Uma rápida história sobre vírus, worms e cavalos de tróia, parte 3

Em 1995 apareceram os primeiros macrovírus. Até então, apenas arquivos executáveis e setores de inicialização eram infectados. Os macrovírus exigiam muita capacidade dos programas de antivírus. O Melissa, Loveletter, Sobig e outros estabeleciam cada vez mais recordes de velocidades na propagação.

O "DMV" e o "Nightwatch" foram os primeiros macrovírus. O "Concept 1995" foi o primeiro macrovírus que surgiu e se propagou sem impedimento nos sistemas ingleses.

O Hunter.c foi o primeiro macrovírus polimórfico na Alemanha.

O Wm.Concept foi o primeiro macrovírus a circular livremente (sem considerar os infectores de HyperCard). Ele continha uma mensagem 'That´s enough to prove a point". (mais ou menos: "isso basta como prova") e, pouco tempo depois se tornaria o vírus de maior propagação mundial. O Wm.Concept fundou a espécie de vírus "Proof of Concept". Os vírus PoC mostravam apenas que era possível aproveitar um ponto fraco sem realmente causar danos. O reconhecimento de macrovírus impunha altas exigências aos verificadores de vírus, também por causa da constante alteração de formatos de linguagens de script e arquivos do Office.
Apareciam os primeiros geradores de macros para macrovírus alemães ou ingleses. Os macrovírus não se limitavam mais ao Word, mas infectavam também arquivos do Excel e AmiPro. Eles excediam também os limites entre os sistemas operacionais e atacavam tanto PCs como Macs.

O Laroux foi o primeiro a infectar arquivos do MS Excel.

O Boza foi o primeiro vírus a infectar o formato PE-EXE dos arquivos Windows 95. Ele foi escrito pelo Quantum, um membro do grupo de autores de vírus australiano, o VLAD.
Os vírus tornavam-se cada vez mais específicos e atacavam objetivamente os pontos fracos em programas, sistemas operacionais ou hardware.

Os primeiros scripts mIRC apareceram, os quais se propagaram de forma sorrateira dentre os usuários dos chats da Internet.

O primeiro vírus para o sistema operacional Linux aparecia.
Strange Brew foi o primeiro vírus para Java.

Além dos macrovírus, que agora estão passeando pelo Acess e outros programas, os PCs com MAcOS já estão há 3 anos sem serem infectados por vírus. Com o worm Autostart.9805 isso mudou. O Autostart utilizava o mecanismo de auto-inicialização Quicktime em PowerPcs, e se copiava em discos rígidos e outras mídias de dados. Arquivos específicos eram sobrescritos com lixo de dados e assim tornavam-se inutilizáveis. O AutoStart se propagou de Hong Kong para o mundo inteiro. Mais...

Com o Netbus e o Back Orifice apareceram os Backdoors, com os quais é possível monitorar e controlar remotamente o computador de uma vítima. Haviam discussões consequentes, a fim de esclarecer se o Back Orifice era um software de manutenção remota ou de controle remoto. Como a função de controle remoto podia ser executada sem que o usuário soubesse, o Back Orifice era identificado como um cavalo de tróia. Com o BO, um agressor conseguiu em meados de 2000 invadir a rede empresarial da Microsoft.

Em junho, apareceu o CIH (Spacefiller, Chernobyl) em Taiwan. Ele tem uma das atividades mais maliciosas da história do vírus. Ele reavivou a pergunta sobre a capacidade dos vírus destruírem hardware. Quando a sua função maliciosa ficava ativa (no dia 26 de abril), ele sobrescrevia a Flash-Bios e a tabela de partição do disco rígido. Com isso, não era mais possível iniciar o computador. Em algumas placas-mãe, o módulo da BIOS tinha que ser trocado ou reprogramado. Mas mesmo depois do restabelecimento do sistema, os dados tinham sido perdidos. O autor, o aluno chinês Chen Ing-Hau não é levado à juízo. Mais...

O VBS.Rabbit foi o primeiro a utilizar o Windows Scripting Host (WSH). Ele é escrito em Visual Basic e ataca outros arquivos VBS. HTML.Prepend mostra que com o VBScript, é possível infectar arquivos HTML.

A Dr. Solomons foi comprada pela Network Associates. Como ocorrera com o McAfee, os clientes abandonaram o programa.
Em março, o Worm "Melissa" infectou, já no primeiro dia de sua aparição, milhares de computadores e se propagou mundialmente com extrema velocidade. Ele enviava e-mails aos primeiros 50 endereços no catálogo de endereços e diversos servidores de e-mail travavam com a carga de e-mails. Em agosto, David l.Smith admitiu que ele havia escrito o worm.

O Happy99 criava a partir de cada e-mail enviado pelo usuário uma cópia e, além disso, a enviava novamente com o mesmo texto, a mesma linha de assunto e o worm como anexo. Isso funcionava também em Usenet Postings.

