional".

Depois de ter confessado ser o autor do vírus, "OnTheFly" prestou depoimento à polícia, na quarta-feira passada, acompanhado dos pais, sendo liberado em seguida. Desde então ele desapareceu. As leis holandesas não permitem que a identidade do jovem de 20 anos seja divulgada, mas alguns afirmam que seu nome é Jan de Wit. O site de notícias InternetNews, publicou uma reportagem na qual enumera as pistas que levaram à identificação do jovem.

Uma dessas pistas é uma página na Internet, mantida pelo serviço Tripod, em que de Wit fala de sua paixão pela tenista russa Anna Kournikova. Foi também em uma página da Tripod, cujo endereço foi tirado do ar, que o jovem confessou ser o criador do vírus, enumerando suas razões e dizendo que não teve intenção de prejudicar as pessoas com seu ato. O texto que estava nesta página pode ser visto aqui.

16/2/2001 - 3:00 Redação InfoGuerra

Tal como outros códigos maliciosos — VBS/LoveLetter, conhecido como "I Love You" — o VBS/SST.A, o já famoso vírus Kournikova, chegou em forma de arquivo de dupla extensão para não levantar suspeita. Para lidar com essa técnica oculta, o comunicado de ontem da lista Oxygen3 24h-365d, da Panda Software, revisou algumas dicas que permitem aos usuários serem capazes de reconhecê-la, impedindo assim a contaminação de seus computadores.

O Windows adota como padrão esconder as extensões de arquivos conhecidos, exibindo somente o nome do arquivo junto com o ícone correspondente daquele formato. Assim, arquivos de extensão TXT, por exemplo, são listados pelo nome e associados ao ícone que representa o bloco de notas. Os arquivos de dupla extensão tiram vantagem desse recurso do Windows assumindo que o sistema vai exibir a outra extensão e não a verdadeira, VBS. Assim, os usuários abrirão o arquivo pensando que ele não é perigoso.

Um exemplo claro de arquivo que usa essa técnica é o VBS/SST.A, que, como você mesmo deve se lembrar, usa o e-mail para se propagar em forma de um arquivo anexo chamado "AnnaKournikova.jpg.vbs". O arquivo poderia aparecer como sendo uma foto da tenista Anna Kournikova, dando a falsa impressão de ser um arquivo do tipo JPG.

Na verdade, muitos usuários clicam nesse arquivo para abri-lo esperando ver uma imagem da famosa tenista russa. Entretanto, como a extensão verdadeira é VBS, quando eles clicam no arquivo é o código malicioso que será executado pelo Script Host do Winodws.

A primeira medida que os usuários devem tomar para evitar esse tipo de situação é configurar o Windows para não esconder extensões de arquivos conhecidos. Para fazer isso, no Windows Explorer, vá ao menu Exibir (View), escolha Opções de Pastas (Folder Options) e, na guia Modo de Exibição (View), embaixo de "Arquivos e pastas", desmarque a opção "ocultar extensões para os tipos de arquivos conhecidos".

Outra alternativa é não abrir o arquivo anexado diretamente, dando um duplo clique nele. A melhor opção é salvá-lo em um diretório, abrir o programa usado para ler aquele tipo de arquivo (um programa gráfico, o Microsoft Photo Editor, no caso de arquivos JPG) e tentar abri-lo ali.

Tradução de Luiz Fernando Spósito

Leia também:
Previna-se contra o vírus Homepage e outras pragas de VBS

13/2/2001 - 3:00 Redação InfoGuerra

Amanhã é o dia dos namorados nos Estados Unidos e em países da Europa. Para comemorar o fato, você tem direito a uma oferta especial: pega um vírus e leva outro inteiramente grátis. É o que acontece com os vírus VBS/San@M e VBS/Valentin@MM, aparentemente criados por Onel2, o mesmo que criou o vírus LittleDavinia em homenagem à sua amada.

A dupla San e Valentin (em referência ao dia de San Valentin, dia dos namorados na Espanha) foi descoberta no último dia 11 de fevereiro, de acordo com a McAfee, e pode atacar no dia 14, entre outras datas. A contaminação do sistema é feita por e-mail e ocorre ao se abrir a mensagem e, em alguns casos, apenas com a pré-visualização.

O vírus VBS/San@M usa o código VBScript embutido em um código HTML e é parcialmente criptografado. Algumas partes visíveis são: "loveday14 by Onel2 Melilla, España ‘feliz san valentin Davinia’" (dia 14, dia do amor por Onel2 Melilla, Espanha ‘feliz dia dos namorados, Davinia’).

O vírus cria um arquivo chamado "index.html" que vira uma assinatura infectada do usuário no Outlook Express, assim, quando o usuário mandar uma nova mensagem, os computadores dos destinatários podem ser contaminados.

A praga virtual também direciona o Internet Explorer para iniciar em um website espanhol, o qual contém mais um vírus, o VBS/Valentin@MM. Caso o dia corrente seja 8,14, 23 ou 29, então ele deleta os diretórios da unidade C local e, em seguida, cria um diretório, agora vazio, chamado "happysanvalentin" (feliz dia dos namorados).

O VBS/Valentin@MM, o vírus que você leva grátis ao ser contaminado pelo primeiro, na verdade, é uma complementação deste. Também direciona o Internet Explorer para o mesmo website espanhol utilizado pelo primeiro, usa o código VBScript embutido no código html e é parcialmente criptografado. Além disso, contamina a máquina do usuário quando este abre o e-mail infectado, ou, em alguns casos, na visualização da mensagem com o HTML.

As partes visíveis são: "Que cosa mas tonta". (Que coisa mais idiota); "loveday14 by Onel2 Melilla, España ‘feliz san valentin Davinia’" (dia 14, dia do amor por Onel2 Melilla, Espanha ‘feliz dia dos namorados, Davinia’).

Dentre as funções do vírus está a de tentar mandar, por numeração aleatória, mensagens para telefones celulares de uma companhia telefônica espanhola. Aqui, a linha de assunto traz escrito "Feliz San Valentin" (Feliz Dia dos Namorados). O corpo da mensagem traz a mensagem "Feliz San Valentin. Por favor visita", seguido de um link para um website espanhol infectado pelo autor do vírus.

