Vírus
e cia.
Melissa
É
um vírus de computador que se disseminou rapidamente e
forçou
diversas empresas a desligarem seus servidores de e-mail no dia
26/03/99.
O Melissa
é um vírus de
macro
(pequenos aplicativos usados para automatizar tarefas em documentos de
programas como o Microsoft Word, Excel ou PowerPoint), que aproveita a
integração entre o Microsoft Word 97 e 2000 e os
programas
de email da Microsoft (o Outlook) ou uma versão
reduzida
do mesmo programa (o Outlook Express), que integra o sistema
operacional
do Windows 98 e muitas vezes é instalado com o Windows 95.
Não
afeta outros leitores de email como o Messenger da Netscape, o Pegasus
Mail ou o Eudora.
A ação do Melissa
O macrovírus
se propaga através da internet, quando um usuário recebe
e abre um documento com extensão ___.doc,ou seja um texto
editado com o MS Word (versões Word8 ou Word 9, do
Office 97 ou do Office 2000). O documento é recebido como um
arquivo
anexo em um e-mail.
O documento mais comumente
encontrado chama-se list.doc, entretanto não é o
único
que pode ser enviado/recebido. Se o arquivo list.doc for aberto, o
Melissa
se instala no computador. E, automaticamente, procura uma agenda de
endereços
de e-mails. Lê a lista de membros do Outlook Global Address
Book.
Cria uma mensagem de e-mail e envia aos 50 primeiros endereços.
A mensagem é criada com o seguinte subject:
"Important Message From
- <User Name>"
Em "user name" pode estar
o nome do remetente, que muitas vezes é o nome de um amigo,
colega
de trabalho ou conhecido do destinatário.
O texto do mail
contém:
"Here is that document
you asked for ... don't show anyone else ;-)" (Aqui está o
documento
que você solicitou... não mostre a ninguém).
Um arquivo infectado
ativo,
com 40 mil bytes ou 40K é anexado ao e-mail e
enviado.
(Note que a chegada do vírus pode passar desapercebida pelo
usuário
se o sistema não foi configurado para notificar quando abrir uma
Macro do Word).
Quando o arquivo
infectado
é aberto o vírus verifica o registro para saber se o
sistema
já foi infectado, caso já o tenha sido o processo
não
se repetirá. Em caso contrário, o registro do windows,
é
alterado e é criada a seguinte entrada:
HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa?"
= "... by Kwyjibo"
Este vírus
sobrescreve
as macros nos documentos abertos no Word e o arquivo modelo
"normal.dot"
com o seu código de vírus de macro e desliga as
configurações
de segurança do Word. Também verifica a segurança
do Office 2000 através do registro:
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\"Level"
Caso o valor da entrada
não
seja nulo, o vírus desabilitará a opção de
Macro/Segurança do menu opções.
Assim,
contaminará
todos os outros arquivos que forem criados após a
contaminação
original, abrindo uma nova rota de contaminação para
outros
usuários (não usando e-mail).
Portanto, embora seja
disseminado
primordialmente pela Internet, o vírus Melissa também
pode
contaminar um micro pela cópia, e posterior leitura, de um
documento
contaminado com esse vírus.
Especialistas em
segurança
da rede dizem que aparentemente o vírus não causa danos
aos
equipamentos que contamina e que é possível
deletá-lo
facilmente. Mas é necessário deter a sua
reprodução,
cuja alta velocidade incapacita redes e servidores de e-mail, que
dirigem
o tráfego de mensagens por e-mail.