Em julho, o ExploreZip se disfarçava como um arquivo auto-descompactável, enviado como resposta a um e-mail de entrada. Ele se propagava através da liberação da rede e podia também infectar um computador na rede, quando um outro usuário da mesma fosse negligente. A função maliciosa procurava no disco rígido por programas C e C++, arquivos Excel, Word e Powerpoint e os apagava. Mais...

O Pretty Park  se propagava utilizando tanto e-mails como o Internet Relay Chats (IRC). Ele tinha mecanismos de proteção e de furtividade que impediam que o worm pudesse ser apagado. Na próxima verificação de vírus, o worm era reconhecido como legítimo. Algumas vezes as verificações de vírus também eram bloqueadas. Através de uma manipulação do Registro, o Pretty Park era executado por arquivos EXE, o que fazia com que todos os arquivos EXE fossem notificados como contaminados.

Para o usuário do Outlook, o Bubbleboy tornava realidade a visão "Good Times", de que um vírus infectaria um computador quando um e-mail fosse aberto (mesmo no modo de pré-visualização). Para isto, o Bubbleboy utiliza um erro na biblioteca do programa.
Apesar de todas as profecias, não houve um worm do milênio que tenha merecido esse nome.

Palm/Phage e Palm/Liberty-A são raros, mas totalmente capazes de infectar PDAs com PalmOS.

O worm em VB Script VBS/KAKworm se aproveitava de um ponto fraco nos Scriplets e Typelibs do Internet Explorer. Similar ao BubbleBoy ele se propagava na abertura de um e-mail (mesmo na visualização prévia).

Em maio, um worm enviou uma avalanche de e-mails do catálogo de endereços do Outlook com a linha de assunto "I love you" e causou, principalmente em grandes redes empresariais, danos milionários. Neste caso, as redes também ficaram dentro de pouco tempo totalmente sobrecarregadas. Através da criação original de um aluno filipino de nome Onel de Guzman derivaram diversas variantes. Especialistas norte-americanos falavam sobre os vírus mais maliciosos da história dos computadores.

O autor do W95/MTX fez todos os esforços para remover o worm/vírus híbrido do computador. Ele enviava um arquivo PIF com dupla extensão de arquivo por e-mail. Ele bloqueava o acesso do navegador a alguns websites de desenvolvedores de antivírus, contaminava arquivos com o componente do vírus e alguns arquivos eram substituídos pelo componente do worm.

Após o Love Letter e suas diversas variantes, os e-mails eram simplesmente filtrados nos gateways de e-mail com a linha de assunto correspondente. O Stages of Life variou a linha de assunto e assim passou pela malha.

Em setembro, surge na Suécia o Liberty , o primeiro cavalo de tróia para PDAs. Ele se transmitia através da sincronização com o PC e apagava as atualizações.
Em fevereiro, circulava um worm de e-mail, cujo anexo continha supostamente a jogadora de tênis Anna Kournikova. Quem o abria, instalava o worm que se enviava a todos os endereços no catálogo do Outlook.

O Naked também se propagava por e-mail. Ele finge ser uma animação em flash de uma mulher nua. Após sua abertura, instala-se e se envia a todos os endereços do Outlook. Como ele apaga os diretórios do Windows e do sistema, torna o computador inutilizável. Somente com uma nova instalação do sistema operacional, o computador pode novamente ser utilizado.

O Code Red utilizou em julho um erro de estouro de buffer no Internet Information Server (IIS) Indexing Service DLL do Windows NT, 2000 e XP. Ele rastreava casualmente endereços IP na porta padrão para conexões da Internet e transferia um cavalo de tróia que, entre os dias 20 e 27 de um mês, iniciava um ataque ao Denial of Service (DoS) contra o website da Casa Branca. A remoção do vírus era bastante trabalhosa e custou bilhões de dólares em prejuízos.

Em julho, propagou-se oSirCam através de redes e do Outlook Express e introduziu algumas novidades. Ele fez com que a cada inicialização, um arquivo EXE fosse ativado. Como o primeiro worm, ele portava um mecanismo SMTP próprio. Mas, ele não enviava somente a si próprio, mas também arquivos pessoais que encontrava no computador.

Com o Nimda, em setembro, um worm na Internet foi propagado, que não precisava de nenhuma interação do usuário. Para a propagação, ele utilizava, além de e-mails, brechas de segurança nos programas. Inúmeros servidores da web são sobrecarregados e sistemas de arquivos infectados puderam ser lidos pelo mundo todo.

Em novembro, o worm residente na memória, o Badtrans utilizou uma brecha de segurança no Outlook e no Outlook Express para se propagar. Ele se instalava como serviço, respondia e-mails, espionava senhas e esboçava as sequências de teclas.
O worm "MyParty" mostrava no começo do ano, que nem tudo que acaba com ".com" é um website. Quem clicava no anexo de e-mail "www.myparty.yahoo.com" recebia, ao invés das imagens esperadas, um worm com componentes de backdoor.

