13/6/2002 - 18:50 Omar Kaminski

A recente epidemia do vírus W32.Klez, descoberto inicialmente em outubro do ano passado é, na verdade, a exploração de um velho bug. Mas os autores do vírus fizeram diversos aprimoramentos, tornando-o capaz de driblar a maioria das defesas antivírus e roubar informações pessoais.

Pesquisadores que estão estudando o worm descobriram que ele está espalhando pela Rede arquivos dos usuários. Isto é especialmente perigoso para alguns profissionais, como advogados, que trabalham com arquivos sigilosos e confidenciais, ou jornalistas, que reúnem longas agendas e muitas informações sobre terceiros. Já se viu na Rede algumas peças processuais circulando juntamente com o vírus.

O Klez sempre teve a capacidade de obter arquivos aleatórios e distribuí-los, mas a nova versão procura por uma lista de arquivos específicos, incluindo documentos do Word, planilhas do Excel e arquivos HTML. Esta irritante característica foi herdada do worm SirCam, que fez estragos semelhantes no ano passado.

Todas as versões do Klez fazem investidas sobre uma vulnerabilidade do Microsoft Outlook Express, a qual já tem um ano. Este bug é particularmente ameaçador, porque pode afetar um usuário que apenas visualiza a mensagem no Outlook — clicar no anexo não é necessário. Para usuários de versões mais antigas do programa de e-mail (5.01 e 5.5), a Microsoft já disponibilizou um "remendo" grátis, que pode ser obtido aqui.

A versão 6 do Outlook Express, que é a mais recente, parece estar imune à execução automática do vírus. E há outras configurações que diminuem os riscos. No menu "Ferramentas", clique em "Opções" e escolha a aba "segurança". Há duas proteções: "Avisar quando outro aplicativo tentar enviar e-mail como se fosse eu" e "Não permitir que sejam salvos nem abertos anexos que possam conter vírus".

No caso do Klez, a primeira alternativa não evita completamente que seu endereço de e-mail seja usado de modo indevido. O vírus pode enviar uma mensagem infectada usando um endereço de correio eletrônico de quem nunca foi contaminado (por exemplo, o seu), bastando que este conste no catálogo de endereços de uma máquina atingida. Por isso, é importante verificar o "Return-path" nas propriedades do e-mail, pois o remetente pode não ter sido aquele que aparece na mensagem.

Alguns provedores nacionais já estão programando os seus servidores para recusar os e-mails infectados. Mesmo assim, o número de contaminações continua alto. Desde o dia 15, a empresa inglesa de filtragem de e-mails MessageLabs já obteve cerca de 240 mil cópias do novo Klez, em cerca de 150 países. Apenas nas últimas 24 horas foram quase 18 mil. Estes números fazem do Klez.H o vírus mais difundido no mundo, há vários dias. O Brasil ocupa o oitavo lugar no número de infecções.

Na sexta-feira, a Symantec estava recebendo cerca de 3 mil submissões do vírus por dia, e atualmente o classifica como nível de risco 3 — de prevenção média. Outras empresas que produzem programas antivírus já sugeriram que o ataque é muito pior. A Symantec lançou um utilitário específico para a remoção do vírus, que pode ser obtido gratuitamente aqui.

Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.