04/11/08: Este é meu quarto post sobre este vírus. Se seu interesse é técnico, não deixe de consultar os outros (todos com informação relevante):
Vocês devem se lembrar
da amostra de vírus indetectável que eu submeti ao serviço VirusTotal. Os resultados que apurei desde então foram esses:
Hoje, 17 dos antivirus se mostram capazes de reconhecer o parasita. Isso pode fazer parecer que os antivirus estão prontos para lidar com o monstrinho que tenho aqui, não é mesmo? Errado! Como o Avira Antivir aparece na lista dos 17/36, submeti a mesma amostra à minha cópia instalada do Avira e o vírus foi detectado, mas
nenhuma das outras amostras que marquei como indetectáveis foi! Para completar a desconfiança, eu separei as amostras que o Avira havia sido capaz de detectar no dia 12 das amostras indetectáveis e retestei todas. As que o Avira já havia detectado ele
continua detectando como "HEUR/Malware" e somente a cópia que eu submeti ao VirusTotal ele detecta agora como "TR/Drop.Agent.yat". E se trata da mesmíssima po**a de vírus! A propósito, fiz o
mesmo teste com o AVAST, que é outro dos "17/36". Mesmo resultado. Com a diferença de que o AVAST nunca havia detectado nada e agora só detecta o que eu enviei para o Virustotal. Alguém mais está sentindo o cheiro de algo podre no ar? Seguindo a dica do Virustotal de que o Mcafee detecta o vírus como "W32/Wplugin", encontrei
esta página, onde mais informações relevantes são dadas sobre o vírus.
- Também pode ser identificado pela string "wplugin.dll" no código - Todas as minhas amostras conferem;
- Cria um arquivo wplugin.dll quando é executado - Confere. No meu caso o arquivo foi depositado em c:\windows\
Raios... então foi por isso que eu não detectei mudanças no HDD na minha primeira análise. Eu estava procurando por arquivos .exe ou .com...
Edit: O marasmo de só encontrar vírus "burros" dia após dia está me deixando relapso. Isso é erro de principiante... Analisando wplugin.dll constatei que pelo menos parte de seu conteúdo bate com o conteúdo do vírus. Pelo menos os dois endereços de e-mail estão lá. Como wplugin.dll no meu sistema tinha exatamente a data e hora da minha infecção (é o único arquivo tocado pelo vírus que dá essa pista), usei isso para procurar por outros arquivos que podiam ter passado abaixo do meu radar. Encontrei um "c:\windows\explorer.exe.local" que eu não faço a menor idéia de que propósito tem. Olhando com um
editor hexadecimal seu conteúdo é exatamente (em ASCII): "Load library". Óbviamente suspeito, mas qual library? Qual o propósito da extensão ".local"?
04/04/09: A explicação
está aqui. Analisando mais wplugin.dll, encontrei uma dica no código de que ele poderia mexer com ws2help.dll (uma DLL legítima do Windows, parte do subsistema
Winsock). Através de comparações da minha cópia infectada do Windows com uma limpa, constatei que é isto mesmo. O vírus faz uma
cópia infectada de ws2help.dll, que normalmente reside em c:\windows\system32\, para c:\windows\, juntamente com uma cópia de wplugin.dll. Apesar de eu não entender lhufas de assembly x86 existem dicas suficientes no código e no comportamento do virus que deixam óbvio para mim que a alteração feita em ws2help.dll tem o objetivo de anexar wplugin.dll à "cadeia" Winsock. Então é assim que o bicho roda mesmo em Modo de Segurança... Resta saber se a ws2help.dll infectada é carregada no lugar da sadia simplesmente porque o Windows (incorretamente) a encontra primeiro ou se existe mais algum arquivo alterado que faz com que a DLL errada seja carregada.
