Universo Online
Web Sites Pessoais

 

Perigos na Internet

 

Os Cavalos de Tróia Digitais

Você conhece aquela história sobre o presente de grego (literalmente), um belo cavalo de madeira, que escondia centenas de soldados prontos para acabar com a paz dos troianos, certo?

Na era da informática não mudou muito, a não ser pelo fato de que os cavalos de madeira são feitos agora de bytes. Os chamados "programas Cavalo-de-Tróia" são, aparentemente, programas comuns, muitas vezes conhecidos, algumas vezes novos, mas que sempre fazem algo mais do que anunciam.

Seja capturar senhas, causar estragos ou tirar proveito do usuário de alguma forma não documentada. Tá complicado? Imagina o seguinte: toda vez que você se conecta ao seu provedor, ele executa um programa chamado "login", que lhe pergunta seu nome e sua senha. Imagina se alguém faz um programa muito parecido com o "login" mas que, ao invés de lhe conectar no provedor, ele faz uma cópia da sua senha em um arquivo escondido, onde apenas o autor do programa alterado sabe o local. Em alguns dias ele resgata este arquivo e terá nas mãos a senha de quase todos os usuários do seu provedor.

Algumas pessoas têm confundido Cavalos de Tróia com Backdoors. Os conceitos são parecidos, mas existem diferenças fundamentais. Por exemplo: o Back Orifice e o NetBus são Cavalos de Tróia, pois não possuem nenhuma finalidade prática para a vítima. Já o ICKiller, que derruba usuários do ICQ possui uma backdoor, pois há uma porta dos fundos que permite certas invasões.

 

Alguns exemplos de ataques

Nukes e Denial of Services são táticas que exploram falhas lógicas em programas e protocolos de comunicação (algumas vezes conceituais) que, na maioria das vezes, causam problemas ao seu funcionamento. A lista abaixo contém os mais famosos nukes da Internet em especial os encontrados no ambiente Windows.

SMB
Família: Server Message Block (SMB)
Vítima(s): Windows NT
Efeito: Sistema trava ou reinicializa
 
Bonk
Família: Boink, Newtear, Teardrop 2
Vítima(s): Windows 95, Windows NT
Efeito: Tela azul de erro; travamento
 
Land
Vítima(s): Windows 95, NT, 3.11, outros
Efeito: Travamento total
 
TearDrop
Família: Tear, TCP/IP fragment bug
Vítima(s): Windows 95, NT, 3.11
Efeito: Reboot; travamento
 
Click
Família: ICMP Nuke, ICMP Unreachable
Vítima(s): Conexões IRC
Efeito: Conection reset by peer
Mais sobre: Ver abaixo *
 
SSPing
Família: Jolt, Sping, Ping of Death
Vítima(s): Windows 95, NT e outros
Efeito: Travamento
 
WinNuke
Família: OOB (Out of Band) Bug
Vítima(s): Windows 95, NT, 3.11
Efeito: Tela azul de erro; Travamento
 
ICMP Flood
Família: Ping Flood
Vítima(s): Qualquer conexão
Efeito: Sobrecarga; desconexão
Mais sobre: Ver abaixo **
 
Smurf
Vítima(s): Provedores e Servidores
Efeito: Sobrecarga no sistema inteiro; desconexão em massa; lentidão

* - Possível escapada para o Click:

Digite /motd e veja quais as portas do servidor. Não utilize as portas mais comuns (6667, p.ex.) Experimente com outros servidores da rede. Os que possuem filtros aliviarão o problema.

** - Os problemas do ICMP Flood:

Não existe solução no momento para este problema, pois este ataque explora a baixa capacidade dos nossos modens. Somente um firewall instalado no seu provedor poderá impedir este ataque. (firewalls pessoais não protegerão você)

 

Bug no mIRC 5.41 - Travamento do Cliente

O mirc 5.41 tem um bug, o qual estudei com detalhes, e cheguei a seguinte conclusão:

O mIRC 5.41, quando recebe um ctcp de "DCC ACCEPT" ou "DCC SEND" abre um "compartimento" (este não é o nome ideal, mas acho que dá para entender) dentro do mIRC. Se alguéem mandar um ctcp de "DCC RESUME" com somente 3 parâmetros, e se este "compartimento" do mIRC estiver aberto, o mIRC trava na hora, necessitando que se reinicie o programa.

Exemplo:

Eu recebo via ctcp: "DCC ACCEPT filename port position" - ou eu recebo via ctcp: "DCC SEND filename ipaddress port filesize" - o compartimento se abre, então se alguem me mandar: "DCC RESUME ?????" o mIRC trava na hora!. Há muitos indícios que este erro foi feito propositalmente... mas não posso comprovar nada.

Os comandos de ataque seriam assim:

O mirc 5.41 tem um bug, o qual estudei com detalhes, e cheguei a seguinte conclusão:
O mIRC 5.41, quando recebe um ctcp de "DCC ACCEPT" ou "DCC SEND" abre um "compartimento" (este não é o nome ideal, mas acho que dá para entender) dentro do mIRC. Se alguéem mandar um ctcp de "DCC RESUME" com somente 3 parâmetros, e se este "compartimento" do mIRC estiver aberto, o mIRC trava na hora, necessitando que se reinicie o programa.

Exemplo:

Eu recebo via ctcp: "DCC ACCEPT filename port position" - ou eu recebo via ctcp: "DCC SEND filename ipaddress port filesize" - o compartimento se abre, então se alguem me mandar: "DCC RESUME ?????" o mIRC trava na hora!. Há muitos indícios que este erro foi feito propositalmente... mas não posso comprovar nada.

