Apenas mais um vírus de boot sector

 

O vírus Michelangelo foi descoberto pela primeira vez em Fevereiro de 1991 pelo especialista antivírus veterano, o Australiano Roger Riordan. Riordan era o "cérebro" por trás de um popular antivírus chamado VET, e provavelmente não considerou este vírus como algo particularmente especial.

 

O Michelangelo era uma variante do vírus Stoned, e não apresentava nada de surpreendente na forma como se propagava que sugerisse poder vir a ser mais problemático do que qualquer outro vírus da sua época.

 

Os utilizadores eram afetados pelo Michelangelo, ao cometerem o erro de deixarem uma disquete infetada no PC ao deixarem de o utilizar. No dia seguinte, ligavam o computador e... o sistema tentava arrancar a partir da disquete em vez do disco rígido.

 

Mas sem sucesso. Apenas era apresentada uma mensagem que informava "Non system disk or disk error", e se a disquete tivesse um vírus de boot sector copiava-o para o MBR do disco rígido.

 

Só que então, cada disquete com permissões de escrita a que se acedesse naquele computador, ficaria infetada com o vírus Michelangelo. Era deste modo que o malware se propagava lentamente naquela época, antes de os computadores estarem interligados em rede e antes da maioria dos utilizadores ter sequer uma conta de e-mail.

 

Dessa forma, o Michelangelo foi capaz de infetar o sector de arranque em disquetes, e o sector de partição (também conhecido como Master Boot Record ou MBR) de discos rígidos em PCs.

 

Mas Riordan apercebeu-se de algo interessante no código malicioso. O vírus despoletava um efeito destrutivo quando o relógio do computador indicava a data de 6 de Março.

 

Uma bomba relógio

 

O vírus estava programado para reescrever os primeiros 17 sectores de cada disco rígido infetado, a cada dia 6 de Março. A consequência era obviamente "dolorosa", e os utilizadores eram forçados a recuperar os dados se o vírus fosse despoletado nos PCs.

 

A ironia era, claramente, o facto de 6 de Março ser provavelmente o único dia em que o Michelangelo não se propagava, dedicando-se antes a aplicar os efeitos a que se destinava.

 

Os vírus de boot sector tornaram-se extintos à medida que as disquetes perderam popularidade, mas durante um período, entre o final dos anos 80 e o início dos 90, foram o tipo de malware mais comum.

 

Um vírus que podia eliminar os seus dados, numa era em que poucos computadores estavam ligados em rede e os backups eram um inconveniente maior do que são hoje, era algo notável.

 

Mas o que realmente captou a atenção dos media, à medida que as notícias do vírus se prolongaram durante meses até à chegada do dia 6 de Março seguinte, foi o nome atribuído por Riordan ao vírus: "Michelangelo".

 

Um vírus por qualquer outro nome Riordan escolheu o nome Michelangelo depois de discutir o tema com um amigo, cujo aniversário era celebrado a 6 de Março, e de ter comentado que esta data coincidia com a do nascimento do grande artista renascentista. Nada sugere que o autor do vírus tenha escolhido a data em que se despoletava por este motivo, nem que o vírus tivesse qualquer relação com Michelangelo.

 

Poderia simplesmente chamar-se "Cyrano", ou "Lizzie", já que tanto Cyrano de Bergerac como Elizabeth Barrett-Browning partilham o dia de aniversário.

 

Mas Michelangelo pegou...

 

Obviamente, os media adoram um vírus com um nome bem carismático. Ajuda-os a "colorir" o que poderia ser uma história técnica e aborrecida. Também significa que podem "fugir" às fotografias simples de computadores, e adicionar imagens mais emocionantes.

 

"Michelangelo", "Stuxnet", "Code Red", "Kama Sutra", "Chernobyl", "ILoveYou", "Anna Kournikova"...

 

Nalguns casos, estes nomes foram atribuídos pelos investigadores que descobriram o malware. Noutros, foram o público e os media que inventaram um novo nome por não gostarem do que foi escolhido pela comunidade antivírus.

