-->

sexta-feira, 31 de outubro de 2008

Análise do vírus: Segunda Parte.

04/11/08: Este é meu quarto post sobre este vírus. Se seu interesse é técnico, não deixe de consultar os outros (todos com informação relevante):




Vocês devem se lembrar da amostra de vírus indetectável que eu submeti ao serviço VirusTotal. Os resultados que apurei desde então foram esses:
Hoje, 17 dos antivirus se mostram capazes de reconhecer o parasita. Isso pode fazer parecer que os antivirus estão prontos para lidar com o monstrinho que tenho aqui, não é mesmo? Errado! Como o Avira Antivir aparece na lista dos 17/36, submeti a mesma amostra à minha cópia instalada do Avira e o vírus foi detectado, mas nenhuma das outras amostras que marquei como indetectáveis foi! Para completar a desconfiança, eu separei as amostras que o Avira havia sido capaz de detectar no dia 12 das amostras indetectáveis e retestei todas. As que o Avira já havia detectado ele continua detectando como "HEUR/Malware" e somente a cópia que eu submeti ao VirusTotal ele detecta agora como "TR/Drop.Agent.yat". E se trata da mesmíssima po**a de vírus! A propósito, fiz o mesmo teste com o AVAST, que é outro dos "17/36". Mesmo resultado. Com a diferença de que o AVAST nunca havia detectado nada e agora só detecta o que eu enviei para o Virustotal. Alguém mais está sentindo o cheiro de algo podre no ar? Seguindo a dica do Virustotal de que o Mcafee detecta o vírus como "W32/Wplugin", encontrei esta página, onde mais informações relevantes são dadas sobre o vírus.
  • Também pode ser identificado pela string "wplugin.dll" no código - Todas as minhas amostras conferem;
  • Cria um arquivo wplugin.dll quando é executado - Confere. No meu caso o arquivo foi depositado em c:\windows\
Raios... então foi por isso que eu não detectei mudanças no HDD na minha primeira análise. Eu estava procurando por arquivos .exe ou .com... Edit: O marasmo de só encontrar vírus "burros" dia após dia está me deixando relapso. Isso é erro de principiante... Analisando wplugin.dll constatei que pelo menos parte de seu conteúdo bate com o conteúdo do vírus. Pelo menos os dois endereços de e-mail estão lá. Como wplugin.dll no meu sistema tinha exatamente a data e hora da minha infecção (é o único arquivo tocado pelo vírus que dá essa pista), usei isso para procurar por outros arquivos que podiam ter passado abaixo do meu radar. Encontrei um "c:\windows\explorer.exe.local" que eu não faço a menor idéia de que propósito tem. Olhando com um editor hexadecimal seu conteúdo é exatamente (em ASCII): "Load library". Óbviamente suspeito, mas qual library? Qual o propósito da extensão ".local"? 04/04/09: A explicação está aqui. Analisando mais wplugin.dll, encontrei uma dica no código de que ele poderia mexer com ws2help.dll (uma DLL legítima do Windows, parte do subsistema Winsock). Através de comparações da minha cópia infectada do Windows com uma limpa, constatei que é isto mesmo. O vírus faz uma cópia infectada de ws2help.dll, que normalmente reside em c:\windows\system32\, para c:\windows\, juntamente com uma cópia de wplugin.dll. Apesar de eu não entender lhufas de assembly x86 existem dicas suficientes no código e no comportamento do virus que deixam óbvio para mim que a alteração feita em ws2help.dll tem o objetivo de anexar wplugin.dll à "cadeia" Winsock. Então é assim que o bicho roda mesmo em Modo de Segurança... Resta saber se a ws2help.dll infectada é carregada no lugar da sadia simplesmente porque o Windows (incorretamente) a encontra primeiro ou se existe mais algum arquivo alterado que faz com que a DLL errada seja carregada. 04/04/09: A explicação está aqui. A data e hora da cópia infectada é a mesma da DLL original, por isso o arquivo não aparece numa busca restrita ao horário da infecção. Acredite, quase 100% dos vírus que já encontrei não são assim tão espertos e entregam todos os seus traços numa simples busca por data/hora. Eu suponho agora (não tive tempo de testar ainda) que meu palpite anterior estava certo e meu teste de infecção proposital não funcionou justamente porque eu usei o XP SP3 como isca. Ws2help.DLL do SP3 é diferente da versão do SP2 e isso pode ter confundido o vírus, que abortou a infecção. Mas continua sendo um palpite que ainda vou testar. Bem. Essa segunda parte da minha análise começou há dois dias. Hoje, apareceu nas buscas esta página da Mcafee, informando que o vírus foi "descoberto" em 30/10/08 (LOL). E esta página, que acrescenta um detalhe curioso: O vírus supostamente cria os seguintes diretórios:

