 Descoberto
sofisticado esquema de roubo de propriedade intelectual de empresas - documentos
do Word, Acrobat e AutoCAD, que depois eram vendidos em loja virtual chinesa.
Golpe é praticado desde agosto do ano passado.
A praga, disse a empresa finlandesa de segurança, foi inicialmente
descoberta em agosto de 2004 e não apresentava níveis elevados de
propagação.
Uma de suas características, entretanto, foi a de capturar arquivos no
formato PDF (Adobe Acrobat) e enviá-los para um servidor FTP localizado na
China.
De acordo com uma análise da Lurhq, a família de pragas Myfip já era
programada para roubar outros tipos de documentos que naturalmente são
usados para guardar informações confidenciais, como arquivos do Word (DOC) e
desenhos criados no AutoCAD (CAD/CAM).
O método de propagação do vírus é por e-mail, apesar de ele não possuir
nenhum mecanismo interno para capturar e enviar cópias de si mesmo para
outros e-mails encontrados.
A Lurhq afirma que a praga era distribuída por um sistema de entrega de spam
e, por conta de um inglês cheio de erros de gramática, era fácil identificar
a mensagem infectada.
Outro método conhecido é a de se espalhar por computadores conectados à uma
rede local - ambiente encontrado em praticamente todos os sistemas
corporativos. O Myfip criava uma cópia sua no disco da vítima, com o nome
"iloveyou.txt.exe", utilizando um ícone do Bloco de Notas como disfarce.
O que a Lurhq descobriu, porém, é um esquema muito organizado e,
provavelmente, bastante lucrativo. O criador do Myfip, identificado como
"Mr. Zhang", possuía também um servidor FTP para o qual todos os arquivos
roubados eram direcionados para, depois, serem vendidos.
Com isso, o criador do esquema anunciava em fóruns diversos e websites
estudantis a venda de trabalhos escolares, pesquisas científicas e
documentos corporativos - tudo baseado no pagamento de taxas, que davam
direito de acesso ao FTP por um número determinado de dias.
O site utilizado para a venda dos documentos ( www.net918.com)
está fora do ar, apesar de as variantes do Myfip continuarem enviando
arquivos roubados para o mesmo servidor FTP.
Outro website com nome similar ( www.net918.net),
porém, ainda está funcionando - ali, uma empresa chinesa de tecnologia
comercializa soluções e domínios para a web daquele país.
Utilizando o mecanismo da Archive.org, que guarda imagens de antigos sites
que já foram retirados do ar por toda a web, é possível verificar que o
antigo site Net918.com comercializava documentos roubados, como trabalhos
para curso de MBA e até planos de expansão de redes capturados de alguma
empresa.
Até o momento, nenhuma ação policial foi anunciada para desarmar o esquema.
Tanto a Lurhq quanto a F-Secure alertam as empresas sobre os riscos de roubo
de propriedade intelectual, recomendando a instalação e manutenção de
softwares antivírus na rede corporativa.
Para usuários domésticos, o aviso é o mesmo - nunca abra mensagens de e-mail
suspeitas e mantenha sempre um software antivírus atualizado e operante no
sistema.
O vírus Myfip já se encontra na sua oitava variante (Myfip.H) e ataca
somente sistemas Windows, da Microsoft.
|
