-->

quarta-feira, 6 de agosto de 2008

Vírus de pendrive não executa sem sua ajuda!

Nota: eu prefiro os termos "flashdrive" e UFD (USB Flash Drive), mas o termo "pendrive" está tão fortemente associado a essas coisas que eu vou me render a ele por ora.

Existe um mito na internet (tanto no Brasil quanto fora) de que o Windows tem uma séria falha que permite que pela simples inserção de um pendrive contaminado com vírus você seja infectado. Não consegui encontrar nenhuma prova de que essa falha existe, em nenhuma versão do Windows. Até onde sei, o vírus entra na máquina em quase 100% dos casos por causa de hábitos equivocados dos usuários.

A única coisa que ocorre automaticamente ao inserir um pendrive é a infecção dele, caso o PC já esteja infectado com um vírus.

Como eu expliquei desde 2000 no meu artigo sobre Autorun, o mecanismo de execução automática do Windows depende de um arquivo autorun.inf apropriado na mídia. Para CDs e DVDs o Windows executa as instruções de autorun.inf cegamente, mas embora o mecanismo também funcione em pendrives a MS sábiamente implantou restrições à sua execução em todas as versões do Windows que suportam pendrives (98, ME, 2000, XP,Vista, 7,8, 8.1...).

No Windows XP, por exemplo, quando qualquer pendrive é inserido o Windows examina seu conteúdo e através de um algoritmo não documentado (mas que eu soube que é complicadíssimo) tenta determinar do que se trata. Baseado no resultado desse teste exibe um menu que chamamos de "menu autoplay".


Se o XP encontrar um arquivo autorun.inf no pendrive, lê seu conteúdo e inclui o programa que ele referencia como a primeira opção do menu autoplay.



Se o usuário tem o hábito de clicar em OK sem nem prestar atenção, é a vítima perfeita para criadores de malware.

Note como a opção de "Sempre executar a ação selecionada" fica desabilitada nesse caso. É o Windows protegendo você de fazer algo que seria potencialmente perigoso, ainda que fosse útil.

Os autores de vírus encontraram um jeito esperto de tapear o usuário e fazê-lo executar o vírus: usar o ícone e simular o texto de "abrir pasta..."



A versão em inglês acima (que tirei de um vírus real) pode até deixar alguém que não entende inglês desconfiado, mas se for traduzido:


Note o texto "Usando o programa...". Ele denuncia o vírus, mas mesmo um usuário experiente pode ser enganado por isso. Ao clicar OK você estará executando o vírus, que por sua vez abrirá a pasta. Só está realmente seguro contra esse tipo de artimanha quem analisa cuidadosamente a opção ou, melhor ainda, quem sempre clica em Cancelar.

Mas nem é essa a principal forma de infecção por pendrives. Os vírus conseguem entrar mesmo é por causa do mau hábito que os usuários tem de abrir drives clicando duas vezes na "lista" do Explorer.



O problema é que clicar duas vezes na lista invoca o autorun do drive, sem avisos ou questionamentos. Seja para CD/DVD, HDD, pendrives... tanto faz se for mídia fixa ou removível porque clicar duas vezes na lista vai invocar o autorun e isso não é uma falha de segurança. É uma funcionalidade do sistema que pode ser (e é) explorada por vírus. É uma funcionalidade porque se eu quiser executar o autorun de um disco eu clico duas vezes na lista. Se eu não quiser (e em quase 100% dos casos eu não quero), eu clico uma vez na árvore.

Mas o hábito de clicar duas vezes na lista é tão generalizado quanto a ignorância de que isso ativa o autorun na mídia, por isso quase todo usuário infectado diz que "não fez nada" e o vírus "tem que ter entrado sozinho"

Espertamente, o vírus após ser executado exibe os arquivos do pendrive, assim o usuário comum não nota que há algo errado, porque era isso que ele queria ver.

Em outro post falarei sobre como desativar o Autorun, para não precisar se preocupar com isso.

P.S.: Pode até existir um exploit real que permita a execução do vírus sem intervenção do usuário, mas eu não consegui encontrar a menor evidência disso. E qualquer busca que eu faça no Google sobre o assunto só mostra gente que, quando diz que o o problema existe, ou não parece realmente saber do que está falando ou claramente é do tipo que tem um orgasmo quando (pensa que) encontra um defeito no Windows. Todos os vírus que testei (voluntariamente ou não) dependem do duplo-clique para rodar ou da desatenção ao clicar no OK.

