Vírus
e cia.
Bubbleboy
O
Bubbleboy,
versão 1.0, programa que ganhou o nome de um personagem de um
seriado
de TV, "Seinfeld", não é um
vírus.
É
um worm que se
transmite
por e-mail escritos em html e que infecta o computador no
momento
em que se visualiza um mail, sem necessidade que nenhum arquivo anexado
seja aberto. Foi descoberto em 08/11/99 e é escrito em VB
Script,
ficando "escondido" como parte do código HTML.
Portanto,
quando apareceu se constitua numa ameaça
totalmente nova devido ao fato de conseguir
infectar computadores sem a abertura de arquivos anexados. Assim, a
contaminação
é viabilizada apenas pela abertura de um mail, fato esse que era
um hoax
até o surgimento do Bubbleboy.
Esse
worm só trabalha nas versões em inglês e em
espanhol
dos sistemas operacionais Windows 95/98 e 2000, não afetando o
Windows
NT. Também requer a instalação do Windows
Scripting
Host (WSH é padrão nas
instalações
de Windows 98 e 2000).
O
Bubbleboy
requer, ainda, o Internet Explorer 5.0 (IE) e o Microsoft Outlook (ou o
Microsoft Outlook Express), não afetando outros leitores de
email
como o Messenger do Mozilla ou do Netscape, o Pegasus Mail ou o Eudora.
Na
verdade o
worm não utiliza falhas nos programas de e-mail,
mas uma falha de segurança no IE 5. Como os leitores de
mensagens
da série Outlook utilizam o IE como suporte estão
também
na lista de risco.
Características
Embora
tenha grande poder de disseminação, ele não
danifica
arquivos. Porém,
pode causar sobrecarga nos servidores de e-mail, pois as pessoas, sem
saber
que foram infectadas, ficarão enviando o Bubbleboy, de modo
semelhante ao que aconteceu com o
Happy99.
Os
computadores que usam o MS Outlook são infectados ao abrir a
mensagem
no mail. Já os que tem o Outlook Express podem ser infectados
quando
vêem as mensagens utilizando a configuração "Preview
Pane" - inspeção prévia, ou seja, nem é
necessário abrir a mensagem.
Em
ambos os casos se as configurações de segurança da
área de Internet no IE5 estiverem marcadas como "High", o worm
não
será executado.
Uma
vez contaminado, o sistema passará a enviar e-mails com o
vírus
para todos os endereços de todos os "address books" - os
catálogos
de e-mails - existentes no pc. Quando o email é visualizado o worm
é responsável por:
-
trocar
o nome do usuário para "BubbleBoy" dentro do registro do
sistema e trocar o nome da empresa para "Vandelay Industries".
-
criar
um arquivo chamado UPDATE.HTA na pasta C:\ Windows \ Menu Iniciar \
Programas \ Iniciar
( C: \ windows \ startmenu \ programs \ startup), ou seja o worm
é colocado no StartUp (Iniciar) do
Sistema
Operacional. Assim, na próxima vez que o pc for reiniciado o worm
se
replicará, enviando cópias de si mesmo dentro de mails.
Apenas
um mail é enviado para cada endereço que existir em cada
livro de endereços do MS Outlook ou do Outlook Express.
A
mensagem
enviada por mail, tem 4992 bytes e possui essas características:
Assunto
- Subject: "Bubbleboy is back!"
De
-
From: [pessoa que enviou a mensagem]
Texto
da mensagem - Message body:
The BubbleBoy incident,
pictures
and sounds http://www.towns.com/dorms/tom/bblboy.htm
"ILOVEYOU"
"Kindly
check the attached LOVELETTER coming from me."
Arquivo
anexo - Attachment: "LOVE-LETTER-FOR-YOU.VBS" (com tamanho =
10307
KBs)
Indicadores de infecção
São
feitas modificações no registro do Windows:
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\
= OUTLOOK.Bubbleboy 1.0 by Zulu ou
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\
= OUTLOOK.Bubbleboy 1.1 by Zulu
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner
= Bubbleboy
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization
= Vandelay Industries
Correção
A Microsoft disponibilizou um pequeno patch de
atualização,
chamado q242308, para corrigir este defeito do Outlook e do IE em
relação
aos controles active-x. Não elimina o bubbleboy, mas pode
controlar
a funcionalidade dele.
