Caso Especial - O Ataque do Vírus CIH.1003 (Chernobil)

(Veja Características desse Vírus no final deste relatório)

Ontem foi dia 26 de abril. Nessa data estava previsto o ataque de um dos mais destrutivos vírus de computador dos últimos tempos. O Win32/CIH.1003, também conhecido por Spacefiller ou Chernobil, é a variante que só ataca nessa data (as demais variações do vírus atacam em qualquer dia 26). Ela parece ser a mais destruidora, pois parece ser a única que tem como um de seus alvos a tentativa de regravação daa BIOS (nos equipamentos que possuem Flash-BIOS, uma BIOS que permite regravação por software).

Esse vírus foi distribuído originalmente num CD-ROM de capa de magazines inglêses, que também são distribuídos no Brasil (PC-FORMAT e PC-GAME), e a partir daí sua distribuição (disseminação) se fez muito rapidamente. Não necessariamente ele é transmitido apenas pela Internet, através de e-mail com "attachments", já que usando tais CDs contaminados, ou copiando/trocando arquivos em rede local é o bastante para a contaminação ocorrer na outra máquina.

Essa família de vírus foi descoberta no início de junho de 1998, e portanto não pode ser considerada nova. Na verdade é um espanto que tenha causado o estrago que fez no dia de ontem.

Na empresa em que trabalho pelo menos 4 locais, com um total de 18 máquinas, foram atingidos (segundo os contatos que recebi). Entretanto é bastante plausível que mais locais e equipamentos tenham sido atingidos também. Fora da empresa recebi, através deste site - o VÍRUS ALERTA - recebi notícias de mais dois contatos, com 14 máquinas atingidas no total.


Por Que Houve a Contaminação:

Por que então, sendo um vírus amplamente conhecido, esse vírus conseguiu contaminar diversas máquinas e estragar o dia de seus usuários, que tiveram que reformatar e reinstalar o Windows e todos os aplicativos das suas máquinas?

A resposta está na comparação com o que ocorreu nas áreas em que atuo diretamente na empresa: NADA, nenhuma máquina foi contaminada e portanto NENHUM DANO ocorreu.

Por que?

Porque todas as máquinas dessas unidades, num total quase alcança a casa das 70 unidades, estava protegida com um Anti-Vírus atualizado, e mais importante ainda, porque tinham os arquivos de definição de vírus também atualizados. No caso específico foi utilizado o VirusScan, da empresa McAfee, mas o Norton Anti-Vírus, da empresa Symantec, desde que também totalmente atualizado, seria tão eficaz quanto.

O que ocorreu então: as áreas afetadas não tinham ciência (talvez suporte e/ou cuidado) de como evitar o problema de vírus. Na imensa maioria desses casos estavam instaladas versões de anti-vírus desatualizadas, e pior: arquivos de definição de vírus com mais de 1 ano de desatualização já haviam sido encontrados em diversas máquinas anteriormente.

A Solução

É extremamente simples cuidar desse tipo de problema que, infelizmente, veio para ficar. Alertando os usuários de informática das empresas, definindo políticas de padronização, compra e atualização permanente dos produtos Anbti-Vírus.

1. Manter sempre os programas Anti-Vírus atualizados (checar no máximo a cada 4 meses a disponibilidade de um novo upgrade para o produto utilizado);
2. Manter sempre os arquivos de definição de vírus atualizados (checar no máximo a cada mês a disponibilidade de um novo upgdate para o produto utilizado);

O custo é razoavelmente pequeno (em geral entre R$ 70 e 180, com atualizações gratuitas por 1 ano) e com certeza muito menor (em custos diretos: mão-de-obra e encargos dos funcionários que têm de reinstalar todo o conteúdo de uma máquina -um trabalho de no mínimo 3 horas- e indiretos: perda de arquivos importantes, e sem backup, que terão que ser redigitados ou simplesmente abandonados - com as possíveis conseqüências até para a imagem da área afetada), que o de apenas remediar o problema quando ele acontece.

Características Técnicas do Vírus Win32/CIH:

Entre as características desse vírus, quase todas comuns entre toda a família, podemos destacar como as mais importantes:

1- Infecta os arquivos executáveis do Windows 95 e 98;
2- Os arquivos não crescem de tamanho, pois esse vírus usa uma característica dos arquivos PE-executáveis do Windows, e preenche os espaços em branco existente nesses arquivos;
3- O primeiro ataque desse vírus ocorre ao sobrescrever - ou deletar - os dados da parte inicial dos HDs (onde estão gravadas a MBR, o BOOT e as FATs) - a técnica utilizada por esse vírus chama-se de "direct disk-writes calls" (algo como chamadas diretas à escrita em disco) que bypassa a proteção da BIOS contra vírus;
4- O segundo ataque - este o que dará maior prejuízo para o usuário - é a tentativa de gravar no chipset de BIOS do tipo "FLASH-BIOS" que alguns equipamentos tipo Pentium II possuem, e que em geral estão com o jumper, que bloqueia a escrita, liberado;

Veja mais detalhes técnicos dos vírus Win32/CIH.

Eu Acho que Minha Máquina Está Contaminada, Que Faço?

Estando o vírus ativo na memória poderá ser perigoso realizar um escaneamento de toda a máquina, já que o vírus poderá utilizar o trabalho do programa Anti-Vírus para simplesmente se disseminar ainda mais. Assim, na eventualidade de você não ter o programa e arquivos atualizados, e tiver essa suspeita, poderá lançar mão de duas alternativas:

1. Executar o programa Anti-Vírus de outra máquina da rede
   (que tenha-se certeza que não esteja contaminada);
2. Executar um pequeno utilitário, disponibilizado pela Symantec, denominado KILL_CIH, que roda no Prompt do MS-DOS, e que faz uma varredura da memória:
   1. Se ele encontrar o vírus na memória:
      1. Ele remove o vírus da memória, permitindo executar o programa de anti-vírus com tranqüilidade;
   2. Se ele não encontrar o vírus na memória:
      1. Ele imuniza a memória do micro, durante a seção atual da máquina (até o próximo boot);