O vírus também pode infectar outros usuários pelos canais de bate-papo de IRC. Além de fazer o Internet Explorer iniciar em um website espanhol, se a data for 8, 14, 23 ou 29 ele cria arquivos textos contendo:

"Hola, me llamo Onel2 y voy utilizar tus archivos para declararte mi amor a Davinia, la chica mas guapa del mundo." "Feliz San Valentin Davinia. Eres la mas bonita y la mas simpatica." "Todos los dias a todas horas pienso en ti y cada segundo que no te veo es un inferno." "Quieres salir comigo?" "En cuanto a ti usuario, debo decirteque tus ficheros no han sido contaminados pro un vírus." "sino sacralizados por el amor que siento por Davinia."

(Olá, me chamo Onel2 e vou usar seus arquivos para lhe declarar o meu amor por Davinia, a menina mais linda do mundo. Feliz Dia dos Namorados, Davinia. Você é a mais bonita e mais simpática. Penso em você todo dia, toda hora e cada segundo que não a vejo é um inferno. Quer sair comigo? E quanto a você, usuário, devo dizer-lhe que seus arquivos não foram contaminados por um vírus e sim sacrificados pelo amor que sinto por Davinia.)

O cuidado para evitar essas contaminações é sempre o mesmo: manter um antivírus sempre atualizado protegendo sua máquina.

Tradução de Luiz Fernando Spósito

12/2/2001 - 3:00 Giordani Rodrigues

Várias empresas antivírus estão alertando os usuários, hoje, para o surto do vírus VBS/SST-A, também chamado de Kalamar.A, Calamar e Anna Kournikova. O vírus utiliza-se de um artifício para infectar as máquinas: tenta enganar os usuários fazendo-se passar por uma foto da tenista russa Anna Kournikova. Mesmo quem não é fã de tênis, pode sentir-se tentado a abrir o arquivo e apreciar a foto da bela jogadora, mas não deve fazê-lo, pois a imagem não existe.

Classificado como um worm (que se propaga pela rede e se autoduplica) de Visual Basic Script, a praga chega em uma mensagem de e-mail com as seguintes características:

Linha de assunto: Here you have, ;o)

Corpo da mensagem: Hi: Check this!

Anexo: AnnaKournikova.jpg.vbs

Se o anexo for executado, o worm envia uma cópia de si mesmo a todos os contatos da lista de endereços do Outlook da máquina infectada. Também se instala no diretório Windows com o nome "AnnaKournikova.jpg.vbs" e modifica o registro, criando uma entrada chamada "HKEY_CURRENT_USER \Software\OnTheFly". No dia 26 de janeiro, o worm tenta se conectar ao site www.dynabyte.nl, na Holanda.

Segundo a McAfee, o risco de contaminação é alto. Descoberto em agosto do ano passado, só agora o worm está bastante ativo. A empresa também alerta para o fato de que a praga foi criada por uma ferramenta geradora de vírus, por isso suas ações podem variar. As mais comuns, no entanto, são as que estão descritas acima.

Apesar de não ser destrutivo, o vírus pode congestionar as comunicações eletrônicas. Segundo a MessageLabs, especializada em filtrar conteúdo em mensagens de e-mail, a taxa de infecção pelo "Anna Kournikova" nas primeiras horas do surto tem sido duas vezes maior do que a observada com o "I Love You", em maio do ano passado.

Para se ter uma idéia, às 13 horas de hoje (nos Estados Unidos), a empresa havia interceptado quatro mensagens infectadas pelo vírus. Às 16 horas já eram 1530 mensagens e às 17 horas, 3519. Portanto, se você receber um e-mail com o vírus, simplesmente delete a mensagem sem abrir o arquivo anexado.

A Sophos, que também lançou um alerta aos usuários, afirma que recebeu vários relatos de infecção pelo vírus ao redor do mundo. "Este vírus é o mais recente a explorar a psicologia para se espalhar entre usuários ingênuos", disse o consultor de tecnologia da Sophos, Graham Cluley.

"Fotos de Anna Kournikova estão entre as mais populares na Internet. Nossa mensagem aos usuários de computador é simples — pense com seu cérebro, não com sua virilha", ironizou.

10/2/2001 - 3:00 Giordani Rodrigues

Você entrou no Securenet no sábado à tarde para saber quais sites tinham sido invadidos? Se a resposta for sim, então você pode ter constatado que o site invadido foi o da própria Securenet. Hackers do grupo Hackweiser desfiguraram a página principal de um dos principais sites de segurança do Brasil e deixaram mensagens sarcásticas em inglês lá.

"c0nd0r, we r00ted yer box and we can say to u: humiliated! humiliated! Securenet, you are owned". A frase não tem uma tradução literal por causa das gírias usadas, mas significa algo como "c0ndor, nós hakeamos seu sistema e podemos dizer a você: humilhado! Humilhado! Securenet, você está invadido". C0ndor é o pseudônimo usado pelo consultor de segurança Thiago Zaninotti, editor do site.

Os hackers também foram bastante maldosos. Colocaram um comentário escondido no código-fonte da página desfigurada, falando sobre a sexualidade dos autores do site e explicando que esse foi o motivo da invasão.

E mais: "well, what do u think about securenet owned? heh. some people thinked this isn't possible, but we're here to show to you." ("o que você acha do Securenet ter sido invadida? Algumas pessoas pensavam que isso não era possível, mas nós estamos aqui para mostrar a você").

O grupo também ironizou a capacidade dos hackers brasileiros: "por que este site é chamado *securenet*? Eu acho que é porque para os ‘hackers brasileiros’ é impossível (invadir o site)...eles não têm capacidade"

O Hackweiser é um grupo formado por apenas um brasileiro, cujo pseudônimo é "psaux". Os outros integrantes são americanos, canadenses e europeus. Psaux é o "hacker apaixonado", que invadiu centenas de sites brasileiros recentemente deixando mensagens de amor para sua namorada.

Para ver o espelho da invasão, clique aqui.

