Depois de ontem ter emitido um alerta dando conta de que o worm Blaster já tinha entrado na net nacional, afectando sobretudo utilizadores domésticos e pequenas empresas sem sistemas de antivírus ou firewalls, a MarketWare, empresa que monitoriza a internet em Portugal, levou a cabo uma análise mais aprofundada do worm Blaster e concluiu que embora os estragos provocados devam ficar aquém dos registados pelo SQL Slammer (detectado em Janeiro último) "é bastante provável que este se mantenha activo por bastante tempo", disse ao Tek Victor Ruivo, administrador da empresa.



"O Blaster ataca sobretudo utilizadores domésticos e pequenas empresas que normalmente não têm cuidados com as actualizações de segurança dos seus sistemas operativos o que acabará por fazer com que o worm se mantenha activo durante um longo período", explica o responsável.



O Blaster ou Lovesan, como também é conhecido - e que se estima tenha já chegado a milhares de computadores de utilizadores domésticos nacionais - ataca vulnerabilidades recentemente detectadas em praticamente todas as versões do Microsoft Windows, reconhecidas e reparadas pela Microsoft no passado dia 16 de Julho.



"O worm ataca o porto TCP 135 das máquinas vulneráveis, instalando de seguida um servidor TFTP que descarrega o resto do código a partir de um computador vulnerável", acrescenta a mesma fonte. A partir daí procura outras máquinas próximas que possam estar vulneráveis, para as atacar de seguida.



Quando instalado num computador o Blaster esgota os recursos da máquina provocando o reboot do sistema operativo. Nesta altura a acção do worm é interrompida para ser novamente activada quando o utilizador liga a máquina. Caso existisse um grande número de empresas afectadas, o resultado poderia ser a paragem da internet.



No entanto, os dados disponíveis revelam que um cenário deste tipo é pouco provável. Durante a noite de ontem a MarketWare verificou um aumento de tráfego da ordem dos 10 por cento em consequência desta situação, para uma margem média dos ISP (Internet Service Providers) da ordem dos 30 por cento", explica Victor Ruivo.




Tanto quanto é possível apurar os danos causados nos sistemas parecem ser mínimos, mas não está posta de parte a possibilidade do worm poder progredir dentro de redes empresariais, causando prejuízos sérios.



Em Portugal, onde o primeiro caso foi detectado ontem cerca das 19 horas e trinta minutos, são escassos os registos de redes empresariais afectadas, diz Vítor Ruivo e têm sobretudo a ver com Pcs que se ligam directamente à rede, ou portáteis contaminados ontem e que ligados às redes das empresas contaminam os restantes computadores.



A empresa tem a seu cargo a monitorização do Índice KPBI30 de desempenho e disponibilidade - onde se incluem os 30 maiores sites nacionais - e não detectou qualquer problema de segurança de maior, já que "para estas empresas as portas NetBios são normalmente motivo de preocupação e protecção", diz o responsável.



A prolongar-se durante mais alguns meses como prevê a MarketWare, o Blaster - que a empresa compara ao Code Red responsável pela contaminação de 200 mil máquinas - pode mesmo assim provocar alguns problemas de tráfego.




O worm Blaster apresenta-se com o texto "billy gates why do you make this possible? Stop making money and fix your software!!". Para ser removido existem três formas: instalando um antivírus, um firewall ou a protecção da Microsoft.



A Marketware recomenda a instalação desta última protecção, e aconselha todos os utilizadores que se ligam à net a instalarem um firewall pessoal (que pode ser descarregado na maior parte dos casos de forma gratuita) para se protegerem deste e outros tipos de ataques.



O Blaster surge depois de vários rumores de um ataque deste tipo para o qual alertaram diversas entidades como o Departamento de Segurança da Casa Branca e o FBI. Nos últimos dias foram mesmo descobertos alguns vírus semelhantes ao Blaster, o que leva os especialistas a concluírem que esta pode ser uma versão aperfeiçoada dos vírus identificados na passada semana.


O último comunicado divulgado pela Symantec, o maior fabricante de sistemas de detecção de vírus a nível mundial, apontava para um total de 57 mil computadores afectados, ao início da tarde.



Entretanto, a TeliaSonera admitiu que cerca de 20 mil clientes seus já foram afectados. Na Ásia e na Austrália foram também já registados os primeiros casos, nomeadamente na Coreia do Sul onde o governo admitiu já estarem identificados 1,900 casos. Espera-se que durante as próximas horas o número de máquinas afectadas nos Estados Unidos também aumente, referem várias consultoras citadas na imprensa internacional.

Notícias Relacionadas:

31-07-2003 - Autoridades norte-americanas alertam para possibilidade de novo ataque hacker



2003-07-24 - Microsoft alerta para falha crítica no Windows que envolve o DirectX