04/04/09: A explicação
está aqui. A data e hora da cópia infectada é a mesma da DLL original, por isso o arquivo não aparece numa busca restrita ao horário da infecção. Acredite, quase 100% dos vírus que já encontrei não são assim tão espertos e entregam todos os seus traços numa simples busca por data/hora. Eu suponho agora (não tive tempo de testar ainda) que meu palpite anterior estava certo e meu teste de infecção proposital não funcionou justamente porque eu usei o XP SP3 como isca. Ws2help.DLL do SP3 é diferente da versão do SP2 e isso pode ter confundido o vírus, que abortou a infecção. Mas continua sendo um palpite que ainda vou testar. Bem. Essa segunda parte da minha análise começou há dois dias. Hoje, apareceu nas buscas
esta página da Mcafee, informando que o vírus foi "descoberto" em 30/10/08 (LOL). E
esta página, que acrescenta um detalhe curioso: O vírus supostamente cria os seguintes diretórios:
c:\winthor\prod
c:\winthor\prod\help
c:\winthor\spool
c:\winthor\spool\arquivos sql
"
Winthor" é um sistema brasileiro de gestão empresarial. Ou a Mcafee se enganou ou isso confirma uma suspeita particular minha de que esse vírus (ou pelo menos o que estamos vendo hoje) foi criado no Brasil. É muito estranho que todo pedido de ajuda que encontrei na internet, mesmo em inglês, contenha pelo menos uma dica de que são brasileiros pedindo ajuda. Outra coisa curiosa: A principal característica da minha infecção foi a massiva infecção de arquivos .exe em todos os meus HDDs e a Mcafee fala nesse aspecto do vírus "de passagem" como se fosse algo de pouca importância... Continuo de olho. Pelo que descobri até agora eu tenho uma grande segurança de que poderei tirar meus HDDs da quarentena. Só não tirei ainda porque quero ter certeza de que não há nenhuma variação do método de infecção que deixei passar. Minha preocupação não é com os executáveis que sei que estão infectados, mas com o que não parece estar infectado.
Edit: Quando eu publiquei os endereços de e-mail associados com o vírus meu blog se tornou o
único lugar indexado pelo Google a fazer referências a esses endereços. Duas semanas depois se eu fizesse a mesma busca, encontrava dezenas de outras páginas com esses endereços, mas todas de blogs ou flogs "vítimas" de SPAM, onde os endereços são usados pelos "remetentes" do SPAM. Hoje, buscando o endereço "cvmb@hotmail.com", já dá para encontrar páginas
como esta, (que não parece estar 100% correta, embora acrescente informações que fazem sentido) e outras falando sobre o vírus.
Edit2: Eu nunca ouvira falar do tal "Per Antivirus" e existem alguns indícios na página de que eles estão forjando/chutando/copiando a análise do vírus:
- Que arquivo W32.help.dll (fim da análise)? Isso nem mesmo é um arquivo legítimo do Windows. O virus só discrimina claramente Ws2help.dll.
- Me causa bastante surpresa ver uma DLL ser colocada para executar como se fosse um executável comum, sem sequer ser precedida de "RUNDLL32". Ou aquelas duas chaves do registro tem essa capacidade embutida (tecnicamente possível, mas bastante improvável) e o vírus sabe explorá-la (nunca vi isso) ou o virus é burro. E minha cópia não tem nada de burra;
- No código que eu tenho, não me parece que o vírus envia algo para os dois endereços de e-mail. O código dá a entender que o vírus envia e-mail PARA cvmb@hotmail.com DE sv003@yahoo.com.
Repito: não entendo lhufas de assembly para fazer uma análise apropriada. E os caras podem ter outra versão do vírus. Mas o site (terrivelmente amador para um antivirus não gratuito) e o texto deles não me inspiram nenhuma confiança na qualidade da análise.
Edit3: Supostamente, a última versão do Mcafee já é capaz de desinfectar os arquivos .exe.
26/09/2010: O tal "Per antivirus" sumiu. Seu site nem existe mais.