9/2/2001 - 0:00 Giordani Rodrigues

Fidel Castro, o controverso líder de Cuba, pode estar organizando uma guerra cibernética contra os Estados Unidos. A afirmação partiu do chefe da Agência de Defesa e Inteligência americana, almirante Tom Wilson, durante uma audiência pública realizada na quarta-feira. Wilson disse que Cuba poderia "usar guerra de informação ou um ataque à rede de computadores (dos Estados Unidos), capaz de interromper o acesso ou fluxo de forças (militares) à região".

As declarações do almirante foram feitas durante a atual realização do evento anual chamado "World Threat Assesment", que poderia ser traduzido como "avaliação de ameaça mundial". Wilson complementou dizendo que "a ameaça militar convencional de Cuba não é poderosa", mas o país possui "um poderoso aparato de inteligência, boa segurança e o potencial de comprometer as forças militares (americanas) por meio de táticas assimétricas". Com táticas assimétricas ele quis se referir justamente a ataques do tipo cibernético.

Perguntado pelo senador democrata Ron Wyden sobre a real possibilidade de tal guerra acontecer, o almirante respondeu que "há potencial para tanto".

Alguns observadores da política americana, no entanto, já estão desconfiando do fato de uma informação desse calibre ter vindo a público na mesma semana em que também se revelou que terroristas mulçumanos como Bin Laden estariam usando a Internet para suas práticas. A mídia relacionou a ação dos terroristas aos programas e técnicas de criptografia difundidos por defensores da privacidade.

Apesar de o perigo de uma guerra cibernética existir, alguns acham que a exposição de tais notícias serve mais como tática para que o governo americano endureça suas ações contra Cuba e contra a criptografia, o que dificulta o desempenho de programas como o polêmico Carnivore.

7/2/2001 - 3:00 Giordani Rodrigues

Georgi Guninski, o consultor de segurança búlgaro que pousou na sopa da Microsoft, lançou ontem mais um alerta sobre um problema que pode afetar o Windows. Trata-se de um tipo de Denial of Service (DoS), ou seja, uma recusa de serviço por parte do protocolo UDP em computadores rodando Windows. A falha faz com seja impossível conectar-se a um endereço na Internet.

UDP é a sigla de User Datagram Protocol, um protocolo que permite o envio de pacotes de bancos de dados pela Internet. Usando a linguagem Java é possível criar comandos que façam com que uma página ou um e-mail consumam todos os recursos de UDP da máquina.

Isso faz com que a capacidade de resolução de endereços DNS (Domain Name System) seja esgotada no Windows 2000 Profissional e impede novas conexões no Windows 98. É possível que outras versões do sistema operacional também sejam atingidas.

No endereço http://www.guninski.com/winudpdos.html existe uma demonstração de como o problema ocorre. Cerca de 30 segundos depois que se acessa essa página não se consegue mais entrar em outros endereços. Fechando a página, o sistema volta ao normal, mas Guninski observou que algumas máquinas são reiniciadas nesse momento.

Segundo Georgi Guninski, a Microsoft foi avisada sobre o problema no dia 2. Recentemente a empresa lançou críticas a Guninski dizendo que ele colaborava para expor os usuários a vulnerabilidades dos programas.

Isso ocorreu logo depois do alerta, feito no dia 15 de janeiro, de brechas de segurança no Windows Media Player 7. A Microsoft tinha sido contatada quatro dias antes e alegou que o búlgaro não dava tempo suf Fevereiro 2001

27/2/2001 - 2:00 Giordani Rodrigues

Os fabricantes de programas antivírus estão divulgando alertas sobre um traiçoeiro vírus de computador que ataca os usuários do programa de troca de arquivos Gnutella. Batizado de W32/GnutellaMan, W32/Gnuman.worm, Mandragore e outros nomes, o vírus, do tipo worm, assume o lugar de qualquer arquivo que deveria ser partilhado pela rede Gnutella. Não importa que nome de arquivo seja procurado, o vírus sempre irá retornar aquele nome.

Por exemplo, quando um usuário procura por um arquivo musical utilizando a palavra-chave "rock", uma máquina infectada pelo vírus retorna a resposta de que o servidor Gnutella encontrou o arquivo "rock.exe". Este é, na verdade, o worm. Se o usuário resolver baixar o arquivo e executá-lo, será também infectado, dando continuidade ao processo.

Uma vez executado, o vírus copia a si mesmo na pasta "Iniciar", fazendo com que seja rodado toda vez que o computador é iniciado. O arquivo copiado é oculto e possui o nome GSPOT.EXE. Verificar a presença de tal arquivo é uma das formas de detectar a infeção.

O Gnutella é um programa gratuito para troca de arquivos de diversos formatos, incluindo MP3. Nos últimos dias, sua popularidade cresceu como alternativa ao uso do Napster, que vem sofrendo restrições por parte de tribunais americanos. Ao contrário do Napster, o Gnutella não utiliza um servidor central para funcionar, o que faz com que seja praticamente impossível controlar seu uso.

O risco de infecção pelo novo vírus ainda é considerado baixo, mas devido à forma como atua existe uma grande probabilidade de que se espalhe.

25/2/2001 - 2:00 Giordani Rodrigues

Este ano, o carnaval brasileiro atraiu não só os turistas estrangeiros como também os criadores de vírus. A McAfee anunciou a descoberta, na sexta-feira, do VBS/Carnival@mm, também chamado de Brazilian_Carnival.JPG.vbs. Trata-se de um vírus do tipo worm, criado nos Estados Unidos e que tenta enganar o usuário fazendo-se passar por uma foto do carnaval no Brasil.

O worm é codificado em Visual Basic Script (VBS) e se propaga por e-mail. A mensagem com o vírus possui as seguintes características:

Asunto: Next Week: Brazilian Carnival

Corpo da mensagem: That's Great...

Arquivo anexado: Brazilian_Carnival.JPG.vbs

Ao se clicar no anexo, o worm é executado e se instala na pasta de arquivos temporários, geralmente C:/Windows/Temp. Imediatamente a praga procura por todos os endereços de correio eletrônico do Outlook, enviando-se para estes. O Brazilian_Carnival não é destrutivo, mas pode congestionar as redes de comunicação, a exemplo do que aconteceu com o recente Anna Kournikova.

A McAfee sugere que os usuários utilizem os filtros do Outlook para impedir que mensagens com anexos como o descrito acima sejam baixadas. Por enquanto, o "vírus do carnaval" é considerado de baixo risco, pois não foi verificado um grande número de infecções.