  • c:\winthor\prod

  • c:\winthor\prod\help

  • c:\winthor\spool

  • c:\winthor\spool\arquivos sql

  • "Winthor" é um sistema brasileiro de gestão empresarial. Ou a Mcafee se enganou ou isso confirma uma suspeita particular minha de que esse vírus (ou pelo menos o que estamos vendo hoje) foi criado no Brasil. É muito estranho que todo pedido de ajuda que encontrei na internet, mesmo em inglês, contenha pelo menos uma dica de que são brasileiros pedindo ajuda. Outra coisa curiosa: A principal característica da minha infecção foi a massiva infecção de arquivos .exe em todos os meus HDDs e a Mcafee fala nesse aspecto do vírus "de passagem" como se fosse algo de pouca importância... Continuo de olho. Pelo que descobri até agora eu tenho uma grande segurança de que poderei tirar meus HDDs da quarentena. Só não tirei ainda porque quero ter certeza de que não há nenhuma variação do método de infecção que deixei passar. Minha preocupação não é com os executáveis que sei que estão infectados, mas com o que não parece estar infectado. Edit: Quando eu publiquei os endereços de e-mail associados com o vírus meu blog se tornou o único lugar indexado pelo Google a fazer referências a esses endereços. Duas semanas depois se eu fizesse a mesma busca, encontrava dezenas de outras páginas com esses endereços, mas todas de blogs ou flogs "vítimas" de SPAM, onde os endereços são usados pelos "remetentes" do SPAM. Hoje, buscando o endereço "cvmb@hotmail.com", já dá para encontrar páginas como esta, (que não parece estar 100% correta, embora acrescente informações que fazem sentido) e outras falando sobre o vírus. Edit2: Eu nunca ouvira falar do tal "Per Antivirus" e existem alguns indícios na página de que eles estão forjando/chutando/copiando a análise do vírus:
    • Que arquivo W32.help.dll (fim da análise)? Isso nem mesmo é um arquivo legítimo do Windows. O virus só discrimina claramente Ws2help.dll.
    • Me causa bastante surpresa ver uma DLL ser colocada para executar como se fosse um executável comum, sem sequer ser precedida de "RUNDLL32". Ou aquelas duas chaves do registro tem essa capacidade embutida (tecnicamente possível, mas bastante improvável) e o vírus sabe explorá-la (nunca vi isso) ou o virus é burro. E minha cópia não tem nada de burra;
    • No código que eu tenho, não me parece que o vírus envia algo para os dois endereços de e-mail. O código dá a entender que o vírus envia e-mail PARA cvmb@hotmail.com DE sv003@yahoo.com.
    Repito: não entendo lhufas de assembly para fazer uma análise apropriada. E os caras podem ter outra versão do vírus. Mas o site (terrivelmente amador para um antivirus não gratuito) e o texto deles não me inspiram nenhuma confiança na qualidade da análise. Edit3: Supostamente, a última versão do Mcafee já é capaz de desinfectar os arquivos .exe.

