Mais um vírus vem fazendo estragos nos computadores brasileiros. Descoberto em 29/4/2001, o VBS/Haptime@MM é do tipo que dispensa a execução de arquivos pelo usuário para que seu computador fique contaminado: basta que o internauta veja a mensagem de correio eletrônico que o contenha. Sua principal característica é a rápida disseminação a partir de cada computador infectado, tanto que ocorreram casos de listas de debates que precisaram ser suspensas temporariamente, apenas dois dias após o primeiro de seus integrantes ter o micro infectado.

O vírus, que tende a apagar os arquivos executáveis (*.exe) e os de biblioteca de ligação dinâmica (*.dll), pode ser detectado a partir da atualização 4.1.36 do antivírus Scan, bem como das últimas atualizações de outros antivírus, como o Norton. Além da denominação reconhecida como oficial pela McAffee, o vírus tem outros quatro nomes, definidos por várias produtosras de antivírus: Happy Time, VBS.Happytime.A (CA), VBS/Help (Panda) e VBS_Haptime.A (Trend). 

Os especialistas indicam como se pode proteger o sistema operacional Windows de vírus como esse, que utilizam o Visual Basic Script (VBS) para a execução nos computadores: o primeiro passo é clicar em [Iniciar]/[Configurações]/[Painel de controle]/[Adicionar e Remover Programas]; clica-se na aba [Instalação do Windows] e depois em [Acessórios] e logo abaixo, em [detalhes], deve-se rolar a setinha lateral até que apareça o componente [Windows Scripting Host]. Se estiver marcado, é só desmarcar, clicar em [OK] para sair desta janela e da anterior.

Poucos, ainda - Segundo o Avert Labs da McAffee, o vírus ainda é considerado de baixo risco, por ter contaminado relativamente poucos equipamentos, mas essa classificação pode ser alterada conforme a disseminação do código maligno. 

Descoberto em 29/4/2001, já no dia 2/5/2001 contava com vacina e no dia seguinte com a descrição de suas características: "Este virus em Visual Basic Script que pode ser unir a arquivos, apagar arquivos e pode se distribuir via VBScript, contido no corpo de uma mensagem de e-mail formatado em HTML.

"Quando o scritp é rodado, o virus insere arquivos com terminação .ASP, .HTM, .HTML, .HTT. Se a data for igual a 13, o virus tenta apagar os arquivos .dll e .exe e discos locais e da rede. O virus salva o código viral em arquivos help.hta e help.vbs no primeiro diretorio que encontrar no driver C: e help.htm e untitled.htm no diretorio do Windows. Uma chave no registro é criada para selecionar o help.htm para o papel de parede que resulta na execuçção do virus quando o sistema é reiniciado, se o Active Desktop está habilitado: 

HKCU\Control Panel\Desktop\wallPaper=%WinDir%\HELP.HTM

De modo similar ao vírus JS/Kak@M, esse vírus configura os padrões usados pelo Microsoft Outlook Express para apontar para um arquivo externo, %WinDir%\UNTITLED.HTM. Isso faz com que cada mensagem emitida do Outlook Express contenha código viral escondido. Para isso, algumas entradas são modificadas no Registro do Windows:

HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Message Send HTML="1" 

HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Compose Use Stationery="1" 

HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Stationery Name="%WinDir%\Untitled.htm"

"Além disso, os arquivos .HTT no diretório %WinDir%\WEB são infectados, o que faz com que o vírus seja executado cada vez que uma pasta (diretório) seja vista como uma página Web.

"O vírus mantém o controle do número de vezes que é executado, pela criação de uma nova chave de registro, com um valor que vai sendo incrementado: 

HKCU\Software\Help\ 

"Cada vez que o contador atinge um múltiplo de 366, o vírus tenta sem sucesso vincular UNTITLED.HTM a uma mensagem de correio eletrônico emitida", continua o Avert Labs. 

Entre os sintomas da presença do vírus em um computador estão o apagamento de arquivos .DLL e .EXE, o incremento no tamanho dos arquivos .ASP, .HTM, .HTML, .HTT, e .VBS; presença dos arquivos HELP.HTA, HELP.VBS, HELP.HTM e UNTITLED.HTM.

O VBS/Haptime existe como um código embuido VBScript, oculto no corpo de mensagens de correio eletrônico com formatação HTML e sites Web. Quando um documento infetado é aberto, o script é executado, infectando a máquina, que passa a transmiti-lo por correio eletrônico, além de propagá-lo na rede local (LAN). 

Windows ME - O Avert Labs alerta que, no sistema operacional Windows ME há um risco extra: ele usa uma utilidade de cópia de reserva (backup) que copia automaticamente arquivos selecionados para o diretório C:\_Restore. Isso significa que um arquivo infectado pode ser armazenado ali como cópia de reserva e um antivírus como o VirusScan não poderá detectar tais arquivos. 

Assim, para remover arquivos infectados desse diretório, deve-se desabilitar o utilitário Restaurar: para isso, clica-se no ícone [Meu Computador], na área de trabalho. Clica-se então na tabela de performance e no botão [Arquivos de Sistema]. Clica-se na tabela Troubleshooting e marca-se o ítem [Desabilitar restauração do sistema], confirmando-se com o clique no botão [Aplicar]. Fecha-se essa tela e a seguinte, o que fará surgir a caixa de diálogo solicitando autorização para reiniciar o computador. 

Confirme e reinicie o computador em Modo de Segurança. Roda-se então o antivírus para apagar todos os arquivos infectados, ou localiza-se os arquivos infectados no diretório C:\_Restore, removendo-os. Completada essa operação, deve-se reiniciar o computador no modo normal. 

Deve-se lembrar de repetir o processo até localizar o ítem "Desabilitar restauração do sistema", que deve ser desmarcado para reativar essa função, confirmando-se com o clique no botão [Aplicar} e fechando-se as janelas abertas nesse processo.