A correção
(patch) disponibilizada pela Microsoft deve ser escolhada,
copiada
e instalada.
Cópia
do instalador da correção
(Se não tiver o
hábito
de instalar programas, clicar aqui
para ter mais informações).
- Criar
uma pasta (no local onde você guarda seus arquivos
de instalação ) com o nome
correção do Windows, por exemplo.
- Copiar para ela o
arquivo
instalador correto, conforme o seu sistema.
A cópia pode
ser feita a partir do "site" original
- Acessar o
site http://www.microsoft.com/security/Bulletins/ms99-032.asp
- Procurar o link e
solicitar
a cópia.
- Gravar o arquivo na
pasta
recém criada.
Basta dar um duplo clique
no
arquivo recém copiado e acompanhar o processo de
instalação
concordando com as telas que aparecem e aguardar o reinício do
sistema.
Como não ser contaminado:
Essas
instruções
não garantem total segurança contra a
infecção
mas são preventivas.
| a |
Verificar
no Internet explorer como está a habilitação
da ativação dos controles active X. (Quem usa o Internet
Explorer na configuração
padrão não corre perigo).
- Clicar
em Ferramentas / Opções de Internet / Segurança
- Escolher
a opção ALTA.
|
| b |
Para
quem usa windows98 e tem WINDOWS SCRIPT HOSTING instalado.
Clicar em "Painel de Controle / Adicionar e Remover Programas /
Instalação
do Windows"
Dar um clique duplo em "Acessórios" (ou um clique em
"Detalhes").
Rolar a lista até aparecer "Windows Scripting Host"
Desmarcar essa opção
Dar OK em tudo e reiniciar o Windows.
|
Medidas gerais de prevenção
Há
um conjunto de procedimentos
gerais de prevenção
contra vírus e outros programas maliciosos que sempre
devem ser realizados (em qualquer computador, especialmente nos
conectados
à Internet).
Essas medidas podem ser resumidas assim:
1. Jamais executar um programa
ou abrir um arquivo sem antes executar o antivírus sobre a pasta
que o contenha.
2. Atualizar o seu
antivírus
constantemente (todas as semanas e até diariamente as empresas
distribuem
cópias gratuitas dos arquivos que atualizam a lista dos novos
vírus
e vacinas).
3. Desativar a
opção
de executar documentos diretamente do programa de correio
eletrônico.
4. Jamais executar
programas
que não tenham sido obtidos de fontes absolutamente
confiáveis.
Se desejar mais informações leia mais sobre
prevenção, clicando aqui.
Onde obter mais informações
http://www.uol.com.br/idgnow/pc/pc1999-11-10a.shl
http://www.mcafee.com/viruses/bubbleboy/
http://www.symantec.com/avcenter/venc/data/vbs.bubbleboy.html
http://news.cnet.com/news/0-1006-200-1433792.html?st.dl.10014.prmo2.1006-200-1433792
http://www.antivirus.com/vinfo/security/sa110999.htm
Este
"site", destinado prioritariamente aos alunos de Fátima Conti,
pretende
auxiliar quem esteja começando a se interessar por internet,
segue as regras da
FDL (Free Documentation Licence),
computadores
e programas, estando em permanente construção.
Sugestões
e comentários são bem vindos.
Se
desejar colaborar, clique
aqui.
Agradeço
antecipadamente.
Deseja
enviar
essa página?
Se
você usa um programa de correio eletrônico devidamente
configurado
e tem
um
e-mail
pop3, clique em "Enviar página" (abaixo) para abrir o
programa.
Preencha
o endereço do destinatário da mensagem.
E
pode acrescentar o que quiser.
(Se
não der certo, clique aqui
para saber mais).
Enviar
página
Se você usa webmail
copie o endereço abaixo
http://www.cultura.ufpa.br/dicas/vir/vir-bub.htm
Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.
Última alteração: 20 fev 2007