    26/09/2010: O tal "Per antivirus" sumiu. Seu site nem existe mais.

    25 comentários:

    1. Aqui na Areva Koblitz, pegamos este virus na semana passada e foi uma dor de cabeça enorme, perdemos quase uma semana de trabalho por causa dele. Felizmente o antivirus contratado da empresa já encontrou uma solução e retirou o virus (sem deletar os arquivos infectados). O antivirus foi o Office Scan da TrendMicro. O antivirus chama o virus de "PE_Wplug.A", será que é um virus Pernambucano?

      Infelismente O computador da minha casa também está infectado e o Avast ainda não encontrou uma solução.

      Parece que a CHESF também pegou este virus.

      ResponderExcluir
    2. Winthor é um sistema de Gestão da PC Informática de Goiânia (GO) www.pcinformatica.com.br

      ResponderExcluir
    3. Anônimo,

      Se você está sugerindo que seja pernambucano por causa do prefixo "PE", não. "PE" é abreviatura de Portable Executable, o tipo de "EXE" que o vírus infecta.

      ResponderExcluir
    4. Como já foi dito, Winthor é um sistema de Gestão empresarial, da empresa PC Sistemas que tem matriz em Goiânia, e que é utilizado pela maioria dos Atacadistas do País. Utilizamos em nossa empresa e estamos com essa infecção em nosso sistema. As pastas citadas, são as pastas do sistema onde ficam armazenadas todas as rotinas, que são arquivos executáveis (.exe), daí com a infecção, todas as rotinas são infectadas, o que leva a crer que alguém criou o vírus para atacar justamente o comercio atacadista do país, ou apenas prejudicar a PC Sistemas.
      O vírus aparentemente não causa nenhum defeito nos executáveis, pelo que percebi ele cria uma infecção, onde o anti vírus detecta e não consegue limpar, daí por consequência ele exclui o executável deixando assim alguma rotina do sistema sem funcionar, isso acontece por exemplo com o AVG. Desabilitei a proteção residente, o anti virus parou de excluir as rotinas e o trabalho não foi mais afetado.

      Minha conclusão: O Vírus foi criado para afetar os clientes da PC Sistemas e em consequência a PC Sistemas e ele se utiliza da própria proteção do anti virus para destruir o sistema.

      ResponderExcluir
    5. Anônimo,

      Não estou descartando possibilidades ainda, mas me parece que se o vírus tem mesmo o objetivo de atacar o Winthor especificamente, este é apenas um dos seus objetivos.

      Eu não sou atacadista e fui infectado (massivamente). Meu cliente que me infectou também não é atacadista (sequer é comerciante).

      Quanto à exclusão de arquivos, isso depende da configuração de seu antivirus. Muitos antivirus não excluem arquivos por default e eu mesmo só configuraria assim em PCs operados por gente que possivelmente daria a resposta errada caso o antivirus perguntasse o que fazer.

      Não é inteligente para um virus se utilizar do antivirus para fazer seu trabalho, porque isso chama atenção e é tudo o que um vírus não quer. Para um virus é extraordinariamente mais simples simplesmente deletar arquivos, silenciosamente. Mas isso também chama atenção, por isso geralmente é programado para uma data específica.

      ResponderExcluir
    6. Olá, vc ja experimentou usar o Kaspersky Antivirus? Ele me parece ser um dos melhores antivirus do mercado.

      ResponderExcluir
    7. Anônimo,

      Infelizmente, o fato do Karspersky não ser gratuito já o exclui de cara das minhas avaliações. E não existe nenhuma garantia de que ele seja suficientemente melhor que os gratuitos para justificar a assinatura anual. Se você acompanhou toda a minha análise deste incidente, verá que o Karspersky não se saiu significativamente melhor que qualquer outro antivirus.