23 comentários:

  1. Ryan, existem sim programas maliciosos (prefiro chamar assim, pois hoje em dia os tais vírus/malware/worm são tão parecidos no funcionamento que fica difícil distinguir quem é quem) que se aproveitam do autorun para infectar automaticamente computadores.
    Na verdade eles se aproveitam de uma facilidade que o Windows permite ao usuário, que é quando ele coloca algo com um arquivo autorun no computador (normalmente um CD ou DVD de jogo) pela primeira vez. Nesse primeiro momento o Windows costuma oferecer nessa janela "autoplay" a opção de "executar sempre essa função com jogos..." (algo assim, pois não me lembro exatamente qual a frase exata).
    O usuário então, querendo evitar ver essa janela toda vez que coloca no drive seu CD/DVD de jogo aceita a "sugestão" do Windows e acaba automatizando tudo que tem autorun.
    Alguns desses programas maliciosos que vêem via MSN (festa.exe, fotos.exe, etc) são especialistas em usar esse recurso.
    Já vi isso acontecer com um usuário que plugou um pendrive em uma máquina infectada e acabou espalhando a praguinha para várias outras máquinas. Como todas estavam com o autorun "automatizado" (e um anti-vírus que não pegou nada) todas foram infectadas.
    Quando pluguei o pendrive no meu notebook, o NOD32 imediatamente achou 3 arquivos infectados (e deu fim neles). Foi aí que vi um arquivo autorun, cujo atalho interno apontava para um desses arquivos com extensão ".exe".
    O tal vírus criou, inclusive, um novo usuário nas máquinas infectadas para poder controlar melhor o sistema, além de bloquear o acesso ao painel de controle, ao gerenciador de tarefas, entre outros.
    Em tempo: Foram infectadas tanto máquinas com o XP quanto com o Vista.

    ResponderExcluir
  2. Silvinho,

    Baseado apenas nas informações que você está dando, eu acho que você está enganado.

    1)CD/DVD

    Eu só conheço três comportamentos para CD/DVD:

    *Se o CD/DVD só tiver um tipo de arquivo para o qual não existe um handler (arquivos *.cbr, por exemplo) e não tiver um autorun, o Windows abre o Explorer exibindo esses arquivos.

    *Se o CD/DVD tiver um Autorun, este é executado automaticamente sem exibir menu autoplay, não importando o conteúdo

    *Se o CD/DVD tiver conteúdo para o qual existe handlers e não tiver autorun, o menu Autoplay é exibido.

    Baseado no meu conhecimento, não existe jeito do usuário dizer que quer executar automaticamente um determinado programa citado no Autorun do CD/DVD, porque ele nunca verá a janela Autoplay se o disco tiver um Autorun. Isso foi testado no Windows XP SP2 sem updates e no XP SP3.

    2)Para pendrives:

    O XP abre o menu Autoplay mas ou não habilita a opção de "sempre..." para arquivos executáveis (como exemplificado no post) ou nem sequer a exibe. Testado também no XP SP2 e no XP SP3.

    ResponderExcluir
  3. Para tentar evitar que um pendrive seja infectado por vírus do tipo autorun pode-se criar uma pasta com o nome autorun.inf e jogar dentro dela um arquivo do tipo somente leitura (teoricamente isto impediria que um vírus consiga jogar um arquivo autorun.inf no raiz do pendrive).

    Também já criaram um anti-vírus específico para pendrives =>http://www.guiadowindows.net/2008/07/mx-one-antivirus-usb.html

    ResponderExcluir
  4. Bruno Alisson7/8/08 12:39

    Existe um pequeno executável que faz um ótimo trabalho para limpar Flash Drives, é o Flash Disinfector (http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe )

    Ele procura limpar os arquivos de vírus que estão no UFD, extensões .vbs, .exe, .inf, .reg ...

    E ainda cria uma pasta com o nome autorun.inf que é protegida como arquivo de sistema, oculto, ou algo parecido, impedindo que ela seja apagada e substituída por algum autorun.inf de algum vírus.

    ResponderExcluir
  5. Ryan. Você está certo.

    No XP não há como infectar automaticamente o computador. Somente com a intervenção do usuário isso é possível.

    Liguei para o cliente para confirmar como foram infectados os computadores naquele episódio, e ele me lembrou que foi através de um HD externo (em um Case).

    Os Computadores com o XP foram infectados porque quem plugou o tal case neles queria instalar um novo jogo que estava nesse HD externo.

    Ao se plugar um HD externo no XP, que tenha um autorun dentro, ele abre uma janela de confirmação de execução do arquivo indicado no Autorun.

    O que induz o usuário ao erro é o fato do XP não informar nessa janela o nome do arquivo, mas somente que pode executar um programa que há nesse HD.