22/2/2001 - 2:00 Rodrigo Sais

Para ler outros capítulos, clique nos links abaixo:

Capítulo 1

Capítulo 3

Capítulo 4

Assim que terminou o chiado estridente do modem, Lila deixou de existir. Em seu lugar, surgia Lil@: era hora do trabalho. Havia ali uma dissociação entre mente e corpo capaz de assustar até mesmo o kardecista mais convicto. Seu corpo físico permanecia de pernas cruzadas à maneira indiana, com seus dedos freneticamente digitando ou tamborilando no lado da mesa, pupilas dilatadas fixas no monitor. Era apenas um canalizador para a mente hiperativa de Lil@, que já tentava encontrar o caminho mais direto ao coração do Flying Dutch Bank. Tinha que encontrar o código-fonte do programa deles, e ela sabia que não levantaria daquela cadeira até conseguir seu intento.

Lil@ não estava preocupada com a moralidade de seus atos. Pouco interessava se há apenas dois dias estava trabalhando justamente para o banco que hackearia em breve. Não se importava com os correntistas que teriam problemas no dia seguinte por sua causa. Mesmo o dinheiro que receberia pelo trabalho era secundário. A única coisa relevante era que tinha um desafio à sua frente, uma porta fechada. Não descansaria enquanto não a tivesse aberto.

Aparentemente, o trabalho seria fácil. Por curiosidade, Lil@ já havia fuçado no site do Flying Dutch Bank. Afinal, tinha uma conta lá, e queria saber se poderia confiar na proteção oferecida. Apesar de apresentar um grau de segurança maior que o do Banco Atalaia, não era de forma alguma impenetrável. Nunca seria. Quanto mais as tecnologias de proteção e criptografia se desenvolvem, mais modos de quebrá-las surgem, numa corrida parelha, mas na qual os hackers sempre estão uma cabeça à frente.

Após duas horas de trabalho, percebeu que um sistema muito engenhoso havia sido montado. Havia três criptografias diferentes no site. O curioso é que não estavam sobrepostas, como era comum. Estavam espalhadas aparentemente aleatoriamente, nas mesmas páginas. Lil@ sorriu. A estratégia havia realmente funcionado, e ela perdeu bastante tempo procurando o algoritmo que ordenava as criptografias. Finalmente, um desafio à altura.

A mente de Lil@ enxergava os dados à sua frente quase de uma maneira física. Em vez de uma porta com três cadeados, como era de se esperar, havia três portas com cadeados diferentes. Ela perdeu muito tempo pensando qual porta abrir primeiro, até dar-se conta de que todas desembocavam na mesma sala. Quem montou a segurança desenvolveu um bom estratagema. Afinal, quem abre um cadeado, abre três, se for preciso. Mas quem encontra três portas, vai sempre ficar na dúvida. Ponto pra ele.

Mas a maior surpresa ainda estava por vir. Quando finalmente rompeu as proteções, Lil@ encontrou um arquivo que destoava dos demais. Todos os outros tinham nomes incompreensíveis, mas aquele era simples: senhadosgerentes.doc

"Muito fácil!" pensou Lil@. Já preparava-se para abrir o arquivo quando seu cérebro emitiu um alerta e refreou sua curiosidade feminina. "Fácil demais. Fácil demais!" Procedeu com mais cautela. Copiou o arquivo para seu computador, e abriu. Quando leu o conteúdo, deu graças por ter sido prudente:

LILA,

VOCÊ NÃO É BEM-VINDA AQUI

BONETTO

Lila sorriu. Se tivesse aberto o arquivo diretamente, o sistema teria registrado sua entrada. Começou a gargalhar. Aparentemente, Bonetto era mais esperto do que aparentava, mas se achava que aquilo ia impedi-la...

Lil@ já se preparava para continuar quando, abruptamente, saiu de seu transe. Ouviu pancadas vindas do teto de seu apartamento. As gargalhadas deviam ter incomodado a sua vizinha de cima. O estranho é que Lila não havia se dado conta de que estava quase gritando e xingando Bonetto. Sentiu seu rosto ficando vermelho. Ultimamente, isso acontecia com muita freqüência - ficava tão entretida no trabalho que gritava e falava sozinha. Um pouco abalada, continuou o serviço.

Após meia hora, havia conseguido o código-fonte e apagado os traços de sua passagem no sistema do Flying Dutch Bank. Mas, dessa vez, não iria continuar mexendo no site. Desta vez não poderia assinar sua obra. Se fosse muito perfeccionista, iria acabar se denunciando. Estava, de certa forma, com um pouco de medo de ser descoberta. Foi quando teve uma idéia...

Era hora de entrar no computador de Anjo.

Lil@ rapidamente encontrou o que queria: um programinha com vários scripts, ataques DoS e demais artifícios hackers de baixo nível. Era um programa muito eficaz para tirar páginas do ar, mas pouco útil para os serviços que ela prestava. Deixava muitos rastros, que ela teria que mascarar manualmente. Mas Bonetto nunca iria suspeitar que Lila faria um serviço porco como o que ela deixaria.

Enquanto Lil@ estava no sistema de Anjo, encontrou algo que lhe desagradou imensamente. Seu namorado estava trocando e-mails com Janaína. uma de suas amigas. Não era bem uma amiga: era uma colega de cursinho, preocupada com futilidades, e que não saía da academia. Curiosa, abriu a mensagem:

From: anjomau666@hotmail.com

To: janainamsm@bol.com.br

Oi, gatinha!

Claro q eu kero te ver de verdade. Eu te @mo!!!! Já não güento mais a Lila... Ela é muito infantil, e meio bobinha. Eu tento explicar umas coisa de computador pra ela e ela nunca entende.

Que tal no cinema do Cristal, amanhã, às 19:00h?

Beijussssssss,

Anjo

Enquanto lia, lágrimas escorriam do rosto de Lila. Sentia um misto de raiva e asco. Imediatamente pensou em apagar a mensagem, mandar um mailbomb para Anjo, ir na casa dele e estourar a cara dele... Seus dedos tamborilavam furiosamente na mesa., e ela sentiu a visão ficando turva.