      ResponderExcluir
    8. Ae pessoal tbem fomos infectados por esse virus que se foi criado para prejudicar a PC Sistemas ou nao, nos custou algumas horas de trabalho a mais.
      Conseguimos remover com o Antivirus MCaffe da VirusCan dat 5418.

      ResponderExcluir
    9. Pelo visto é uma epidemia.. tá problemático esse vírus...

      ResponderExcluir
    10. Olá jeferson. vocÊ não vai lembrar de mim mas trabalhei na next informática há uns 10 anos atrás. na época de Rodrigo, Adriano...

      Eu conssegui retirar na minha casa com a versao de avaliação gratis da mcAfee. ele realmente limpou todos os meus executáveis. acho que vale a pena usar nem que seja pra retirar esse virus maldito.

      ResponderExcluir
    11. Oi, estou com esse mesmo problema em 10 máquinas do meu escritório. (em rede). Entrou no dia 25/10, todos os pcs estavam com o avast que identificava o vírus por Win32:Rootkit-gen [Rtk] , no arquivo wplugin.dll
      Nas pastas:
      C:\Documents and Settings\Administrador\Dados de aplicativos
      C:\Windows
      O alerta do avast era quando iria acessar algum sistema da empresa. Coloquei o avira, que no primeiro momento funcionou normal, mas logo depois localizou o vírus e não deixou mais entrar no sistema. Testei várias ferramentas pra rootkit que nem o localizam. Testei outros antivírus que também nem o localizaram. Enquanto isso pra usar os sistemas temos q desativar o antivírus. Uma semana de sufoco!
      Vou colocar o McAfee, como sugerido, para ver se resolve.
      Abraços

      ResponderExcluir
    12. O que eu fico impressionado é que depois de tanto tempo de existencia (do virus) e tantas empresas infectadas, poucos são os antivirus que detecta e limpa os arquivos infectados. O Avast está me decepicionando... ele até detecta (e impede a execução) quando um exécutavel infectado executa e tenta disceminar o virus, mas não limpa o mesmo.

      ResponderExcluir
    13. Olá Ryan!

      Baixei agora a AMOSTRA 1, assim que acabou de baixar o Norton Internet Security 2009, encontrou (W32.Slugin.A!inf) e limpou, sem apagar nada. Veja o link abaixo mais informações sobre o danado do virus.

      http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2008-102513-4113-99&tabid=1

      ResponderExcluir
    14. Pessoal, a situação aqui é a seguinte: detectei esse vírus em um cliente no dia seguinte à sua descoberta (17/10)logo de cara percebi a dinâmica do troço após a contaminação que segundo o mesmo veio a partir de um programa baixado do HSBC (isso mesmo - um troço de cheque, não lembro), a partir daí, detonou o Winthor do cara. Paralisei a rede do mesmo e com o Mcafee 2008 Plus limpei a mesma e o cara tá feliz. A merda é que sem querer esqueci de revisar meu pendrive e ao inseri-lo em meu micro, detonou os três HDs que tenho com todos os programas que uso para suporte (toooodos). A desgraça do Mcafee que resolveu lá, aqui não quer funcionar direito, formatei um dos HDs e criei Wplugins falsos nas pastas para que não fossem contaminadas (funciona) pois quando o arquivo contaminado é executado fica bloqueado dando erro de dll. Meu povo, já tô na DAT 5425 e nada de limpeza tô desesperado será que alguém aí sabe de outro antívirus que realmente limpe o arquivo sem deleta-lo, agradeceria a informação. Célio Cuiabá/MT

      ResponderExcluir
    15. Cansei de esperar uma solução gratuita. Vou comprar o McaFee e instalar no meu computador pra retirar este virus... Em toda minha vida nunca apanhei tanto de um virus!

      ResponderExcluir
    16. Jefferson,

      O fato dele ser uma dll talvez seja para ela ser carregada por todos os processos através do uso da chave de registro:

      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

      conforme eu li no artigo

      http://www.guiadohardware.net/artigos/seguranca-windows-api/

      "...
      No registro do Windows existe uma chave chamada AppInit_DLLs, que força o carregamento de qualquer DLL/EXE quando um aplicativo é iniciado.
      ..."