Na primavera e no verão, o Klez utilizou a brecha de segurança IFRAME no Internet Explorer, para se instalar automaticamente na visualização do e-mail. Ele se propagava por e-mail e pela rede e se anexava em arquivos executáveis. No dia 13 de meses pares (em versões posteriores eram outros dias), todos os arquivos em todas as unidades alcançáveis eram sobrescritos com conteúdos casuais. O conteúdo só podia ser restabelecido através de backups.

Em maio, se propagava o Benjamin como primeiro worm através da rede KaZaA. Ele se copiava com diversos nomes diferentes em uma pasta de rede. Uma página da Web com anúncios era exibida nos computadores infectados. Antes, as redes Gnutella baseadas em P2P também eram infectadas.

O Lentin era um worm que se aproveitava de que muitas pessoas não sabiam que arquivos SCR não eram apenas protetores de tela, mas também arquivos executáveis. Comparado ao Klez, seu efeito no vídeo era apenas incômodo. Sua propagação também não atingiu a do Klez.

No final de setembro propagou-se o Opasoft (também chamado de Brazil) como uma epidemia. Na porta 137, ele rastreava computadores na rede e verificava a existência de liberações de arquivos e/ou impressoras. Nesse momento, ele tentava se reproduzir no computador. Quando existia uma proteção com senha, ele passava uma lista com senhas e se aproveitava de um ponto fraco no armazenamento de senhas.

Tanatos ou BugBear foi o primeiro Worm que tirou o Klez da posição de ponta desde a primavera. O worm se propagava por e-mail e pela rede, instalava um componente spyware e enviava um esboço do que era teclado.
Em janeiro, o "SQL-Slammer" infectou em uma hora, pelo menos 75000 servidores e deixou a Internet inoperante por horas. Ele utilizou um ponto fraco, já conhecido há seis meses no Servidor Microsoft SQL, para neutralizar o servidor de banco de dados. Como o SQL-Slammer é composto por apenas uma consulta errônea e não é carregado como arquivo na memória, ele permaneceu sem ser detectado pelos programas antivírus. As consequências: Em Seattle, os números de emergência da polícia e corpo de bombeiros ficaram desativados, caixas automáticos do Bank of America deixaram de funcionar, 14.000 agências dos correios na Itália foram fechadas e a bolsa de valores online sofreu dramaticamente. Na Coréia, a KT Corp esteve parcialmente fora de rede. Lá, com o volume de negociações reduzido, o índice caiu em 3%. Na China, o tráfego de rede exterior completo foi bloqueado.

Em agosto, o Lovesan (alias Blaster) se propagou automaticamente na Internet. Ele utilizou a brecha de segurança no serviço RPC/DCOM, fechada apenas 4 semanas antes pela Microsoft, e infectou computadores selecionados aleatoriamente pelo endereço IP. Dentro de pouco tempo, milhares de computadores (dizem que foram 570 000) foram infectados. Logo em seguida, começou o Welchia (alias Nachi) a remover o Lovesan/ Blaster dos computadores e fechar as brechas de segurança RPC/DCOM. Ao final de agosto de 2003, Jeffrey Lee Parsons de 18 anos, foi detido como autor. Em março de 2005, ele foi condenado a uma alta pena em dinheiro, que, com o acordo da Microsoft, foi convertida em um serviço social semanal por 3 anos.

O Worm de e-mail em massa "Sobig.F" estabelecia, com o seu próprio mecanismo de e-mail, um novo recorde para a velocidade de propagação. Ele se propagava 10 vezes mais rápido do que todos os worms descobertos até aquele momento.
Os vírus se tornam armas no crime organizado. Inúmeros cavalos de tróia espionam senhas, números de cartão de crédito e outras informações pessoais. Os backdoors tornam os computadores remotamente controláveis e os integram nas chamadas Botnets. Com os zombies de uma botnet, são executados ataques de negação de serviço durante Copas de futebol em escritórios de apostas online. Os operadores pagam inevitavelmente as exigências dos chantagistas.

Rugrat foi o primeiro vírus para o Windows de 64 bits.

Cabir, o primeiro vírus para telefones celulares com sistema operacional Symbian e interface Bluetooth foi desenvolvido pelo conhecido Grupo 29A para o seu Proof-of-Concept. Em breve seguiu, do mesmo grupo com o WinCE.4Dust.A, o primeiro vírus PoC para Windows CE.
O CommWarrior.A se propagou por MMS como o primeiro worm para smartphones Symbian. Ele enviava as mensagens MMS para todos os registros do catálogo de telefone que eram apresentadas com textos variáveis como software antivírus, jogos, drives, emuladores, software 3D ou fotos interessantes.