Domingão, eu e a Luiza em casa sozinhos e eu tive algum tempinho para me dedicar a leitura de minhas caixas postais enquanto ela brincava um pouco com as revistas de desenhar
que comprei para ela.
Com isto, da-lhe olhar emails e mais emails
. No meio deles, dei de cara com este aqui, que, lógico, é um Phishing Scam de marca maior.
O grande porém deste golpe aqui, ao contrário de todos os outros que eu peguei, é que visivelmente ele foi montado dentro da estrutura de uma empresa idônea.
Quando se clica no link do email, você é enviado para o servidor de uma empresa atacadista do interior de Santa Catarina ( que não vou citar o nome da empresa, por não vir ao caso e ainda, poder me causar problemas no futuro ), que possivelmente não tem nem idéia de que seus servidores estão sendo utilizados para este fim.
Se você clica no link vai baixar um arquivo altamente nocivo que pode causar problemas a seu computador ou servidor ( sim, muitos doidos tem o péssimo hábito de navegar de servidores da empresa ).
O arquivo em questão é o Virus.Win32.Parite.b que é um Worm ( apesar de ser difícil hoje definir um Malware somente como alguma coisa ) que tem a intenção de causar um tipo de DOS no seu computador.
Porque um DOS ? Porque este amiguinho infecta os arquivos do seu Sistema Operacional, inclusive aqueles que fazem o mesmo funcionar. Ou seja, se seu anti-vírus não for inteligente o bastante para lhe avisar que o arquivo é necessário para o funcionamento do seu computador, diga adeus a tudo.
Os sintomas pós infecção são de cara uma sensível diminuição de espaço no seu Disco Rígido ( o que, por incrível que pareça só vai ser notado pelo usuário quando não conseguir gravar algum arquivo em disco ).
A taxonomia do vírus é a seguinte. Ele contém duas partes : uma é um pequeno código em Asssembler, que quando é anexada aos arquivos, que descompacta a principal parte do vírus. Esta parte é um vírus PE ( Portable Executable ) que é escrito em Borland C++ ( tamanho de mais ou menos 180 K) e grava um arquivo nos temporários de seu sistema operacional ( isto vai depender da sua versão/configuração do Windão ).
Ele infecta essencialmente arquivo executáveis ( exe ) e os arquivos scr. Como estes arquivos são executados a todo momento, é lógico que o vírus a todo momento é descompactado e gera mais e mais cópias de si mesmo.
Aqui entra o conceito Worm da criança. Ele consegue se copiar para unidades de rede e assim, vai se propagando de máquina em máquina, até chegar a uma pane generalizada em sua rede ( pense isto executado em um servidor ).
A idéia dele, pelo que notei, é infectar e causar pane. Como ele não se espalha por email, vai ser difícil um usuário comum notar que foi infectado.
Ou seja, por aí você tem noção do estrago que este arquivo pode causar, principalmente porque a taxonomia ainda é inteligente até neste ponto. Como alguns filtros de conteúdo trabalham com listas de sites confiáveis, já viu.
Sou fornecedor e/ou comprador da empresa, tenho ela em meu filtro de urls confiáveis, baixo o arquivo e, diga adeus a minha estrutura.
O grande porém neste caso é : de quem é a responsabilidade ? Na minha visão é de quem hospeda o "executável". Imagine-se do outro lado. Sou um usuário comum, simplesmente pego o arquivo e abro porque o site me é conhecido.
Resumo, tenho prejuízos e quem é o primeiro que eu lembro. O dono da URL/site que eu visitei.
Legalmente irei contra ele. E ele, caso queira, irá contra quem o hospeda ou até, quem o invadiu.
Assim, sempre aconselho a quem me procura pensando em montar uma estrutura web, a procurar empresas idôneas e competentes na área de manutenção de seus servidores.
Caramba, um simples find pode listar ao Administrador de um servidor Linux onde estão estes arquivos scr, exe, e mandar um mail diariamente para o mesmo.
Ou seja, muita vezes é total desconhecimento de boas práticas de administração que levam estes casos, como o citado neste post.
Quando a empresa, já notifiquei, o desenvolvedor e quem hospeda. No momento da escrita deste post, ainda estava on line a estrutura que fornece o download do worm citado acima ....
Bom, estas práticas para não deixar disseminar este tipo de praga no disco rígido de um Unix eu coloco aqui em breve :-)