      Acho interessante verificar se este vírus utiliza este recurso, depois deste artigo passei a monitorar constantemente esta chave.

      ResponderExcluir
    17. Célio, depois de penar muito, acabei usando o Norton 2009 para eliminar a praga. Ele retirou automaticamente o virus, sem apagar ou danificar o EXE. Agora uma coisa é verdade: como um AV que se diz o melhor do mercado não conseguir reverter esse quadro? Sei não, mas o AVIRA tá me deixando decepcionado!

      ResponderExcluir
    18. Vou relatar algo interessante. Trabalho em uma empresa bastante conhecida aqui em recife. Entraram em contato conosco relatando sobre alguns virus no banco de dados, lógico que não era no banco de dados e sim na partição samba do linux. Viramos a madrugada removendo o virus de mais de 20 máquinas nesta distribuidora. Os vírus encontrados foram Sality, Heur e Thanatos. Não lembro as suas variações. Passado alguns dias um outra distribuidora relatou o mesmo problema, quando chegamos lá eram o mesmo vírus. Passou mais algum tempo e outra distribuidora do interior de Pernambuco com o mesmo problema e os mesmo vírus. Nesta distribuidora do interior eu encontrei um consultor da região norte que também relatou o mesmo problema com esses 3 virus. Ele relatou que semanas antes um funcionário da PCsistemas entrou em contato com essa distribuidora perguntando se eles estavam com vírus, até aquele momento não estavam.

      Algumas estranhas... Todas essas empresas haviam atualizado recentemente o sistema Winthor, até que esses vírus paralizaram toda a rede. Esta atualização ficou disponivel por alguns dias no ftp da empresa, depois sumiu por uns dias e reapareceu.

      Bom... Tirem as suas conclusões.

      ResponderExcluir
    19. Parabéns pelo blog! Até adicionei aos meus favoritos, parabéns mesmo! Tem as informações mais detalhadas que já vi em algum site, nota 10.
      Estou com esse mesmo vírus, o Kaspersky "disse que conseguiu" desinfectar as EXE do meu computador (eram poucas). Mas o arquivo ws2help.dll continua na pasta C:\Windows e na pasta C:\Windows\system32\dllcache. Posso deletar esses dois arquivos?
      Olha o que eu achei:
      http://vil.nai.com/vil/content/v_152721.htm
      http://pt.mcafee.com/virusInfo/default.asp?id=description&virus_k=153082
      O segundo link contem informacoes detalhadas de todas as alteracoes feitas no sistema pelo virus, pode ser útil para voce descobrir um jeito de desinfectar o sistema e depois publicar no blog para nós hehehehe

      Abraço

      ResponderExcluir
    20. Gostei muito desse blog tbm, e nunca nem um blog me fez parar para ler um artigo(somente este), porém o q me fez ler esse artigo foi que o Norton 360 encontrou o virus e excluiu sem ao menos eu perceber q tinha sido infectada. Pesquisei so para ter conhecimento do virus, caso haja infecção nso Pcs da empresa.