    Fiz o procedimento aqui usando meu case, criando um arquivo de texto em branco e renomeando-o para "teste.exe". Criei um autorun para ele e pluguei o HD na USB de um computador com o XP.

    Como a execução do arquivo indicado no autorun é a primeira opção (já assinalada pelo sistema), caso o usuário aperte o Ok (ou dê enter), o tal arquivo é executado. Se for um vírus, já infecta o sistema (caso esteja desprotegido, sem um bom antivírus).

    Veja imagem nesse endereço:
    http://www.silvinho.com.br/autorun_xp.jpg

    Ele, claro, clicou e, como não aconteceu nada (isso porque o arquivo malicioso se copia para o computador sem qualquer aviso ou janela, então fica parecendo que nada aconteceu), ele abriu o drive e instalou o jogo normalmente. Mas a máquina já estava infectada.

    Já no Vista a coisa é mais séria, pois ele sim, permite que se automatize o autorun, que passa a a ser executado automaticamente seja de CDs, DVDs, HDs externos ou pendrives!

    O que expliquei anteriormente serve somente para o Vista.

    Ao se inserir uma mídia que contenha um arquivo autorun, pela primeira vez, em um computador com o Vista instalado, ele abre uma janela de "Reprodução Automática", onde permite automatizar esse processo ao se marcar a opção "Sempre fazer isso para softwres e jogos".

    Veja imagem nesse endereço:
    http://www.silvinho.com.br/autorun_vista.jpg

    Na grande maioria das vezes, ao ver essa tela pela segunda vez, o usuário marca a opção, pois acha um inconveniente esse "popup" toda vez que vai executar/instalar algo no PC.

    Após isso, qualquer mídia inserida (seja CD/DVD, HD externo ou pendrive) com um autorun que aponte para um arquivo do tipo ".exe", esse arquivo será automaticamente executado e o sistema (se sem proteção) infectado.

    Como a instalação do arquivo malicioso é transparente ao usuário, ele não sabe que foi infectado.

    ResponderExcluir
  6. Bruno Alisson8/8/08 01:09

    Legal esse soft Luis, mas encontrei uma falha bem bestinha nele: ele trata qualquer executável que esteja sendo "indicado" por algum autorun.inf como vírus. Não sei se é realmente com qualquer .exe, mas provavelmente sim, Ele indicou que ele mesmo era um vírus.

    ResponderExcluir
  7. luis e Bruno,

    Não confiem muito no truque da pasta Autorun.inf. É muito fácil para um vírus mandá-la para o inferno dos bits.

    ResponderExcluir
  8. Bruno Alisson8/8/08 12:10

    Pois é Jefferson, eu sei disso, mas já é uma ajuda e não custa nada, dependendo do PC ela nem fica visível.

    Eu fiz um teste e consegui apagar a pasta criada pelo Flash Disinfector usando o Unlocker. ;)

    ResponderExcluir
  9. Recentemente tive um problema de virus por pendrive. O avira aparentemente removeu o problema, localizando varios arquivos maliciosos. Uso atualmente um programa que nao sei se eh eficiente ou nao, chama de Ninja Pendisk e pode ser encontrado em:
    http://nunobrito.eu/ninja/
    Pela descricao do Bruno deve ser parecido ao Flash Disinfector.
    Ryan, obrigado pelos esclarecimentos.
    Augusto

    ResponderExcluir
  10. Bruno Alisson8/8/08 22:56

    A mesma coisa sim, mas ele cria uma pasta sem nenhuma proteção.

    ResponderExcluir
  11. Olha pessoal, recentemente peguei vírus no meu HD externo com uma gaveta USB (um pendrive gigante). Como peguei este vírus???
    Aconteceu o seguinte: uso este disco em N computadores, um deles que já estava infectado com o vírus, infectou arquivos na pasta "System Volum Information". Como o Windows se utiliza desta pasta para fornecer informações do volume, ficou fácil de transmitir para outros computadores. Para resolver isso, não executei o autorun e rodei o antivirus nele inteiro. 4 arquivos foram encontrados infectados. Após a eliminação destes, tudo voltou ao normal.
    Resumindo: esta é mais uma forma do vírus entrar. Mesmo sem executar o autorun, só de acessar o HD e copiar ou executar arquivos dele, o vírus se propagou por esta nesta pasta de sistema. Cuidado com isso. Para garantir, sempre que inserir um pendrive ou hd externo, não execute NADA dele. Rode o antivírus antes.
    Espero ter colaborado.

    ResponderExcluir
  12. Estive pensando muito neste problema.

    Eu era uma das pessoas que achava que o Windows executava o vírus com a simples inserção do flashdrive na porta USB. Foi conversando com o Jefferson que percebi que eu estava equivocado.