Após alguns minutos, Lil@ retomou o controle. Era hora da vingança. Após trinta minutos estava tudo terminado.

Quem entrasse no site do Flying Dutch Bank pela manhã, teria uma surpresa desagradável. Todas as páginas estariam imprestáveis, com exceção de uma. A página inicial carregaria, com os seguintes dizeres:

ANJO ESTEVE AQUI!

TENTEM ME PEGAR! HAHA!!

SHOUTZ TO Ph4z3R, DeStRuCt0r e Janaína

e-mails para anjomau666@hotmail.com

O IP que os técnicos do Flying Dutch Bank achariam, obviamente, era o que Anjo estava usando na sua conexão do dia anterior. A caveira mal desenhada, símbolo de seu grupo, estava lá, com uma única diferença - o fundo da tela era lilás...

Para ler outros capítulos, clique nos links abaixo:

Capítulo 1

Capítulo 3

Capítulo 4

Rodrigo Sais, o Groo, é jornalista. Esta é uma peça de ficção. Qualquer semelhança com fatos envolvendo pessoas ou empresas reais terá sido mera coincidência.

21/2/2001 - 2:00 Redação InfoGuerra

Se você usa Excel, tenha cuidado com um vírus cuja descoberta foi anunciada hoje pela Sophos. É o XM97/Barisada-O, uma variante do vírus de macro XM97/Barisada-B, que tenta enganar o usuário fazendo-se passar por um jogo. Ele ataca o programa Excel e armazena as macros no arquivo RMC.XLS.

No dia 24 de abril, entre 2 e 3 horas da madrugada, o vírus exibe uma série de caixas de diálogo fazendo perguntas ao usuário que, aparentemente, são parte de um jogo de fantasias do tipo RPG.

A primeira caixa de diálogo, com o título "1st Question" (1ª Pergunta), traz o texto: "Question: What is the Sword Which Karl Styner (=Grey Scavenger)? Answer: Barisada".
(Pergunta: Qual é a espada usada por Karl Styner (=Grey Scavenger)? Resposta: Barisada)


Caso responda "No", aparecerá uma caixa de diálogo com o título "Right Answer" (Resposta Certa) e a mensagem "Good! You"re Authorized now!" (Bom! Você está autorizado agora!)

Caso responda "Yes", uma caixa de diálogo com o título "Wrong Answer" (Resposta Errada) aparecerá com o texto "I will give you one more Chance. Be careful!!" (Eu lhe darei mais uma chance. Tenha cuidado!!)


A próxima caixa de diálogo, com o título "Wrong Answer may cause The Serious Problem!" (A resposta errada pode causar sérios problemas!) traz o texto "Summoning Xavier is the Ultimate Magic. Right?" (Summonig Xavier é o mágico do momento. Certo?)

Caso a resposta seja "Yes" aparecerá a uma caixa de diálogo com o título "Right Answer" (Resposta Certa) e a mensagem "ok, i will forgive you" (Ok. Eu perdoarei você.)

Caso pressione "No" aparecerá a caixa de diálogo com o título "You shall Die" (Você deve morrer) com a mensagem "Wrong Answer, Your file will be deleted!" (Resposta errada, seu arquivo será apagado)

O vírus, então, apaga todas as células das planilhas abertas. No momento em que distribuiu a notícia, a Sophos considerou o risco de contaminação baixo.

Tradução de Luiz Fernando Spósito

20/2/2001 - 23:00 Giordani Rodrigues

O agente especial do FBI Robert Phillip Hanssen, de 56 anos (foto), foi preso em flagrante sob a acusação de ter agido como espião russo pelos últimos 15 anos. A prisão, anunciada ontem pelo FBI, foi feita no domingo à noite, em um parque na cidade de Vienna, na Virgínia, no momento em que Hanssen tentava deixar um pacote cheio de documentos altamente confidenciais que seriam resgatados por agentes russos em troca de US$ 50 mil, deixados em um outro local.

Robert Hanssen era um especialista em vigilância eletrônica e contra-inteligência e, segundo depoimentos juramentados prestados ao FBI, ele entregou aos russos mais de 6 mil páginas de documentos secretos nos últimos anos. Para tanto, utilizou sofisticados meios de comunicação e criptografia. Em troca de seus serviços, teria recebido mais de US$ 600 mil em dinheiro e diamantes.

Os depoimentos atestam que os disquetes de computador e os documentos impressos entregues por Hanssen aos seus contatos russos comprometeram numerosas fontes humanas de informação bem como a segurança dos Estados Unidos, incluindo estratégias nucleares e de inteligência do país.

De acordo com uma nota liberada à imprensa pelo FBI, o diretor do órgão, Louis J. Freeh, disse que se as acusações contra o agente forem provadas o caso representará "a mais séria violação da lei e risco à segurança nacional" dos EUA.

"A completa extensão dos danos causados ainda é desconhecida porque nenhuma avaliação detalhada poderia ter sido conduzida sem colocar em risco as investigações. Nós acreditamos que as perdas foram excepcionalmente graves", afirmou Freeh em um comunicado oficial sobre o caso, divulgado ontem.

Hanssen, que usou vários pesudônimos — "B", "Ramon Garcia", "Jim Baker" e "G. Robertson" — também é acusado de estar envolvido com Aldrich Ames, agente da CIA preso em 1994 por ter fornecido aos russos informações sobre agentes americanos duplos, o que resultou na morte de dez pessoas. Robert Hanssen teria confirmado as informações de Ames, levando à execução de dois agentes e à prisão de um terceiro.