      ResponderExcluir
    21. Olá Ryan, gostei bastante da análise que você fez sobre o meu vírus. Foi bem detalhado com relação ao modo de infecção. Fiquei bastante surpreso com o fato dele escapado do meu computador. Espero não ter lhe causado muitos problemas e que você tenha até se divertido da mesma forma que eu me divirto com os vírus que infectam o meu computador. Eu terminei esse vírus em maio de 2008 e o deixei guardado em meu computador porque ele ainda estava em fase de teste e terminei me envlovendo em outras atividades. Só fui descobrir que ele tinha escapado quando eu tentei ressuscitá-lo há alguns dias e o meu anti-vírus o identificou. Dá pra imaginar o tamanho da minha surpresa? Gostaria que você respondesse onde você acha que pegou ele (cidade e bairro apenas). Isso será importante pra eu saber até onde ele foi e pode me dar uma pista de como ele saiu do meu computador. Em troca, eu vou lhe dar alguns detalhes que não estão no seu pôster. Esse vírus tem um componente backdoor que me permite acessar o sistema infectado através do protocolo HTTP. Esse é o propósito da página HTML embutida. Todas as informações sobre o sistema, tais como endereço IP e porta de acesso, são criptografadas e enviadas para um dos e-mail listados no seu pôster. Somente eu posso decifrá-las. Mas eu não fiz nenhum acesso uma vez que eu não sabia que ele tinha se espalhado. Sobre os executáveis que ele não infectava, há dois critérios básicos a serem cumpridos para que um arquivo seja infectável pelo vírus. Um deles é a disponibilidade de algumas rotinas do Windows na tabela de importação. Essas rotinas são importantes para que o vírus realize operações básicas, como o carregamento de Wplugin.dll. O outro critério é o tamanho de secção do código executável. Obviamente, ela deve ser maior que o código do vírus. Estarei esperando um comentário seu. Obrigado e peço desculpas por qualauer transtorno.

      ResponderExcluir
    22. Boris,

      Não que eu esteja realmente certo de que você seja o autor do vírus, mas a informação que você pede eu daria a qualquer um que perguntasse: o vírus atingiu meu cliente no bairro da Imbiribeira em Recife. Já as informações sobre a empresa de software que infectou meu cliente (que são mais importantes para saber de onde o vírus veio) eu estou impedido de dar pela ética profissional.

      ResponderExcluir
    23. Mais de um ano se passou e Avast e Avira ainda são incapazes de "limpar" a infecção. Eles detectam o vírus, mas jogam os executáveis na quarentena. Isso inutiliza a instalação do Windows atingida.

      Eu tive que baixar uma versão de avaliação do Mcafee para poder limpar um HDD infectado que eu tinha aqui. 216 arquivos encontrados e "corrigidos".

      ResponderExcluir
    24. Fico triste em saber que uma pessoa com elevado nível de conhecimento utilize-o para produzir programas nocivos, que só trazem prejuízos à coletividade.

      Sou desenhista de quadrinhos e programador de jogos, e tinha em meus HDs milhares de obras artísticas arquivadas, em processo de publicação, além de 72 projetos de jogos para várias plataformas, dos quais cerca de 10% já estavam em fase de testes...

      Eis que utilizando meu pen drive numa escola de informática, onde fui inocentemente mostrar para as crianças os principios da programação de jogos, contaminei o mesmo com esse maldito vírus, e chegando em casa, o infeliz passou por todos os meus sistemas de identificação, que eram o NOD32, o AVAST e o AVIRA, embora este último ainda tenha apontado o arquivo "Wplugin.dll" como suspeito.

      Resultado: TODOS OS 72 PROJETOS DE JOGOS, MUITOS DOS QUAIS EU JÁ HAVIA RECEBIDO POR ELES, FORAM PRO LIXO, ALÉM DAS OBRAS ARTÍSTICAS DAS QUAIS NÃO TINHA BACKUP...

      Já que o cidadão que se diz chamar BORIS se manisfestou aqui como o autor do vírus, receba os meus sinceros agradecimentos por estragar o trabalho de uma vida!

      Agoratenho de devolver o dinheiro dos lientes, preparar as costas para processos judiciais por danos materiais e morais, ver minha família apetar o cinto, e cair no ostracismo e descrédito na área em qu tanto batalhei por mais de 12 anos...

      Se isso faz o autor do vírus feliz, essa desgraça aconteceu em Natal/RN.

      Tião Ferreira

      ResponderExcluir

    Siga as regras do blog ou seu comentário será ignorado.