Mensagens de e-mail contaminadas com o vírus SirCam foram enviadas ontem de um endereço com o domínio fbi.gov para várias pessoas ligadas à segurança de computadores. As mensagens partiram de um agente especial do National Infrastructure Protection Center (NIPC), braço do FBI para proteção de infra-estrutura dos EUA.
Os e-mails continham documentos do NIPC infectados com o vírus. Esta é a ação comum do SirCam, que rouba arquivos da vítima e os envia junto com seu código. Entre os que receberam as mensagens estão os responsáveis pelo site Safemode, especializado em registrar desfigurações de páginas Web produzidas por grupos hackers.
Segundo o site de notícias de tecnologia Newsbytes, que teve acesso a uma das mensagens, um dos arquivos anexados trazia o texto “Para uso oficial” e continha uma análise do vírus Leave, surgido recentemente. Outro anexo era um documento do Word com discussões sobre métodos de prevenção de ataques de negação de serviço (DoS).
Um porta-voz do NIPC confirmou o incidente e disse que o órgão iria publicar, até o final do dia, uma nota oficial esclarecendo o assunto. Até o momento da publicação desta notícia, o site do órgão não trazia nenhuma referência ao caso.
O NIPC foi estabelecido em 1998 e é conhecido por suas investigações sobre ameaças aos sistemas críticos dos EUA, principalmente as que têm relação com a Internet. Suas ações abrangem os sistemas de telecomunicações, energia, abastecimento hidráulico, bancos, finanças, operações do governo e serviços de emergência.
Algumas pessoas acharam estranho que o e-mail do Safemode fizesse parte do catálogo de endereços de um agente do NIPC. O site SecurityNewsPortal chegou a comentar que o fato por si só já valia uma reportagem. Mas isso não é tão estranho.
É sabido que o FBI está "de olho" em sites de espelhos de invasões e às vezes troca informações com seus responsáveis — quando não os ameaça. Além disso, para se enviar a outros usuários, o SirCam utiliza, entre outros, os endereços que constam em páginas que o internauta visitou e que ficam guardadas nas pastas de arquivos temporários do Windows. Basta que o agente tenha visitado o Safemode recentemente para explicar o e-mail do site guardado em seu computador.
Mais estranho é a infecção propriamente. Alguns especialistas em vírus acreditam que ela pode ter ocorrido acidentalmente, enquanto o código do vírus estava sendo analisado.
O SirCam foi descoberto na semana passada e tem se espalhado com muita rapidez pelo mundo. De acordo com a empresa antivírus russa Kaspersky, o vírus já ocupa o primeiro lugar no ranking de todas as pragas que mais se espalharam pelo mundo.
A Kaspersky afirma que recebeu dezenas de milhares de mensagens infectadas vindas de vários países do mundo, incluindo França, EUA, Argentina, China, Índia, Turquia, Reino Unido, Espanha, Rússia, Canadá e vários outros. A empresa lançou uma ferramenta de remoção da praga que inclui uma limpeza do registro do Windows. O programa pode ser usado por qualquer usuário — não apenas pelos clientes da empresa — e pode ser baixado gratuitamente aqui.