Durante algumas horas, o worm foi responsável por 6 a 14% de todo o spam disseminado.
O worm “Here you have” que entupiu os sistemas de e-mail na passada quinta-feira, acabou por ser causador de um dos piores surtos de spam de 2010, de acordo com a Cisco Systems. Durante algumas horas – entre as 17:45h e as 20:30h – o worm representou entre 6 e 14% de todo o spam detectado pela IronPort, pertencente à Cisco.
Tratou-se de maior surto de spam desde que os ciber-criminosos resolveram aproveitar o lançamento do iPad em Março passado, lançando campanhas de spam concebidas para enganar as pessoas e convencê-las a visitar websites nocivos, como recorda Nilesh Bhandari, gestor de produto da Cisco. “Foi algo de proporções gigantescas. O worm ‘Here you have’ espalhou-se sobretudo por e-mail, em mensagens de convite a um website que instalava um script malicioso nos seus computadores”, explica. O script sequestrava, então, a lista de contactos do Outlook, enviando para todos esses contactos mensagens semelhantes para novas vítimas. O worm também se espalhava pelas redes internas, usando um script especial PsExec através de drives USB.
O avanço deste worm foi, entretanto, parado: as empresas antivírus adicionaram aos seus sistemas capacidades de detecção do worm e o website que alojava o script malicioso foi colocado offline. Os dados da Cisco mostram que pelas 12:00h de sexta-feira passada, nenhum do spam detectado
foi provocado por este worm.
O worm afectou sobretudo redes empresariais dos Estados Unidos, de acordo com informações da Microsoft, que analisou o incidente. “Nas primeiras 12 horas de actividade por nós monitorizada, 91% das infecções e tentativas de infecção foram reportadas pelos nossos clientes corporativos – precisamente o oposto do que costuma acontecer”, diz a Microsoft.
O “Here you have” terá alegadamente afectado as redes da Disney, Procter & Gamble, Wells Fargo e NASA. Este tipo de worm que provoca envio massivo de mensagens de e-mail tem estado afastado dos radares das empresas de segurança, desde os tempos dos surtos “Anna Kournikova” e “I Love You”, no
início dos anos 2000, mas os peritos dizem que este worm tem algumas características invulgares.
Existem vários sinais que o associam a um hacker da jihad da Líbia, cujo nome é Iraq Resistance, de acordo com informações da SecureWorks. Muitos concordam que o worm não é particularmente sofisticado, mas o seu sucesso mostra que ainda é possível infectar um elevado número de
computadores, bastando para tal convencer as pessoas a fazer algo que não deviam – como clicar em links que conduzem a sites ou ficheiros maliciosos.
“Este incidente só vem mostrar que as vulnerabilidades humanas são o elo mais fraco”, sustenta Alex Lanstein, investigador da empresa fabricante de soluções de segurança FireEye.