Malware dos anos 2000: LoveLetter e o worm Conficker

Malware dos anos 2000: LoveLetter e o worm Conficker

Continuamos com nossa série sobre os malwares que marcaram história e chegamos aos anos 2000. Desta vez, destacamos duas ameaças que estão entre as mais populares dessa década: Loveletter e Conficker.

Continuamos com nossa série sobre os malwares que marcaram história e chegamos aos anos 2000. Desta vez, destacamos duas ameaças que estão entre as mais populares dessa década: Loveletter e Conficker.

Continuamos com nossa série sobre os malwares que marcaram história e desta vez chegamos à década de 2000. Naquela época, duas ameaças que ganharam destaque foram LoveLetter (2000) e o worm Conficker (2008). Neste post, analisamos essas ameaças e o impacto provocado por esses malwares.

LoveLetter

Em 5 de maio de 2000, um e-mail que no assunto dizia “Eu te amo” começou a chegar na caixa de entrada de muitos usuários, e o corpo da mensagem continha a seguinte frase: “Abra a carta de amor que lhe enviei” . O e-mail também continha um anexo chamado Love-Letter-For-You.TXT.VBS. Infelizmente, muitos usuários caíram nessa fraude que fazia uso de engenharia social e foram infectados pelo worm LoveLetter, também conhecido como VBS/LoveLetter, Love Bug ou ILOVEYOU.

Esse worm escrito em VBScript foi desenvolvido nas Filipinas por dois jovens estudantes de ciência da computação. São eles: Reonel Ramones e Onel de Guzman. Parte do sucesso do LoveLetter é que a mensagem que continha o malware parecia ter sido enviada por um contato conhecido da vítima, já que o worm tinha a capacidade de entrar no catálogo de endereços do usuário e enviar cópias de si mesmo para seus contatos. Segundo o Exército dos Estados Unidos, LoveLetter se propagou 15 vezes mais rápido que Melissa.

Quais prejuízos foram causados pelo LoveLetter? Bastava um duplo clique no anexo para que a ameaça fosse ativada e substituísse arquivos no sistema com cópias de si mesmo para fazer alterações no registro do Windows. Por outro lado, as notícias da época afirmam que o LoveLetter infectou aproximadamente 55 milhões de computadores de diferentes partes do mundo e que os prejuízos causados foram avaliados em aproximadamente dez mil milhões de dólares.

Em entrevista ao NY Times, Onel de Guzman disse que se tornou suspeito devido a uma proposta de tese que enviou ao instituto onde estudava, na qual propôs um método para roubar senhas e assim obter acesso gratuito à Internet. Sua proposta foi rejeitada e, como explicado na entrevista, Guzman não só disse a seus professores que eles tinham uma mente fechada, mas que segundo Guzman “não queriam acreditar que ele havia criado um programa que expunha a existência de uma brecha no sistema operacional”.

Embora, tanto Ramones como Guzmán tenham sido presos, nenhum deles foi condenado, dado que naquela época a lei nas Filipinas não contemplava cibercrimes.

Conficker

Em 23 de outubro de 2008, a Microsoft publicou o lançamento de um patch que reparava uma vulnerabilidade crítica (MS08-067) no serviço Server, que, de acordo com os termos usados ​​no comunicado, poderia permitir que um invasor executasse remotamente um código malicioso. Dessa forma, a empresa orientou que os usuários atualizassem seus sistemas operacionais imediatamente.

O fato de que este lançamento ocorreu fora do ciclo usual de atualizações que a Microsoft faz a cada segunda terça-feira de cada mês (Patch Tuesday), mostrou que era algo importante. E no mesmo dia em que o patch foi lançado, o primeiro código malicioso que explorou a vulnerabilidade anunciada pela Microsoft foi detectado e roubou nomes de usuários e senhas do MSN Messenger, Outlook Express e Internet Explorer, bem como cookies armazenados no sistema, mas isso não alcançou altas taxas de infecção nem mesmo durou muito tempo. Esse código foi detectado por produtos da ESET como Win32/Gimmiv.

Menos de um mês depois, em 21 de novembro de 2008, o worm chamado Conficker apareceu e gerou um grande alvoroço em todo o mundo, comprometendo computadores em residências, empresas e agências governamentais que usavam o Windows em 190 países.

Após a ameaça ser analisada, os especialistas em segurança perceberam que estavam lidando com um código malicioso desenvolvido por profissionais que apresentavam rotinas de propagação e atualização que não haviam sido vistas até o momento. E quase um mês depois, em 29 de dezembro, foi detectada uma nova variante do Conficker que não só incorporava melhorias para evitar a desinfecção, mas também podia se propagar através de dispositivos USB e pastas compartilhadas com senhas fracas, e tinha a capacidade de infectar computadores que haviam instalado o patch de segurança que a Microsoft havia lançado em outubro do mesmo ano.

Com o passar do tempo e as variantes que estavam surgindo, tornou-se a família de malware mais difundida. Mesmo oito anos após seu aparecimento, ainda era um das mais difundidas no mundo. Até dois anos atrás, esse surto de malware havia infectado cerca de 11 milhões de dispositivos, incluindo máquinas do Ministério da Defesa do Reino Unido e da Bundeswehr (Forças Armadas Unificadas da Alemanha).

As consequências econômicas do Conficker foram enormes. Ao município da cidade de Manchester, no Reino Unido, custou 1,5 milhão de libras para se recuperar dos prejuízos causados ​​por essa ameaça.

A situação criada pelo Conficker fez com que o Departamento de Segurança Interna dos Estados Unidos financiasse a criação de uma equipe de trabalho chamada “The Conficker Working Group”, na qual membros da ESET, CISCO, Facebook, Microsoft, entre outras empresas, participaram com o objetivo de investigar seu impacto a longo prazo.

De fato, o grupo publicou um documento no qual eles expressaram sua preocupação ao considerarem que, “devidamente instruído, o worm poderia ser uma ameaça real à infraestrutura crítica da Internet”.

E apesar de todos os prejuízos causados ​​e seu impacto, não foi possível identificar os responsáveis ​​por trás do Conficker. Parece que o worm abandonou suas atividades no final de 2009, embora ainda continue sendo um mistério.

De acordo com o especialista da ESET, Aryeh Goretsky, a ameaça atraiu a atenção de muitos profissionais da área e fez com que toda a indústria de segurança estivesse atenta aos seus passos. Essa reação também fez com que fosse muito mais difícil para os cibercriminosos utilizar a ameaça para obter qualquer tipo de lucro econômico.

Na próxima segunda-feira será o último artigo desta série sobre os malwares que marcaram história, em que vamos rever o que, na nossa opinião, são as duas ameaças mais importantes da década de 2010.

Leia também:

Discussão