O vírus Bubbleboy

Acabou-se o que era doce’. É mais ou menos o que disseram os representantes das principais empresas produtoras de software antivírus no mercado de Informática com a descoberta do Bubbleboy, o primeiro de uma possível nova safra avassaladora de vírus para computador.

Comentários e explicações acerca do vírus em si, são desnecessárias, pois, se ao ler a presente matéria você ainda não souber do que estamos falando, não adianta nem continuar

O essencial é saber que o bubbleboy colocou por água abaixo a definição reconhecidamente comprovada de que, para ser contaminado por um vírus através da Internet, o usuário precisaria executar o arquivo que viesse anexo ao email ou pela Web. A partir de agora, ter o computador contaminado apenas ao previsualizar ou ler uma mensagem, tornou-se uma possibilidade real e que tende a piorar com o passar do tempo.

O VÍRUS – O bubbleboy nada mais é que um código gerado em VBScript e que se faz presente graças a uma falha de segurança (mais uma?) em dois controles de ActiveX na dobradinha Internet Explorer / Outlook Express, mas também infectando máquinas rodando Outlook 98, Outlook 2000, Exchange e Lotus Notes.
Passado o alvoroço inicial, muitos já admitem que o bubbleboy foi um aviso bem-vindo à indústria, principalmente aos usuários dependentes da Microsoft para tudo.

O bubbleboy faz uso dos furos batizados de “scriptlet.typelib/Eyedog Vulnerability” que, em outras palavras, permite alguém mal intencionado ativar scripts remotos através de um simples email, executando operações em série através do Windows Scripting Host. Para se ter uma idéia, o Windows Scripting Host vem preinstalado no Windows 98 e no Windows 2000, e é possível instalar a ferramenta até mesmo no Windows 95, graças ao Internet Explorer.

ALARME FALSO – Quando o bubbeboy veio à tona, os principais serviços de notícias internacionais fizeram um barulho imenso, como se fosse possível pipocar o disco rígido de forma remota. Inicialmente, o vírus foi enviado à Network Associates e, em fração de horas, todos já passavam a reportar a novidade e quase todas as fabricantes de antivírus já possuíam uma correção contra a bolha.

Alguns detalhes foram omitidos, facilitando a propagação de novas correntes, novos mitos e novas meias verdades. Tais omissões continuaram presentes durante dias, semanas, e algumas se mantem até mesmo hoje; acarretando falta de informação. Notícias alarmistas foram amplamente divulgadas no Brasil, principalmente através de meios eletrônicos pela Internet, sedentas pelo ‘furo’, facilitando a sensação de pânico entre usuários leigos ou desatualizados.

O caráter não malicioso do bubbleboy também revela um certo cunho amador, além de ser notoriamente fácil de ser limpado e a mesma facilidade existe para se proteger contra ele.

Sem a intenção de generalizar, é reconhecido que a maior camada de usuários leigos e iniciantes usam Outlook Express como cliente de email, devido ao fato de o mesmo ser automaticamente instalado pelo Internet Explorer que, por conseqüência, também é automaticamente instalado pelo Windows 98.

O bubbleboy impõe três condições primárias para infectar uma máquina:

1. O computador precisa estar rodando Windows 95/98/2000 + Internet Explorer + Windows Scripting Host. Se qualquer dos componentes estiver em falta, o vírus não sai do lugar.
2. O Windows precisa estar rodando, obrigatoriamente, sob o idioma inglês ou espanhol. Qualquer outro idioma anula as ações do vírus.
3. O nível de segurança no IE/Outlook Express precisa estar configurado para ‘médio’ ou ‘baixo’. Pelo contrário, o vírus não age.

Pelo tópico 1, infere-se que desinstalando (ou não tendo instalado) o Windows Scripting Host, assim como não ter o IE, o vírus não teria como agir. Deduz-se também que o Windows 95 está a salvo, pois o mesmo não possui o aplicativo instalado. Ambas as deduções estão corretas – a única ressalva é a possibilidade de instalar o Windows Scripting Host no Windows 95 e, conseqüentemente, tornar-se aberto à contaminação. Por um motivo ainda desconhecido, o Windows NT não é contaminado, independente do que esteja instalado no computador.

Pelo tópico 2, vê-se claramente a inutilidade das notícias alarmistas vinculadas em algumas vias de comunicação tupiniquins. É comum e compreensível ceder à generalização [errada] de que todos os computadores do planeta usam Windows e Internet Explorer. Entretanto, todos estariam rodando sistemas operacionais em inglês ou espanhol? Acreditamos que não.

O tópico 3 é o único que se salva, pois o padrão do IE/Outlook é o nível ‘médio’ de segurança, e poucas pessoas se atentam a modificá-lo para ‘alto’.

CULPA DA MICROSOFT? – Para muitos, sim. Com o esfriamento da notícia, é possível que o debate passe a ser sobre a culpa ou não da Microsoft na propagação de uma nova safra de vírus que, segundo profissionais e analistas da área, podem se tornar cada vez piores e perigosos caso não seja necessária a execução do arquivo como requerimento mínimo para contaminação.

As falhas de segurança ‘scriptlet.typelib/Eyedog Vulnerability’ foram descobertas muito antes do bubbleboy, cujas correções existem no acervo da Microsoft desde agosto de 1999 – ftp://ftp.microsoft.com/peropsys/IE/IE-Public/Fixes/usa/Eyedog-fix/x86/q240308.exe
A questão é: e quem fez o download da correções? E quem ficou sabendo de potente falha no Internet Explorer? Com certeza, foram poucos. Mesmo usuários avançados e profissionais nem sempre se atentam a baixar todas as correções postas na Web pela Microsoft. Afinal de contas, é difícil passar um mês sem que apareça uma ou duas.

O FUTURO – Em recente nota à imprensa, um porta voz da Network Associates, fabricante do Virus Scan e primeira a pôr a notícia no ar, admitiu: o número de pessoas que faz o download de programas antivírus é grande, mas o número de pessoas que volta ao site na Internet para baixar as atualizações mensais das definições atualizadas de vírus, não representa 10% da quantidade de usuários que o instalaram pela primeira vez.

A afirmação não traz novidade alguma, mas nos alerta novamente ao fato de que há um risco razoável no que poderá ser feito pelos vírus que se aproveitem da mesma falha de segurança ou de outras que possam vir a surgir. Afinal de contas, o bubbleboy não teve a intenção de deixar ninguém careca de raiva, tanto é que foi descoberto propositalmente, depois que seu código foi enviado à Network Associates que, por sua vez, disparou a bomba da notícia. Mas, e os próximos, terão o mesmo cunho amador?

Ninguém sabe. O que se sabe é que a maioria dos usuários continuarão a mercê de falhas sérias na segurança de seus programas, pois todos nós somos, por natureza, relaxados. Quando foi a última vez que você procurou uma atualização no site da Microsoft, contra bugs ou furos do tipo? E a mais nova definição do seu antivírus, há quanto tempo foi instalada?

A situação torna-se mais crítica dentro de empresas que não possuem uma fiscalização séria sobre o que os funcionários estão usando ou estão deixando de usar, além de ser necessário um administrador atualizado, sempre recorrendo a todas as atualizações e correções, principalmente referentes aos furos de segurança encontrados no sistema operacional e no navegador.

Por fim, atualizar-se é sempre bom, mas sem cair no alarmismo exacerbado, na ala comum dos ‘chutes’ e do repasse de informações e notícias sem checar a veracidade e credibilidade da mesma, pois todos só terão a perder.