Após 10 meses, vírus Conficker ainda atormenta especialistas em segurança

Ele ainda está lá. Como um navio fantasma, o Conficker – programa de malware que invadiu a internet em novembro do ano passado – conseguiu confundir os esforços dos peritos em segurança para erradicá-lo e rastrear sua origem e propósito, expondo graves fraquezas na infraestrutura digital do mundo.

O Conficker usa falhas do Windows para cooptar máquinas e ligá-las a um computador virtual, capaz de ser comandado remotamente por seus autores. Com mais de cinco milhões desses zumbis atualmente sob seu controle – computadores pessoais, de governos e empresas em mais de 200 países –, esse obscuro computador tem um poder que perturba os maiores centros de dados do mundo.

Alarmados pela rápida disseminação do programa após sua estreia, em novembro, especialistas em segurança de computadores da indústria, do mundo acadêmico e do governo uniram forças numa colaboração altamente incomum. Eles decodificaram o programa e desenvolveram antivírus que o apagaram de milhões dos computadores. Mas a persistência e a sofisticação do Conficker silenciaram a crença, de muitos peritos, de que tais infecções globais em computadores eram coisa do passado.

“Ele está usando as melhores práticas atuais para se comunicar e proteger a si mesmo”, disse Rodney Joffe, diretor do Conficker Working Group, sobre o programa malicioso. “Ainda não encontramos o truque para retomar o controle das mãos do malware de alguma forma”.

O grupo desenvolveu uma página na qual o internauta sabe se o seu computador está infectado. Para isso, basta clicar neste página com seis imagens. Se todas aparecerem corretamente, a máquina não está infectada.

Pesquisadores especulam que o computador pode ser empregado para gerar enormes quantidades de spam; ele pode roubar informações de logins e senhas ao capturar eventos em computadores infectados; pode entregar avisos falsos de antivírus, para fazer usuários desavisados acreditarem que seus computadores estão infectados e persuadindo-os a pagar, pelo cartão de crédito, para remover a infecção.

Existe também uma possibilidade diferente, que preocupa os pesquisadores: a de que o programa não foi criado por um grupo criminoso, mas sim por uma agência de inteligência, pelos militares ou por algum outro país, para monitorar ou desabilitar os computadores de algum inimigo. Redes de computadores infectados, ou botnets, foram muito usadas como armas em conflitos na Estônia, em 2007, na Geórgia, no ano passado, e em ataques mais recentes contra agências governamentais da Coreia do Sul e dos Estados Unidos. Alguns ataques recentes, que debilitaram temporariamente o Twitter e o Facebook, poderiam ter tons políticos.

Mesmo assim, para a maioria, o Conficker – há várias teorias para seu nome – fez pouco mais que estender seu alcance a mais e mais computadores. Embora tenha havido especulações de que o computador seria ativado para fazer algo mal-intencionado no dia 1º de abril, a data passou sem incidentes, e alguns especialistas em segurança imaginam se o programa teria sido abandonado.

O início

Os peritos possuem apenas minúsculas pistas sobre a localização dos autores do programa. A primeira versão incluía programas que paravam o malware se ele infectasse uma máquina com um teclado do idioma ucraniano. Pode ter havido duas infecções iniciais – em Buenos Aires, na Argentina, e em Kiev, na Ucrânia.

Onde quer que estejam os autores, especialistas dizem que são claramente profissionais, usando a tecnologia mais avançada disponível. O programa é protegido por mecanismos internos de defesa, que o tornam difícil de apagar, e chega a matar ou se esconder de programas criados para buscar botnets.

FBI

Um membro da equipe de segurança disse que o FBI já tem suspeitos, mas está agindo lentamente pois precisa construir um relacionamento com agências da lei “não-corruptas” nos países onde estão localizados esses suspeitos.

Uma porta-voz do FBI em Washington não quis fazer comentários, dizendo que a investigação do Conficker era um caso em andamento.

As primeiras infecções, em 20 de novembro de 2008, dispararam uma intensa batalha entre os autores ocultos e o grupo voluntário, formado para enfrentá-los. O grupo, inicialmente chamado de “Facção Conficker”, mudou seu nome quando a Microsoft, Symantec e diversas outras empresas fizeram objeções contra a conotação não-profissional.

Eventualmente, pesquisadores de universidades e oficiais da lei uniram forças com peritos em computadores em mais de duas dúzias de firmas de segurança de internet, software e computadores.

O grupo venceu algumas batalhas, mas perdeu outras. Os autores do Conficker continuaram distribuindo novas versões do programa, mais intrincadas, chegando a utilizar códigos que haviam sido criados por acadêmicos apenas alguns meses antes. Em outra ocasião, um único deslize técnico do grupo permitiu que os autores do programa convertessem um número enorme das máquinas infectadas a um avançado esquema de comunicações par-a-par, que o grupo da indústria não conseguiu derrotar. Onde antes todos os computadores infectados teriam de telefonar a uma única fonte por instruções, os autores agora podiam usar qualquer computador infectado para instruir todos os outros.

Zoológico digital

No início de abril, Patrick Peterson, pesquisador da Cisco Systems em San Jose, na Califórnia, conseguiu alguma inteligência sobre os interesses dos autores. Ele estuda programas maliciosos mantendo uma série de computadores em quarentena que os capturam e observam – seu “zoológico digital”.

Ele descobriu que os autores do Conficker tinham começado a distribuir programas que enganavam usuários da internet a comprar antivírus falsos com seus cartões de crédito. “Nós apagamos as luzes no zoo num dia e voltamos no dia seguinte”, disse Peterson, apontando que na “jaula” reservada para o Conficker, a infecção havia sido ocasionada por um programa distribuindo um esquema de programas antivírus.

Foi o sinal mais recente de vida do programa, e seu silêncio disparou um debate entre especialistas em segurança de computadores.

Alguns pesquisadores acham que o Conficker é uma concha vazia, ou que os autores do programa foram afugentados na primavera. Outros argumentam que eles estão simplesmente passando o tempo.

Se o misterioso computador fosse reativado, ele não teria a habilidade de solução de problemas como a dos supercomputadores usados para projetar armas nucleares ou simular mudanças climáticas. Mas por ter comandado tantas máquinas, ele poderia atrair uma quantidade de poder computacional maior do que qualquer instalação de computadores administrada por governos ou pelo Google. Trata-se de um reflexo sombrio da “nuvem de computadores” varrendo a internet comercial, onde os dados são armazenados na internet ao invés de num computador pessoal.

O grupo da indústria continua tentando encontrar maneiras de matar o Conficker. Joffe, para citar apenas um, disse ainda não estar preparado para declarar vitória. Mas ele diz que o trabalho do grupo provou que o governo e a indústria privada podem cooperar na luta contra ameaças cibernéticas.

“Mesmo se perdermos contra o Conficker”, disse, “há coisas que aprendemos que irão nos beneficiar no futuro”.