Capa » Notícias

Novo vírus ataca MSN Messenger

Quinta, 14 de fevereiro de 2002, 16h17
Se você usa o MSN Messenger, programa de mensagens instantâneas da Microsoft, e receber uma mensagem em inglês sugerindo que visite uma página Web, cuidado: você pode estar sendo alvo de um novo vírus. Reportado inicialmente ontem, dia 13, em listas de discussão sobre segurança, o vírus atingiu vários usuários do programa, a ponto de gerar alertas das principais empresas antivírus.

Batizado com nomes como Coolnow, Menger, JS.Menger, JS/Coolnow, JS/Exploit-Messenger e outros, o vírus não causa maiores estragos na máquina, além de enviar a mesma mensagem para toda a lista de contatos do usuário do MSN Messenger atingido. Veja um exemplo da mensagem, abaixo:

A importância do JS/Coolnow é que ele é uma prova de que uma falha recentemente descoberta pode ser explorada de forma eficiente. A falha foi revelada no dia 9 de fevereiro por dois pesquisadores — Tom Gilder e Thor Larholm. O bug atinge o MSN Messenger, mas, na verdade, é um problema do Internet Explorer (IE) descoberto no final do ano passado e deixado sem correção por quase dois meses.

No dia 19 de dezembro, o pesquisador que usa o apelido "The Pull" mostrou que é possível fazer com que um site malicioso use certos privilégios para executar ações em um computador que utilize uma versão vulnerável do IE (na época, praticamente todas as versões do navegador eram vulneráveis). Tais ações incluem a possibilidade de roubar cookies, executar scripts para apagar informações, enviar arquivos locais para o servidor do atacante, fazer um site malicioso simular o conteúdo de um site confiável, entre outras.

A partir dessas informações, Gilder e Larholm demonstraram que é possível a um atacante "seqüestrar" toda a lista de contatos do MSN Messenger apenas fazendo com que o usuário visite uma página preparada para tal. De posse da lista, o atacante poderá enviar mensagens ou arquivos para os outros usuários, fazendo-se passar pelo usuário legítimo.

E é este o mecanismo usado pelo vírus: induzir alguém a visitar uma página especialmente preparada com códigos JavaScript, capazes de acessar toda a lista de contatos do MSN Messenger. O vírus então envia o link da página para toda a lista, dando continuidade ao processo.

Como se vê, o JS/Coolnow pode gerar no máximo um congestionamento dos servidores. Mas é muito provável que, demonstrada sua eficiência, em breve surgirão outros vírus para o MSN Messenger com uma carga mais perigosa ou mesmo destrutiva.

Já foram reportadas várias páginas contendo o código do vírus, entre elas https://www.masenko-media.net/cool.html e https://users.skynet.be/dark.angel/cool.htm. As páginas já foram retiradas do ar por pressão das empresas antivírus. Há relatos de outras, hospedadas em servidores gratuitos, como Geocites, por exemplo. Obviamente, elas devem ser evitadas pelos usuários do MSN Messenger.

Vários programas antivírus já detectam o JS/Coolnow e devem ser atualizados. Uma medida ainda mais eficaz é aplicar o pacote de correções para o IE lançado pela Microsoft no início desta semana. Apesar de terem sido reportadas certas falhas nas correções, a vulnerabilidade que atinge o MSN Messenger aparentemente foi resolvida. As correções podem ser encontradas aqui. Tom Gilder e Thor Larholm também desenvolveram um teste com o qual um usuário poderá saber se seu MSN Messenger está vulnerável ou não à falha. Para acessar o teste, clique aqui.

Leia também Correções de bugs do IE contêm falhas PC World: Microsoft libera pacote de correções para o IE

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.