 

Por exemplo, a Sophos chamou VBS/SST-A ao vírus "Anna Kournikova", algo que dificilmente se destacaria nos cabeçalhos de notícias...

 

A história de um exemplar de malware pode assim variar bastante, consoante o nível de romantismo/dramatismo/memorabilidade atribuído ao nome do malware.

 

Estava montado o "palco" para o aparecimento de um novo vírus, capaz de provocar um medo de enormes proporções.

 

O assustador vírus Michelangelo Nas semanas anteriores ao dia 6 de Março de 1992, os media "enlouqueceram" com o tema do vírus Michelangelo.

 

John McAfee defendeu que não só o Michelangelo era o terceiro vírus mais comum, como previu repetidamente que 5 milhões de PCs seriam afetados. E a sua opinião era credível, porque nessa altura os media consideravam-no o maior especialista em vírus informáticos dos EUA.

 

"Milhares de PCs falharão esta 6ª feira", afirmava o USA Today. "Vírus Mortal Programado para Provocar o Caos Amanhã", era o título do Washington Post. Entretanto, o Los Angeles Times declarava "Pintado de Assustador!".

 

A CNN até enviou uma equipa de filmagens aos escritórios de John McAfee, na esperança de captar o desastre nas câmaras.

 

Um dos membros da Sophos teve a sua própria entrevista com os media um dia antes do dia 6 de Março. A "Newsround", um popular programa noticiário Britânico destinado a crianças, visitou os escritórios da S&S International, fabricantes do antivírus Dr Solomon, onde ele programava a primeira versão Windows daquele software de segurança.

 

Conta que se recorda claramente de lhe pedirem para simular uma cena intensa ao teclado, para utilizarem as imagens na reportagem que iria para o ar mais tarde.

 

O seu chefe, Alan Solomon, brincou com a ideia amplamente reportada de que milhões de computadores seriam comprometidos pelo Michelangelo. A opinião do Dr Solomon era que, apesar da ameaça estar em franca circulação, a história estava a ser alvo de um enorme exagero.

 

Algumas das reportagens adiantaram que existia um bug no vírus, que poderia impedir as ações programadas em muitos computadores.

 

Recordamos que estávamos em 1992. Muitas pessoas nunca se tinham deparado com vírus informáticos, e várias outras consideravam o malware (ainda não denominado desta forma) como um mito urbano, e por isso não utilizavam software antivírus nos seus PCs.

 

Com o alerta bem estabelecido por parte da imprensa sobre o iminente desastre do vírus, não surpreendeu que alguns fabricantes tivessem vendido imenso software antivírus.

 

Não tinha que pagar, claro. Existiam soluções gratuitas à disposição. Vesselin Bontchev, do Centro de Testes de Vírus da Universidade de Hamburgo, reportou ter recebido 28 sacos dos correios com pedidos da ferramenta gratuita para deteção e desinfeção do Michelangelo que desenvolveram, depois de a terem anunciado na televisão Alemã.

 

E se estivesse subscrito na mailing list VIRUS-L, receberia informação constante sobre o Michelangelo, testemunhos e revelações sobre como diferentes empresas o distribuíram acidentalmente em disquetes enviadas aos clientes.

 

Por exemplo, foi revelado que a Intel enviara 800 disquetes contendo o software LANSpool, acompanhado pelo Michelangelo. A empresa, que então produzia o seu próprio software antivírus, viu-se forçada a confessar que não o estava a utilizar nos seus sistemas de duplicação de disquetes.

 

Um dos posts mais populares esteve relacionado com uma resposta da Symantec, arquirival da McAfee, que produziu uma versão gratuita do Norton Anti-Virus exclusiva para detetar e erradicar o Michelangelo.

 

Obviamente, como o Michelangelo apenas existia nas áreas de arranque das unidades, era de facto muito rápido identificar a presença de uma infeção. Mas será que um utilizador se sentiria confortável com uma análise que demoraria apenas um segundo ou dois? Provavelmente não... por isso, a solução gratuita da Norton para eliminar o Michelangelo demorava desnecessariamente uma eternidade a analisar os seus ficheiros .EXE e .COM também...