19/2/2001 - 2:00 Giordani Rodrigues

Poucos dias depois do estrago causado pelo vírus Anna Kournikova (VBS/SST-A), surge uma nova versão da praga. É o VBS/SST-B, divulgado hoje pela empresa britânica Sophos, fabricante de programas antivírus. Segundo a Sophos, o VBS/SST-B chega por e-mail com uma mensagem em alemão com as seguintes características:

Assunto: Neues von Ihrem Internetdienstleister - Robert T. Online informiert

Corpo da Mensagem: Sehr geehrter Internetsurfer, es hat sich einiges bei uns getan. Die Telekom kann auch Ihre Internetkosten reduzieren. Wir haben auch für Sie den richtigen Tarif... Damit auch Sie sich entscheiden können, haben wir eine Übersicht aller für Sie relevanter Termine an diese eMail gehängt. Wir sind Sicher, auch Sie werden Ihren Wunschtarif finden. Bei fragen stehen wir Ihnen natürlich jederzeit zur Verfügung... Ihr T-Online Service Team

Traduzido, o texto sifnifica: "Caro internauta, aconteceram muitas mudanças. A Telekom pode reduzir seus custos. Nós temos a escala perfeita de tarifas para você...segue em anexo um resumo das próximas datas para ajudá-lo a tomar uma decisão. Temos certeza de que uma delas será perfeita para você. Não deixe de nos contatar para obter maiores informações. Atenciosamente. Equipe da T-Online Service"

Arquivo anexado: Neue Tarife.txt.vbs

Assim como o Kournikova, o VBS/SST-B possui uma dupla extensão, que pode enganar os usuários fazendo-se passar por um arquivo de texto, quando na verdade é um Visual Basic Script (VBS). Se o usuário clicar no arquivo infectado, este irá ser copiado no diretório Windows com o nome Neue Tarife.txt.vbs.

O vírus também modifica o registro do Windows para ser carregado quando o computador é reiniciado. Ele tenta se espalhar usando o catálogo de endereços do Microsoft Outlook e canais de IRC (bate-papo online).

Na última sexta-feira, a McAfee também lançou um alerta sobre o mesmo vírus, mas não como uma variante do Kournikova, e sim com o nome de VBS/VBSWG.k@MM. A McAfee considera o risco de contaminação baixo. A Sophos disse que ainda não detectou nenhum caso de infecção por este vírus e considera improvável que ele se espalhe por países que não falem a língua alemã.

18/2/2001 - 23:00 Giordani Rodrigues

Ao ver sua cidade no noticiário internacional, o prefeito de Sneek, na Holanda, Siebold Hartkamp, considerou que o jovem que deu origem às notícias só poderia ser uma pessoa talentosa e resolveu oferecer-lhe um emprego na prefeitura. O jovem em questão é "OnTheFly", o criador do vírus Anna Kournikova, que infectou milhões de computadores ao redor do mundo nos últimos dias, segundo os fabricantes de programas antivírus.

"É claro que nós estamos falando de um homem que mostrou que é capaz de algo. Para pessoas como ele nós sempre temos um lugar em nosso departamento de Tecnologia da Informação", comentou o prefeito, de acordo com Xander Teunissen (Thejian), engenheiro de redes holandês que enviou a história para o site Help Net Security.

O prefeito disse estar feliz com a publicidade que sua cidade está tendo depois do incidente com o vírus. "Eu estava assistindo à CNN e de repente vi nossa delegacia num canal de televisão internacional".

Depois de ter confessado ser o autor do vírus, "OnTheFly" prestou depoimento à polícia, na quarta-feira passada, acompanhado dos pais, sendo liberado em seguida. Desde então ele desapareceu. As leis holandesas não permitem que a identidade do jovem de 20 anos seja divulgada, mas alguns afirmam que seu nome é Jan de Wit. O site de notícias InternetNews, publicou uma reportagem na qual enumera as pistas que levaram à identificação do jovem.

Uma dessas pistas é uma página na Internet, mantida pelo serviço Tripod, em que de Wit fala de sua paixão pela tenista russa Anna Kournikova. Foi também em uma página da Tripod, cujo endereço foi tirado do ar, que o jovem confessou ser o criador do vírus, enumerando suas razões e dizendo que não teve intenção de prejudicar as pessoas com seu ato. O texto que estava nesta página pode ser visto aqui.

16/2/2001 - 3:00 Redação InfoGuerra

Tal como outros códigos maliciosos — VBS/LoveLetter, conhecido como "I Love You" — o VBS/SST.A, o já famoso vírus Kournikova, chegou em forma de arquivo de dupla extensão para não levantar suspeita. Para lidar com essa técnica oculta, o comunicado de ontem da lista Oxygen3 24h-365d, da Panda Software, revisou algumas dicas que permitem aos usuários serem capazes de reconhecê-la, impedindo assim a contaminação de seus computadores.

O Windows adota como padrão esconder as extensões de arquivos conhecidos, exibindo somente o nome do arquivo junto com o ícone correspondente daquele formato. Assim, arquivos de extensão TXT, por exemplo, são listados pelo nome e associados ao ícone que representa o bloco de notas. Os arquivos de dupla extensão tiram vantagem desse recurso do Windows assumindo que o sistema vai exibir a outra extensão e não a verdadeira, VBS. Assim, os usuários abrirão o arquivo pensando que ele não é perigoso.

Um exemplo claro de arquivo que usa essa técnica é o VBS/SST.A, que, como você mesmo deve se lembrar, usa o e-mail para se propagar em forma de um arquivo anexo chamado "AnnaKournikova.jpg.vbs". O arquivo poderia aparecer como sendo uma foto da tenista Anna Kournikova, dando a falsa impressão de ser um arquivo do tipo JPG.

Na verdade, muitos usuários clicam nesse arquivo para abri-lo esperando ver uma imagem da famosa tenista russa. Entretanto, como a extensão verdadeira é VBS, quando eles clicam no arquivo é o código malicioso que será executado pelo Script Host do Winodws.

A primeira medida que os usuários devem tomar para evitar esse tipo de situação é configurar o Windows para não esconder extensões de arquivos conhecidos. Para fazer isso, no Windows Explorer, vá ao menu Exibir (View), escolha Opções de Pastas (Folder Options) e, na guia Modo de Exibição (View), embaixo de "Arquivos e pastas", desmarque a opção "ocultar extensões para os tipos de arquivos conhecidos".

Outra alternativa é não abrir o arquivo anexado diretamente, dando um duplo clique nele. A melhor opção é salvá-lo em um diretório, abrir o programa usado para ler aquele tipo de arquivo (um programa gráfico, o Microsoft Photo Editor, no caso de arquivos JPG) e tentar abri-lo ali.