Medidas de prevenção
Deve-se atualizar e configurar o Microsoft Word. Para tal, na
versão 97,
tanto contra esse e como contra outros vírus de macro, instale o
"Word 97 Template Security Patch", disponível no site da
Microsoft, no seguinte endereço:
http://www.microsoft.com/security/bulletins/ms99-002.asp
Deve-se
usar algumas configurações básicas que visam
proteger
a segurança do Word: proteger o arquivo normal.dot com senha e
habilitar
algumas opções de segurança:
- Proteger o "normal.dot" com senha
1. Abra o Word
2. Selecione no menu: Ferramentas / Macro / Editor do Visual Basic (Tools
/Macro / Visual Basic Editor
3. Na janela "Projetos"(Project), selecione "Normal"
4. Selecione no menu: Ferramentas / Propriedades (Tools / Normal
properties)
5. Selecione a aba "Proteção" (Protection)
6. Marque a opção "Protege projeto para
visualização"
(Look project for viewing) e coloque uma senha nos dois campos
abaixo
7. Clique em OK. Feche o Editor do Visual Basic e feche o Word
- Habilitar opções de segurança no Word
1. Abra o Word
2. Selecione no menu: Ferramentas / Opções (Tools /
Options)
3. Selecione a aba "Geral" (General)
4. Marque as opções Confirmar conversão ao abrir" (Confirm
conversion at open) e "Ativar proteção contra
vírus
de macro" (Macro virus protection)
5. Selecione a aba "Salvar"
6. Marque a opção "Emitir aviso para salvar Normal.dot" (Prompt
to save Normal template)
7. Clique em OK e feche o Word.
Com essas configurações, ao abrir um documento que
contenha
macros, o Word irá perguntar se você deseja:
a) abrir o documento com as macros habilitadas
b) abrir o documento desabilitando as macros
c) cancelar a abertura.
Você
só deve abrir um documento do Word com macros se estiver
esperando
alguma programação especial no documento e souber
exatamente o que ele deve fazer.
Medidas gerais de prevenção
Há
um conjunto de procedimentos
gerais de prevenção
contra vírus e outros programas maliciosos que sempre
devem ser realizados (em qualquer computador, especialmente nos
conectados
à Internet).
Essas
medidas podem ser resumidas assim:
1. Jamais executar um
programa
ou abrir um arquivo sem antes executar o antivírus sobre a pasta
que o contenha.
2. Atualizar o seu
antivírus
constantemente (todas as semanas e até diariamente as empresas
distribuem
cópias gratuitas dos arquivos que atualizam a lista dos novos
vírus
e vacinas).
3. Desativar a
opção
de executar documentos diretamente do programa de correio
eletrônico.
4. Jamais executar
programas
que não tenham sido obtidos de fontes absolutamente
confiáveis.
Leia
mais sobre esse assunto, clicando aqui.
Outras informações podem ser obtidas em
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
http://ciac.llnl.gov/ciac/bulletins/i-023.shtml
http://housecall.antivirus.com/smex_housecall/technotes.html
http://officeupdate.microsoft.com/articles/macroalert.htm
http://vil.mcafee.com/vil/vm10118.asp
http://www.avertlabs.com/public/datafiles/valerts/vinfo/melissa.asp
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.cert.org/tech_tips/incident_reporting.html
http://www.ciac.org/ciac/bulletins/j-037.shtml
http://www.geocities.com/Eureka/5301/index-2.htm
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm
http://www.innosoft.com/iii/pmdf/virus-word-emergency.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.nai.com.br/about/news/melissa.htm
http://www.nai.com/services/support/vr/free.asp
http://www.sendmail.com/blockmelissa.html
http://www.sophos.com/downloads/ide/index.html#melissa
http://www.symantec.com/avcenter/venc/data/mailissa.html
http://www.zdnet.com/anchordesk/story/story_3233.html
http://www.zdnet.com/zdnn/special/melissavirus.html/
http://www2.uol.com.br/info/infonews/031999/29031999-1.shl
Este
"site", destinado prioritariamente aos alunos de Fátima Conti,
pretende
auxiliar quem esteja começando a se interessar por internet,
segue as regras da
FDL (Free Documentation Licence),
computadores
e programas, estando em permanente construção.
Sugestões
e comentários são bem vindos.
Se
desejar colaborar, clique
aqui.
Agradeço
antecipadamente.
Deseja
enviar
essa página?
Se
você usa um programa de correio eletrônico devidamente
configurado
e tem
um
e-mail
pop3, clique em "Enviar página" (abaixo) para abrir o
programa.
Preencha
o endereço do destinatário da mensagem.
E
pode acrescentar o que quiser.
(Se
não der certo, clique aqui
para saber mais).
Enviar
página
Se você usa webmail
copie o endereço abaixo
http://www.cultura.ufpa.br/dicas/vir/vir-mel.htm
Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.
Última alteração: 20 fev 2007