Quem utiliza um computador com Windows deve tomar cuidado com mensagens que chegarem por e-mail, especialmente se utilizam os programas de correio eletrônico Outlook ou Outlook Express. Estão aumentando os casos de computadores atacados por uma variante do vírus e worm Klez, chamado por algumas empresas de Klez.G e por outras de Klez.H. De maneira similar ao Nimda, o worm se aproveita de bugs presentes no Internet Explorer e no Outlook para se espalhar. Os sistemas afetados são o Windows 95, 98, Me, 2000 e XP – apenas no Windows NT o Klez não consegue se instalar.
Ele costuma chegar anexo a mensagens de e-mail, e, devido a falhas do Outlook, o símbolo que indica a presença de um arquivo anexado não aparece na janela básica do programa. Se o computador não recebeu a atualização de segurança de 19 de março de 2001, o arquivo anexado é executado automaticamente quando a mensagem é aberta, instalando o worm no computador. Caso o painel de visualização esteja habilitado, o Klez.G se instala simplesmente ao se marcar a mensagem. Se outro programa de e-mail estiver sendo utilizado ou se a atualização de segurança do Outlook tiver sido instalada, o vírus depende da interação humana para atacar o computador: nesse caso, o worm se instala apenas se o arquivo anexado for aberto.
Quando se instala em um computador, o Klez.G tenta se copia para unidades da rede local mapeadas e envia cópias do arquivo viral através de e-mail. Ele ainda desabilita diversos programas de e-mail. como Norton, McAfee e PC-Cilin. O worm ainda libera o vírus Elkern, que, segundo a Symantec, se injeta em arquivos executáveis presentes no diretório c:\windows\system e apaga o disco rígido nos dias 13 de março e 13 de setembro. De acordo com análise da Kapersky Labs, o Elkern infecta todos os processos ativos que não têm “/explorer” em seu nome.
Retirar o vírus de um computador é um processo difícil e demorado, já que ele impede que programas anti-vírus sejam rodados. Para realizar essa tarefa, é preciso baixar manualmente atualizações do anti-vírus, reiniciar o computador em modo de segurança, editar o registro e apagar manualmente arquivos criados pelo worm (os detalhes desse procedimento estão no site da Symantec). Como os arquivos infectados pelo vírus Elkern podem ficar corrompidos após o código viral ser retirado, o sistema pode se tornar instável. De qualquer modo, o procedimento mais simples e garantido para remover o vírus de um sistema é formatar o disco rígido e restaurar arquivos e softwares a partir de cópias de back-up.
Os procedimentos para proteger um computador do Klez é o mesmo que deve ser seguido para prevenir qualquer ataque de sofware malicioso: não abrir arquivos suspeitos (considere qualquer arquivo .exe, .bat, .pif, ou .com suspeito, especialmente se chegar por e-mail), instalar atualizações de segurança publicadas pelos desenvolvedores de software usados no computador e manter um anti-vírus atualizado. Quem utiliza sistema operacional Windows 98 ou superior pode visitar o site www.windowsupdate.com no Internet Explorer, escolher a opção “atualização de software” e baixar todas as atualizações críticas marcadas. Aqueles que usam o Internet Explorer 5 ou 5.5 devem ao menos baixar a correção para o bug mais usado por vírus, no site da Microsoft.
Bruno Lopes
