O ano era 1999. O mês, março. Já falavam muito sobre o bug Y2K, destinavam orçamento para as atualizações de software e computadores, e prepravam refúgios para o fim do mundo. Enquanto isso, para muitos, tudo era como de costume: continuavam indo ao trabalho, pagavam contas, faziam as compras.
Para David L.Smith, no entanto, as coisas não eram tão rotineiras. O norte-americano, até então desconhecido por muitos, estava ocupado com a que seria sua maior e mais infame criação. Eventualmente, por voltar do dia 26, ele iniciou a propagação do vírus Melissa, oficialmente conhecido como W97M/Melissa.A@mm.
Um apetite voraz
Em questão de horas, o macro vírus havia se espalhado por toda parte, infectando a milhares de computadores ao redor do mundo que dependiam da Microsoft Outlook para usar o email, incluindo as máquinas localizados em agências governamentais.
Aryeh Goretsky, investigador da ESET, era diretor do Suporte no Tribal Voice e lembra de ter ficado surpreendido pela velocidade do vírus, que fez com que o serviço de email e a conectividade com a internet da empresa se tornava notavelmente cada vez mais lenta.
“lembro ter entrado ao editor de macros no Word para ler o código e pensar: oh, isso não pode ser bom”, disse Goretsky.
O dano era substancial, o custo significativo (mais de 80 milhões de dólares segundo o FBI). No entanto, poderia ter sido muito pior se o senhor Smith não houvesse sido preso uma semana depois de ter lançado o vírus.
“As capacidades do vírus eram mais incomodas do que catastróficas”, explica Lysa Myers, investigadora de segurança da ESET.
“De todas as formas, para muitas empresas que foram infectadas e sofreram fortes perdas de produtividade, tenho certeza de que sofreram danos em um nível mais que suficiente”, destacou Myers.
Não é como de costume
Lysa Myers estava há poucas semanas em sua nova função no laboratório de análises de vírus quando Melissa “mostrou seu lado negro”. Não se pode negar que a semana seguinte foi extensa e muito difícil.
"Muitas pessoas haviam entrado em contato com o laboratório, pedindo ajuda e com extremo pânico pelos problemas ocasionados por um documento (recebido e aberto) que se espalhou rapidamente por meio dos sistemas de email”, explica Myers.
"Lembro dos investigadores e equipes de suporte pedindo uma amostra dos documentos e, em seguida, vendo-se cheios de respostas dessas poucas pessoas que tinham entrado em contato e mais tarde de outros milhares de pessoas. Foi tudo bem intenso durante os dias seguintes, todos trabalhavam todo o dia para garantir de que quem necessitavam ajuda fossem atendidos", disse Myers.
O polêmico foi que Smith falou, no momento de ser sentenciado, quando se declarou culpado, que não tinha ideia de que o vírus poderia ter esse tipo de impacto e causaria tanto dano. Inclusive que estava destinado a ser nada mais que uma brincadeira inofensiva.
“Quando publiquei o vírus, esperava que qualquer dano financeiro fosse menor e incidental. De fato, inclui funcionalidade destinadas a prevenir dano substancial. Não tinha ideia de que havia consequências tão profundas para outros”, declarou Smith.
Smith foi sentenciado a 20 meses atrás das grades, recebeu multa de 5 mil dólares e a ordem de, após ser solto, não se envolver em trabalhos com redes de computadores, Internet ou anúncios de Internet, a menos que a Corte o autorizasse. Pouco se sabe de seu paradeiro ou atividade que realiza hoje em dia.
Como Melissa chegou tão longe?
O vírus de envio massivo, que recebeu o nome de uma bailarina exótica, conhecida por seu criador (Smith), se espalhou por email contendo um documento de Word anexo. Para infectar computadores, precisava ser baixado por um indivíduo. Em outras palavras, quem recebeu o email tinha que, de alguma forma, ser persuadido para fazer o clique no anexo, o que ocorreu com muitas pessoas.
Smith utilizou técnicas de Engenharia Social para seduzir as vítimas a darem clique no arquivo. Parte desse êxito ocorreu devido as mensagens terem como remetente um familiar, amigo ou colega.
Em otras palavras, parecia ter sido enviado por alguém em quem normalmente você confiaria, além disso, lembre-se: essa era o início da Internet e os vírus não eram conhecidos fora do círculo de especialistas. Em geral, o email utilizado dizia algo como:
- Assunto: Mensagem importante de [nome do contato]
- Corpo da mensagem: Aqui está o documento que você pediu... não mostre a ninguém. ;-)
Melissa, como a maioria dos macros vírus VBA, copiava a si mesmo no modelo padrão do usuário para infectar os documentos, mesmo após fechado. Como era habitual, desabilitava os ajustes de segurança para macros do programa. No entanto, a novidade se instalava na payload principal, que tentava usar Outlook para enviar o documento infectado para até 50 contatos em cada lista que encontrava no sistema da vítima.
O último ponto é importante, já que tinha um papel decisivo na rápida propagação do vírus; significa que o impacto de cada download poderia ser significativo. Pense: um computador infectado tinha o potencial de infectar outras 50 máquinas por cada lista de contatos de cada agenda de endereços que encontrava. Em uma organização que usa Microsoft Exchange, há geralmente dois: a lista pessoal do usuário e a global do Exchange.
Some uma pessoa a mais ao número de infectados e já terá uma boa reação em cadeia. Para mais informações técnicas, leia a análise de Ian Whalley para a edição de maio de 1999 do Vírus Bulletin May: Melissa: The Little Virus That Could…
Um novo milênio, uma nova ameaça
Se algo não está em seu "radar", é provável que você não pense nele. Se algo é de um "nicho" e está fora da sua atividade diária, pessoal e profissional, provavelmente não passará por sua cabeça.
O vírus Melissa foi como uma forma de chamar a atenção. As organizações reconheceram as limitações e souberam que as coisas tinham que mudar.
Essa foi a tarefa, mas podemos questionar quão profundo foi esse aprendizado. Como destaca Lysa Myers, “quantas empresas filtram hoje esses tipos de anexos potencialmente maliciosos? Quantas pessoas tem um backup de emergência em casa? Quantas tem formas de atualizar o software antimalware em caso de que a rede caia?”.
Além de criar consciência sobre as falhas individuais e organizacionais, o vírus Melissa marcou a rapidez com que os vírus e o software malicioso podem propagar-se pela Internet, as técnicas que os cibercriminosos tem a disposição e quão vulneráveis são as pessoas à Engenharia Social. Também alertou sobre o que estava por vir.
“O título de uma artigo de Esther Dyson, Melissa is a marketing tool, resume muito a discussão que vi por esses dias”, disse David Harley, investigador sênior da ESET.
Melissa pode ter aparecido ao final do século anterior, mas sem dúvidas foi um presságio de muito do que ocorreu no século XXI. O cibercrime é uma das maiores ameaças de hoje e uma das mais complexas, pois seu impacto não será facilmente esquecido.
Autor: Editor
Adaptação: Francisco de Assis Camurça, da ESET