Tradução de Luiz Fernando Spósito

Leia também:
Previna-se contra o vírus Homepage e outras pragas de VBS

13/2/2001 - 3:00 Redação InfoGuerra

Amanhã é o dia dos namorados nos Estados Unidos e em países da Europa. Para comemorar o fato, você tem direito a uma oferta especial: pega um vírus e leva outro inteiramente grátis. É o que acontece com os vírus VBS/San@M e VBS/Valentin@MM, aparentemente criados por Onel2, o mesmo que criou o vírus LittleDavinia em homenagem à sua amada.

A dupla San e Valentin (em referência ao dia de San Valentin, dia dos namorados na Espanha) foi descoberta no último dia 11 de fevereiro, de acordo com a McAfee, e pode atacar no dia 14, entre outras datas. A contaminação do sistema é feita por e-mail e ocorre ao se abrir a mensagem e, em alguns casos, apenas com a pré-visualização.

O vírus VBS/San@M usa o código VBScript embutido em um código HTML e é parcialmente criptografado. Algumas partes visíveis são: "loveday14 by Onel2 Melilla, España ‘feliz san valentin Davinia’" (dia 14, dia do amor por Onel2 Melilla, Espanha ‘feliz dia dos namorados, Davinia’).

O vírus cria um arquivo chamado "index.html" que vira uma assinatura infectada do usuário no Outlook Express, assim, quando o usuário mandar uma nova mensagem, os computadores dos destinatários podem ser contaminados.

A praga virtual também direciona o Internet Explorer para iniciar em um website espanhol, o qual contém mais um vírus, o VBS/Valentin@MM. Caso o dia corrente seja 8,14, 23 ou 29, então ele deleta os diretórios da unidade C local e, em seguida, cria um diretório, agora vazio, chamado "happysanvalentin" (feliz dia dos namorados).

O VBS/Valentin@MM, o vírus que você leva grátis ao ser contaminado pelo primeiro, na verdade, é uma complementação deste. Também direciona o Internet Explorer para o mesmo website espanhol utilizado pelo primeiro, usa o código VBScript embutido no código html e é parcialmente criptografado. Além disso, contamina a máquina do usuário quando este abre o e-mail infectado, ou, em alguns casos, na visualização da mensagem com o HTML.

As partes visíveis são: "Que cosa mas tonta". (Que coisa mais idiota); "loveday14 by Onel2 Melilla, España ‘feliz san valentin Davinia’" (dia 14, dia do amor por Onel2 Melilla, Espanha ‘feliz dia dos namorados, Davinia’).

Dentre as funções do vírus está a de tentar mandar, por numeração aleatória, mensagens para telefones celulares de uma companhia telefônica espanhola. Aqui, a linha de assunto traz escrito "Feliz San Valentin" (Feliz Dia dos Namorados). O corpo da mensagem traz a mensagem "Feliz San Valentin. Por favor visita", seguido de um link para um website espanhol infectado pelo autor do vírus.

O vírus também pode infectar outros usuários pelos canais de bate-papo de IRC. Além de fazer o Internet Explorer iniciar em um website espanhol, se a data for 8, 14, 23 ou 29 ele cria arquivos textos contendo:

"Hola, me llamo Onel2 y voy utilizar tus archivos para declararte mi amor a Davinia, la chica mas guapa del mundo." "Feliz San Valentin Davinia. Eres la mas bonita y la mas simpatica." "Todos los dias a todas horas pienso en ti y cada segundo que no te veo es un inferno." "Quieres salir comigo?" "En cuanto a ti usuario, debo decirteque tus ficheros no han sido contaminados pro un vírus." "sino sacralizados por el amor que siento por Davinia."

(Olá, me chamo Onel2 e vou usar seus arquivos para lhe declarar o meu amor por Davinia, a menina mais linda do mundo. Feliz Dia dos Namorados, Davinia. Você é a mais bonita e mais simpática. Penso em você todo dia, toda hora e cada segundo que não a vejo é um inferno. Quer sair comigo? E quanto a você, usuário, devo dizer-lhe que seus arquivos não foram contaminados por um vírus e sim sacrificados pelo amor que sinto por Davinia.)

O cuidado para evitar essas contaminações é sempre o mesmo: manter um antivírus sempre atualizado protegendo sua máquina.

Tradução de Luiz Fernando Spósito

12/2/2001 - 3:00 Giordani Rodrigues

Várias empresas antivírus estão alertando os usuários, hoje, para o surto do vírus VBS/SST-A, também chamado de Kalamar.A, Calamar e Anna Kournikova. O vírus utiliza-se de um artifício para infectar as máquinas: tenta enganar os usuários fazendo-se passar por uma foto da tenista russa Anna Kournikova. Mesmo quem não é fã de tênis, pode sentir-se tentado a abrir o arquivo e apreciar a foto da bela jogadora, mas não deve fazê-lo, pois a imagem não existe.

Classificado como um worm (que se propaga pela rede e se autoduplica) de Visual Basic Script, a praga chega em uma mensagem de e-mail com as seguintes características:

Linha de assunto: Here you have, ;o)

Corpo da mensagem: Hi: Check this!

Anexo: AnnaKournikova.jpg.vbs

Se o anexo for executado, o worm envia uma cópia de si mesmo a todos os contatos da lista de endereços do Outlook da máquina infectada. Também se instala no diretório Windows com o nome "AnnaKournikova.jpg.vbs" e modifica o registro, criando uma entrada chamada "HKEY_CURRENT_USER \Software\OnTheFly". No dia 26 de janeiro, o worm tenta se conectar ao site www.dynabyte.nl, na Holanda.

Segundo a McAfee, o risco de contaminação é alto. Descoberto em agosto do ano passado, só agora o worm está bastante ativo. A empresa também alerta para o fato de que a praga foi criada por uma ferramenta geradora de vírus, por isso suas ações podem variar. As mais comuns, no entanto, são as que estão descritas acima.

Apesar de não ser destrutivo, o vírus pode congestionar as comunicações eletrônicas. Segundo a MessageLabs, especializada em filtrar conteúdo em mensagens de e-mail, a taxa de infecção pelo "Anna Kournikova" nas primeiras horas do surto tem sido duas vezes maior do que a observada com o "I Love You", em maio do ano passado.

