As empresas produtoras de software antivírus emitiram já vários alertas para uma nova vaga de vírus que está a ameaçar a segurança das redes informáticas e a causar problemas de lentidão na Internet. Nos dois primeiros dias desta semana foram identificadas quatro novas ameaças que se juntam ao Blaster, descoberto no dia 11 de Agosto, o que garantiu já a classificação pela F-Secure da "pior semana de vírus".

Diversas empresas e universidades foram afectadas pelo ataque do Nachi (também conhecido por Welchi) no dia 18 de Agosto (segunda-feira), seguindo-se o Sobig.F, o Lovsan.D e o Dumaru, descoberto ontem.

Estes vírus exploram falhas recentemente identificadas em sistemas Windows e estão a alastrar rapidamente em sistemas nos quais não tenham sido aplicados os códigos de correcção (patches). Ao contrário do que seria de esperar num período normalmente mais calmo devido a férias de Verão, as incidências e relatórios de computadores infectados são elevados.

Mikko Hyppönen, director de Anti-Virus Research da F-Secure Corporation, afirmou em comunicado que esta vaga de ataques recorda os problemas com vírus no final de 2001, ano que será recordado como o pior na história da luta contra estas ameaças informáticas. O director de pesquisa antivírus da F-Secure garante que esta nova vaga de vírus é grave já que numa semana se assistiu a vários casos de vírus perigosos que usam novas técnicas para infectar os computadores.

Apesar da quebra de registos de infecção com o worm Blaster, igualmente conhecido por Lovsan, o vírus que explora as falhas de segurança no Windows 2000 e Windows XP de uma forma invisível para o utilizador continua a gerar preocupação. O Blaster foi responsável por centenas de milhares de infecções em computadores e tem agora três novas variantes, tendo sido a última descoberta ontem, o Lovsan.D.

Já na segunda feira, dia 18 de Agosto, as empresas de software antivírus alertaram os utilizadores para um novo worm designado por Nachi, mas também conhecido por Welchi ou MSBlast.D. Usa a mesma falha que o Blaster para infectar os computadores, para além de comprometer servidores web que utilizam o Microsoft IIS 5.0 através de uma vulnerabilidade descoberta em Março de 2003.

Este worm, que já foi apelidado de "bom vírus", é considerado pela F-Secure como mais avançado do que o Blaster, já que detecta se os sistemas foram infectados por este vírus e remove essa infecção, aplicando ainda o patch da Microsoft para a vulnerabilidade no RPC. O Nachi não utiliza o correio electrónico para se disseminar, mas procura endereços remotos através de pesquisa de endereços de rede TCP/IP. Segundo os especialistas, está programado para se desactivar a partir de 1 de Janeiro de 2004, data a partir da qual se desinstala dos sistemas.

Um dos efeitos laterais do Nachi está relacionado com o facto de gerar um enorme crescimento no tráfico de rede, podendo provocar problemas em alguns routers e switches, para além de lentidão nas comunicações e acesso à Internet. A Lockheed Martin e a Air Canada foram duas das empresas que viram repentinamente a sua rede inundada de dados devido ao ataque deste worm, apesar da percentagem de computadores infectados ser muito baixa, segundo noticiou a C|net.

Ao contrário do Nachi, o Sobig.F usa o email para infectar novos computadores, tal como as anteriores versões do mesmo worm já faziam. Esta é a quinta variante do vírus de mass mailing descoberta, e apesar de ter existido um intervalo inusitado entre a data de expiração da variante Sobig.E - que "morreu" no dia 14 de Julho - e a nova versão, o mesmo tipo de comportamento mantém-se.

O Sobig.F foi descoberto ontem - dia 19 de Agosto - mas as empresas de software antivírus avisam que é esperado um elevado número de infecções, já que todas as anteriores versões desta família de vírus se disseminaram muito rapidamente. Só nas primeiras horas do ataque a MessageLabs bloqueou mais de 100 mil mensagens que estavam infectadas e a Panda Software reportou já ter detectado centenas de milhares de infecções.

Para além destes dois worms, foi identificada uma variante do Blaster (ou Lovsan), denominada Lovsan.D, que modifica o nome do ficheiro anexado nas mensagens para mspatch.exe, tentando explorar a confiança dos utilizadores. Também um outro vírus ontem descoberto, o Dumaru, utiliza técnicas de engenharia social para se disseminar, sendo enviado de um endereço camuflado com o nome de support@microsoft.com, alegadamente contendo o código de correcção para o Blaster através do anexo PATCH.EXE.

Notícias Relacionadas:

2003-08-14 - Blaster atacou 250 mil computadores e pode voltar a fazer estragos no próximo sábado

2003-08-12 - Worm Blaster pode manter-se activo até 2004