O Vírus "Tempestade" e a Assinatura Dinâmica de Vírus

Nós últimos dias, os desenvolvedores de vírus estiveram bastante ocupados. Mais de uma centena de variantes do vírus que a mídia tem chamado de "Tempestade" foram liberadas. Este vírus utiliza-se de uma nova artimanha por eles desenvolvidas: soltar variantes diferentes de 10 em 10 minutos.

O autor do "Tempestade" libera novas variantes com uma grande velocidade, tentando infectar o maior número de computadores possíveis antes das vacinas saírem. Outro fato interessante é que, depois da liberação da vacina contra o vírus pelos principais fabricantes, nenhuma copia é mais enviada. O vírus faz isso para que os computadores atacados não sejam detectados e, consequentemente, não tenham o vírus removido. Inteligentíssimo o método!

É nesse momento que entra a idéia implementada no MAV Mail Suíte, em Fevereiro de 2006, chamada "Assinatura Dinâmica de Virus". Este sistema detecta, dinamicamente, que um arquivo executável específico está sendo enviado de um número grande de computadores para uma quantidade grande de e-mails diferentes. Assim que o vírus é detectado, uma assinatura para ele é criada dinamicamente e propagada para os clientes. Com essa tecnologia, nós conseguimos barrar vírus como o "Tempestade" muito rapidamente.

Outra vantagem do “Assinatura Dinâmica de Vírus” é que, quando um laboratório de vírus libera uma vacina, o vírus precisa ser analisado para descobrir coisas sobre o seu comportamento: o que ele faz no computador infectado, se é uma nova variante de um vírus conhecido, se é um vírus novo, etc. Estas informações são importantes para quem desenvolve um antivírus para ser instalado no desktop. Como o MAV é um antivírus de perímetro, o que o virus faz no desktop não é importante, e saber o nome correto é menos importante do que detectar o vírus.

Entre os dias 22 e 24 de Janeiro, o sistema detectou 87 variantes diferentes do “Tempestade". Estas receberam um nome temporário de "UnknowVirus.AAAAMMDD.I", onde AAAAMMDD é a data da detecção e o I é dado ao i-ésimo vírus detectado no dia. Uma analise que eu fiz, hoje de manhã, mostrou que a vacina do vírus com o nome oficial e todas as informações extras saíram, em média, duas horas e quarenta e três minutos depois.

Sobre essas 87 variantes, de todas as redes atacadas detectadas pela MAV BL, no período em que a vacina oficial ainda não havia sido liberada, apenas 3.5% eram brasileiras. Ou seja, apesar de a maioria dessas variantes terem começado os seus ataques no horário comercial brasileiro, estes foram parados bem antes da infestação se alastrar entre usuários brasileiros.

O MAV conta com quatro tecnologias diferentes para eliminar e-mails com vírus, que são analisados no servidor, e mais uma que elimina e-mails com vírus ainda quando a conexão SMTP está sendo estabelecida e a mensagem não chegou. Mas eu vou falar desses outros sistemas,e como eles afetam positivamente os servidores de e-mail, em uma nova oportunidade.

Um abraço e tenham um bom dia.