 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | CAIS-ALR-26041999Vírus Melissa [CAIS, 26.04.1999, revisão 01] Resumo Tendo em vista a crescente onda de propagação de vírus por e-mail, o CAIS faz um alerta para os mecanismos de proteção e prevenção a este tipo de problema, enquanto discute o vírus Melissa, que atingiu um numero record de sites na Internet em Marco de 1999. Motivação Com o grande numero de ocorrências do vírus Melissa no Brasil e no mundo, o CAIS pretende neste alerta esclarecer o vírus, seu funcionamento básico, assim como, indicar correções e principalmente as medidas preventivas para os usuários finais e administradores de sistemas. Detalhes Muitas vezes utiliza-se, erroneamente, o termo vírus de e-mail para designar, na verdade, os vírus que são propagados por e-mail. É importante ressaltar que o computador não é infectado pelo fato do usuário ler um e-mail em formato .txt. O perigo reside nos arquivos em attachment, uma pratica muito usada na Internet atualmente. Assim, recomenda-se que não se abra ou execute um arquivo recebido em attachment antes de salvá-lo num diretório e executar o antivírus. O Melissa pertence a família de vírus de macro, ou seja, programas capazes de se alojar nos documentos que utilizam macros na automação de comandos repetitivos. Como exemplos de programas que utilizam macros estão o Word e Excell. O vírus Melissa foi descoberto em 25 de Marco de 1999 pela AVERT (the Anti-Virus Emergency Response Team), da NAI LAbs, Network Associates. O mecanismo do vírus é descrito a seguir: 1. o usuário recebe uma mensagem com o seguinte subject: Subject: "Important Messsage from...", contendo no corpo da mensagem algo como : "Aqui está o documento que você pediu... não mostre a ninguém ;-)" " Here is that document you asked for... don't show anyone else ;-) " A mensagem contem um arquivo texto com uma lista de sites pornográficos e o arquivo Word infectado em attachment. Quando o usuário carrega o arquivo em attachment, a infeção se consuma. 2. Ao infectar o micro, o Melissa cria uma entrada no registry do Windows: HKEYCURRENTUSER/Software/Microsoft/Office/"Melissa?" 3. feito isto, ele testa se o sistema já esta infectado e caso não esteja, o vírus se propaga enviando um e-mail, como descrito acima, para os primeiros 50 endereços do address book do Microsoft Outlook MAPI. É importante notar que para ser capaz de propagar o vírus a maquina deve ter o Microsoft Outlook, no entanto, o Outlook não necessariamente precisa ser o mailer usado para ler a mensagem. Portanto, usuários que utilizem outros mailers também podem ter seus documentos infestados, desde que abram o documento propagado e infectado. 4. o vírus altera o registry key para "...by Kwyjibo", assim ele se propaga somente uma vez por sessão. 5. A macro então infecta o arquivo de template Normal.dot., o que significa que todo arquivo criado a partir deste momento será infectado. 6. Finalmente, caso os minutos do horario atual sejam iguais ao dia da data atual, então a macro insere no documento aberto no momento a mensagem: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here ..." O mecanismo básico de propagação do vírus é via e-mail: acionado quando o usuário abre o arquivo Word infectado que está em attachment. No entanto, qualquer mecanismo de transferencia de arquivos pode infectar seus documentos, basta carregar um único arquivo infectado na sua maquina. Impacto Como vimos, o Melissa atinge os usuários que abram um documento no Word97 ou Word2000 infectado pelo vírus e que possuam a opção de macros "enabled". Alem disto, observa-se uma acentuada degradação de performance dos servidores de e-mail em decorrência da propagação através do envio automático das mensagens de contaminação, o que pode causar um DoS (Denial of Service) no servidor de e-mail. Correção/Proteção O mecanismo básico de proteção e a conscientização dos usuários sobre os perigos em receber arquivos executáveis e arquivos Word via attachment e visualiza-los ou executa-los sem a utilização previa de antivírus. Especificamente no caso do Melissa, deve-se alertar os usuários para o formato padrão de mensagem infectada pelo vírus. E novamente, ressalta-se que o fato de receber a mensagem apenas, não infecta a maquina. O que gera a contaminação e a visualização do arquivo em attachment. Logo, se o usuário recebe uma mensagem suspeita de infeção, basta deletá-la. Além disso, uma pratica recomendável é estimular os usuários a desabilitar a execução automática de macros no Windows. Para o administrador, a regra básica é manter sempre atualizados os software anti- virus. As atualizações e vacinas necessárias para o Melissa podem ser encontradas em:
Uma alternativa de prevenção é bloquear as mensagens infectadas pelo Melissa. Para ajudar o administrador, são listadas abaixo algumas opções de bloqueio e as correspondentes referencias. Para bloquear o Melissa usando o Sendmail, consulte: http://www.sendmail.com/blockmelissa.html Para bloquear o Melissa usando o Procmail de John Hardin, consulte: ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html Referências CERT Advisory CA-99-04-Melissa-Macro-Virus Melissa Virus FAQ Melissa Help Center / Avert Labs CIAC Bulletins ICSA: International Computer Security Association Virus Lab Microsoft |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