Os comandos de ataque seriam assim:
//raw privmsg Darkman : $+ $chr(1) $+ DCC ACCEPT 1 1 1 $+ $chr(1)
//raw privmsg Darkman : $+ $chr(1) $+ DCC RESUME 1 $+ $chr(1)

Para se proteger disso é so colocar no "remote" algumas linhas...

ctcp 1:*: {
echo CTCP: < $+ $nick $+ > $parms
if ($parm1-2 == DCC RESUME) && ($parm4 == $null) {
window @Ctcp_Bug 100 60 480 250 Times New Roman,12
titlebar @Ctcp_Bug - Ip: $mask($address($nick,1),2)
echo @Ctcp_Bug 10Um ctcp que trava seu mirc foi mandado para vc.
echo @Ctcp_Bug 10Nick: $nick $+ ! $+ $address
halt
}
}

Claro que estas linhas devem ser adaptadas para cada script...

Quero acrescentar que este bug não está difundido na Internet (ainda.. claro), e em pouco tempo isso vai estar bem conhecido.
Ha algum tempo baixei um programinha da internet que parece ter certa eficiencia contra alguns trojans. Chama-se Higienic Paper 3.0. Vale a pena dar uma olhada. Para fazer o download, clique aqui.
Qualquer duvida, favor me enviar um email irchp@bol.com.br, ou para o proprio autor: darkman@omninet.com.br.

 

Se Livrando dos Virus de IRC

Todos os dias milhares de pessoas se comunicam via chat, e um destes meios de comunição virtual é o chamado IRC (Internet Relay Chat).

Os programas elaborados para tal meio de conversa virtual são, respectivamente em ordem de uso, o Mirc e o Pirch; propragamas estes distribuídos gratuitamente pela Internet.

Bem, como nem tudo na internet é seguro, o IRC não poderia ficar de fora e ser uma exceção. Pelo contrário, ele está muito longe disso e muitos ususarios de IRC (principalmente iniciantes) estão sujeitos a "contaminações" por vírus criados especialmente para serem distribuídos via IRC.

Destacaria nesse primeiro editorial os temíveis "Script.ini" e "dsmtp.exe". Esses vírus são enviados para seu computador via Dcc-send, isto é, quando algum usuário, conversando com você via IRC, envia um arquivo com esses nomes, e você os executa sem saber do que se trata, infectando sua máquina.

Veja como se livrar desses tipos de virus:

Livrando-se do "Script.ini" (o mais facil)

Se você usa Windows 95/98, proceda da seguinte maneira:

Vá em INICIAR > LOCALIZAR > Arquivos ou Pastas;
.
Digite o nome do arquivo: Script.ini e clique em "Localizar Agora";
.
Se você não encontrar, fique tranqüilo: você está livre. Mas se você o encontrar, basta apenas deletar esse arquivo do seu computador. Você irá ficar livre e esse vírus não mais "carregará" junto com seu script de IRC.

--------------------------------------------------------------------------------

Livrando-se do "Dsmtp.exe" (o mais difícil)

1. Caso você não tenha executado ainda esse arquivo no seu computador, basta proceder da mesma maneira como no caso do Script.ini, localize-o e delete.

2. Caso já tenha executado o arquivo por acidente (ou de propósito!) você deve proceder da seguinte forma à desinfecção do seu PC.

Saia do mIRC e desconecte-se da Internet;
.
Procure e apague todas as cópias do dsmtp.exe em seu PC. Podem existir de 2 a 5 cópias no seu HD, portanto ache-as e delete-as;
.
Procure e apague qualquer arquivo com nome de progra~1 (57566 bytes) em qualquer diretório;
.
Vá ao c:\ e apague o arquivo configg.sys (atenção! é configg com dois "g"!);
.
Delete o seu diretório inteiro de mIRC (provavelmente c:\mirc ou no diretorio dos seus scrpits de IRC). Sim, você vai perder qualquer configuração que você tenha feito no mIRC. Afinal, se você sabia o suficiente para configurar o mIRC, você não deveria estar com este virus! ;)
.
Com um editor de texto (tipo Bloco de Notas), abra o arquivo c:\autoexec.bat. A última linha deverá dizer "dmsetup". Apague esta linha inteira. Salve e feche este arquivo c:\autoexec.bat. (Não esqueca, tem que editar este arquivo em formato TEXTO, não pode ser outro.);
.
Reinicie seu computador completamente (cold boot) (desligue, espere um pouco, e ligue de novo);
.
Baixe outra copia novinha do mIRC pela http://www.mirc.com . Saiu o novo mIRC 5.41, então aproveite para fazer este upgrade, que nao é tão vulnerável ao tipo de virus que você pegou;
.
Instale o MIRC novo, e tudo deverá estar em ordem;
.
Verifique na configuracao do mIRC, pelo menu DCC Options, Send, que o auto-get file esteja DESLIGADO. Você pode também configurar o mIRC digitando o comando /sreq ASK (isto serve para evitar inclusive o Script.ini e qualquer tipo de vírus que tentem lhe enviar. Você só vai pegar o arquivo se quiser).
Pronto. Ufa! Você vai estar livre dessa obra criada por algum Lamer recalcado que não tinha nada para fazer e resolveu chatear nossas vidas. Aqui vai uma dica final: "Nunca aceite nenhum arquivo de gente ou lugares que você não tem certeza da confiabilidade".

Qualquer duvida. meu email e irchp@bol.com.br. O email do autor e sheick_brasirc@zipmail.com.br

Boa Sorte!