Para se ter uma idéia, às 13 horas de hoje (nos Estados Unidos), a empresa havia interceptado quatro mensagens infectadas pelo vírus. Às 16 horas já eram 1530 mensagens e às 17 horas, 3519. Portanto, se você receber um e-mail com o vírus, simplesmente delete a mensagem sem abrir o arquivo anexado.

A Sophos, que também lançou um alerta aos usuários, afirma que recebeu vários relatos de infecção pelo vírus ao redor do mundo. "Este vírus é o mais recente a explorar a psicologia para se espalhar entre usuários ingênuos", disse o consultor de tecnologia da Sophos, Graham Cluley.

"Fotos de Anna Kournikova estão entre as mais populares na Internet. Nossa mensagem aos usuários de computador é simples — pense com seu cérebro, não com sua virilha", ironizou.

10/2/2001 - 3:00 Giordani Rodrigues

Você entrou no Securenet no sábado à tarde para saber quais sites tinham sido invadidos? Se a resposta for sim, então você pode ter constatado que o site invadido foi o da própria Securenet. Hackers do grupo Hackweiser desfiguraram a página principal de um dos principais sites de segurança do Brasil e deixaram mensagens sarcásticas em inglês lá.

"c0nd0r, we r00ted yer box and we can say to u: humiliated! humiliated! Securenet, you are owned". A frase não tem uma tradução literal por causa das gírias usadas, mas significa algo como "c0ndor, nós hakeamos seu sistema e podemos dizer a você: humilhado! Humilhado! Securenet, você está invadido". C0ndor é o pseudônimo usado pelo consultor de segurança Thiago Zaninotti, editor do site.

Os hackers também foram bastante maldosos. Colocaram um comentário escondido no código-fonte da página desfigurada, falando sobre a sexualidade dos autores do site e explicando que esse foi o motivo da invasão.

E mais: "well, what do u think about securenet owned? heh. some people thinked this isn't possible, but we're here to show to you." ("o que você acha do Securenet ter sido invadida? Algumas pessoas pensavam que isso não era possível, mas nós estamos aqui para mostrar a você").

O grupo também ironizou a capacidade dos hackers brasileiros: "por que este site é chamado *securenet*? Eu acho que é porque para os ‘hackers brasileiros’ é impossível (invadir o site)...eles não têm capacidade"

O Hackweiser é um grupo formado por apenas um brasileiro, cujo pseudônimo é "psaux". Os outros integrantes são americanos, canadenses e europeus. Psaux é o "hacker apaixonado", que invadiu centenas de sites brasileiros recentemente deixando mensagens de amor para sua namorada.

Para ver o espelho da invasão, clique aqui.

9/2/2001 - 0:00 Giordani Rodrigues

Fidel Castro, o controverso líder de Cuba, pode estar organizando uma guerra cibernética contra os Estados Unidos. A afirmação partiu do chefe da Agência de Defesa e Inteligência americana, almirante Tom Wilson, durante uma audiência pública realizada na quarta-feira. Wilson disse que Cuba poderia "usar guerra de informação ou um ataque à rede de computadores (dos Estados Unidos), capaz de interromper o acesso ou fluxo de forças (militares) à região".

As declarações do almirante foram feitas durante a atual realização do evento anual chamado "World Threat Assesment", que poderia ser traduzido como "avaliação de ameaça mundial". Wilson complementou dizendo que "a ameaça militar convencional de Cuba não é poderosa", mas o país possui "um poderoso aparato de inteligência, boa segurança e o potencial de comprometer as forças militares (americanas) por meio de táticas assimétricas". Com táticas assimétricas ele quis se referir justamente a ataques do tipo cibernético.

Perguntado pelo senador democrata Ron Wyden sobre a real possibilidade de tal guerra acontecer, o almirante respondeu que "há potencial para tanto".

Alguns observadores da política americana, no entanto, já estão desconfiando do fato de uma informação desse calibre ter vindo a público na mesma semana em que também se revelou que terroristas mulçumanos como Bin Laden estariam usando a Internet para suas práticas. A mídia relacionou a ação dos terroristas aos programas e técnicas de criptografia difundidos por defensores da privacidade.

Apesar de o perigo de uma guerra cibernética existir, alguns acham que a exposição de tais notícias serve mais como tática para que o governo americano endureça suas ações contra Cuba e contra a criptografia, o que dificulta o desempenho de programas como o polêmico Carnivore.

7/2/2001 - 3:00 Giordani Rodrigues

Georgi Guninski, o consultor de segurança búlgaro que pousou na sopa da Microsoft, lançou ontem mais um alerta sobre um problema que pode afetar o Windows. Trata-se de um tipo de Denial of Service (DoS), ou seja, uma recusa de serviço por parte do protocolo UDP em computadores rodando Windows. A falha faz com seja impossível conectar-se a um endereço na Internet.

UDP é a sigla de User Datagram Protocol, um protocolo que permite o envio de pacotes de bancos de dados pela Internet. Usando a linguagem Java é possível criar comandos que façam com que uma página ou um e-mail consumam todos os recursos de UDP da máquina.

Isso faz com que a capacidade de resolução de endereços DNS (Domain Name System) seja esgotada no Windows 2000 Profissional e impede novas conexões no Windows 98. É possível que outras versões do sistema operacional também sejam atingidas.

No endereço http://www.guninski.com/winudpdos.html existe uma demonstração de como o problema ocorre. Cerca de 30 segundos depois que se acessa essa página não se consegue mais entrar em outros endereços. Fechando a página, o sistema volta ao normal, mas Guninski observou que algumas máquinas são reiniciadas nesse momento.

Segundo Georgi Guninski, a Microsoft foi avisada sobre o problema no dia 2. Recentemente a empresa lançou críticas a Guninski dizendo que ele colaborava para expor os usuários a vulnerabilidades dos programas.

Isso ocorreu logo depois do alerta, feito no dia 15 de janeiro, de brechas de segurança no Windows Media Player 7. A Microsoft tinha sido contatada quatro dias antes e alegou que o búlgaro não dava tempo suficiente para que as vulnerabilidades fossem corrigidas antes de divulgá-las. Pelo que se percebe, Guninski não se abalou com as críticas.

Leia também:

Falha no Windows Media Player permite total acesso ao PC