 

5 de Março de 1992

 

No Washington Post lia-se:

 

UTILIZADORES DE COMPUTADORES LUTAM PARA SABOTAR O MICHELANGELO

Vírus Mortal Programado para Provocar Caos Amanhã

Por John Burgess e Sandra Sugawara, Washington Post.

 

Os utilizadores de computadores estão em pânico por toda a área de Washington, lutando para proteger as suas máquinas antes que um "vírus" informático extremamente destrutivo, conhecido como Michelangelo, ataque amanhã.

 

As lojas de software locais, reportaram ontem estar a comercializar programas especiais que detetam e removem o vírus. Os telefonemas bloquearam as linhas de suporte...

 

6 de Março de 1992

 

O mundo sustém a respiração... e nervosamente liga os seus computadores...

 

7 de Março de 1992

 

...e afinal não havia motivo para tanta preocupação.

 

No Washington Post lia-se:

 

VÍRUS DE PC MICHELANGELO NÃO FOI PROPRIAMENTE UMA EPIDEMIA

Por John Burgess e Sandra Sugawara, Washington Post.

 

Ontem o 517º aniversário de Michelangelo chegou e passou, e o mundo informático sobreviveu... Mas ontem atingiu apenas um pequeno conjunto de lares e empresas nos EUA e países estrangeiros.

 

Os especialistas informáticos atribuíram os danos relativamente leves, à enorme publicidade sobre as suas capacidades de eliminação de todos os dados guardados num computador.

 

Muitos analistas sugeriram que a publicidade instalou um receio saudável em milhões de utilizadores de computadores que não prestavam atenção a vírus.

 

As empresas de antivírus receberam poucos relatos de computadores afetados pelos efeitos do Michelangelo. E ainda assim, não era certo que os efeitos fossem culpa do Michelangelo. Afinal, quem tenha tido algum problema informático no dia 6 de Março de 1992, provavelmente culpou o vírus, tendo em conta toda a exposição e projeção dada pela imprensa nas semanas antes do dia fatídico.

 

O rescaldo

 

É legítimo afirmar que muitos computadores provavelmente passaram a ter software antivírus instalado devido ao medo provocado pelo Michelangelo, e é credível que esse susto tenha sido positivo pela quantidade de computadores que provavelmente tinham outro tipo de malware que foi detetado devido a todo aquele pânico.

 

Mas foi precisamente pânico, e isso é algo que raramente tem um bom resultado.

 

Apesar de alguns terem tentado argumentar que a única razão porque não houve um número muito maior de computadores afetados pelos efeitos do Michelangelo, foi o histerismo em torno da notícia da ameaça, a verdade é que a indústria antivírus sofreu danos. Os jornais viraram-se contra os mesmos que os esclareceram sobre os riscos, e acusaram-nos de explorarem o medo para venderem software antivírus.

 

A acusação de que as empresas de antivírus exageraram deliberadamente o risco deste malware para venderem mais software, era algo que não cairia no esquecimento. Tanto clientes como os media provavelmente passaram a ser mais céticos, cada vez que um fabricante aclamava "o fim do mundo" devido a um vírus.

 

E o que aconteceu àquele que previa os cinco milhões de PCs afectados pelo Michelangelo?

 

Bem, o susto causado pelo vírus certamente não prejudicou John McAfee, cuja empresa antivírus foi vendida em bolsa em Outubro de 1992, recolhendo $42 milhões de dólares numa oferta pública inicial. Nada mau para o negócio, que na época apenas contava com uma dúzia de colaboradores, e que sem dúvida beneficiou da enorme exposição pública recebida seis meses antes.

 

E quanto ao autor do Michelangelo? A pessoa que criou o vírus que assustou o mundo? Bem, nunca se soube quem era, e ao contrário de muito do malware criado hoje, este vírus foi escrito sem incentivos financeiros, inconsciente dos perigos causados e aparentemente criado apenas por diversão.

 

É questionável o nível de diversão que se pode retirar de um vírus que determina um marco na história do malware, como foi o Michelangelo, nunca se tendo contado a ninguém que o criou.

 

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.