    Eu ainda não tenho um "pendrive". O que eu uso pra desempenhar a função de pendrive é o meu "Mp4 player" que não roda mp4. Todas as vezes que eu peguei vírus foi quando levei coisas pra imprimir na Universidade. O que vou fazer pra terminar com esse problema:

    Comprei um leitor de cartão SD, e vou comprar um cartão SD com trava que deixa o cartão no modo "somente leitura". Sempre que eu for levar algo pra imprimir, vou levar nele, e o computador da gráfica só vai conseguir LER coisas. Vírus não vai entrar.

    Eu dei uma procurada, mas meio que não encontrei pendrive com esse recurso. Tem esse aqui, que diz "com trava", mas não sei se é exatamente isso (o cara do anúncio não dá detalhes).

    ResponderExcluir
  13. Rafa,

    O pendrive com chave de proteção contra escrita existe, mas é difícil de encontrar mesmo. Em todo esse tempo que eu lido com pendrives, só me lembro de ter um nas mãos uma vez.

    A opção mais fácil de obter mesmo é o cartão SD e um leitor pequeno como este.

    ResponderExcluir
  14. Ryan existe o Brontok, um worm que fica em seu computador e assim que inserido um pendrive ele se copia automáticamente para ele e infecta quem tenta copiar qualquer arquivo que tenha dentro do pendrive. Apanhei muito para ele já que ele desativa o prompt e o editor de registro e reinicia o computador automaticamente só de vc tentar executar o prompt, se camufla com um icone de pasta com o mesmo nome da pasta onde está e esconde a extensão dos tipos de arquivo para que ninguem saiba que é um exe. Mas o spyware doctor depois de muitas tentativas conseguiu desinfectar ele do meu PC. Aqui a descrição dele http://www.protagon.com.br/docs/manual/eset/artigos/brontok_a_ameaca_remanescente.pdf

    ResponderExcluir
  15. Dxz,

    Não há nada de "especial" na descrição do Brontok. Se ele "infecta quem tenta copiar qualquer arquivo que tenha dentro do pendrive" é porque o usuário cai em uma das armadilhas que descrevi no post. Nada mais.

    ResponderExcluir
  16. Realmente não há como executar o autorun de um pendrive sem q a vitima.. ah.. pessoa com pouco conhecimento! clik 2 vezes, mas existe sim uma maneira de sumir com aquela maldida janela perguntando oq fazer:

    [autorun]
    open=
    label=MavomaxDRIVE
    shell\open=abrir
    shell\open\command=seuprograma.exe


    note que não há nada escrito depois de open=, isso faz com que a janelinha de opções não seja exibida, porem ao se clicar duas vezes o autorun é executado normnalmente.
    Não sei se podemos chamar isso de FALHA DO WINDOWS, mas é um macete bem legal!!

    ResponderExcluir
  17. Anônimo9/4/09 12:09

    Só pra constar a proteção da pasta do pendrive:

    no prompt a gente cria uma pasta chamada autorun.inf. Depois um comando especial (nunca tinha visto antes), cria uma pasta que o Windows e DOS não reconhecem como pasta, e sim como comando.

    Algumas das pastas: Con, LPT1, PRN

    Abaixo o esquema pra criar as pastas:

    md autorun.inf
    md\\.\\F:\autorun.inf\Con

    Outra dica é incrementar com uma descrição dentro das pastas em TXT ou até mesmo na pasta com o nome / comando:

    md autorun.inf
    md\\.\\"F:\autorun.inf\Con.Pasta anti-malware".

    t+

    ResponderExcluir
  18. Anônimo,

    Achei o texto um pouco confuso. Não entendi bem como isso funciona.

    ResponderExcluir
  19. Rafa,

    A idéia é criar arquivos ou pastas "ilegais" para que o vírus não consiga apagar a pasta "autorun.inf" e assim não possa criar um arquivo autorun.inf no lugar.

    Funciona. Mas só enquanto o autor do vírus não tiver previsto isso.

    ResponderExcluir
  20. sem duvidas que o erro é da MS. Mas ela deve ter seus motivos. tem que ter

    ResponderExcluir
  21. Oi, não seria conveniente desabilitar a "execução automática" de dispositivos no gpedit?

    ResponderExcluir
  22. Ryan, para complementar, mesmo sem a "árvore", se o usuário clicar com o botão direito no ícone em (Meu) Computador e escolher Explorar, apenas abre o Windows Explorer na raiz do drive.

    ResponderExcluir
  23. Bem legal essa MavomaX! Essa falha na segurança eu não sabia. É sempre bom ficar atento a isso.

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.