-->

terça-feira, 14 de outubro de 2008

Minha análise do virus. Parte 1.

Este post se refere ao virus que me infectou no domingo. Veja este aqui para o início da estória.

AMOSTRA1 - Ainda indetectável (0/36) por todos os 36 antivirus do serviço Virustotal. O arquivo infectado está com a extensão .vir, para poder ser manipulado de forma segura.

O virus não infecta todos os *.exe que encontra. Por algum motivo que não pude determinar ele deixa de modificar muitos deles. Aparentemente existe um padrão porque eu submeti um grupo de arquivos várias vezes para testar a infecção e o grupo de arquivos infectados parece ser sempre o mesmo. [edit] É possível que o virus esteja saltando os executáveis comprimidos (com UPX, por exemplo) e certamente deve estar saltando os criptografados, como o Teracopy, e os executáveis DOS. Mas podem existir outras razões.

Sintomas da infecção

Ao iniciar o Windows, mesmo no Modo de Segurança, existe uma atividade incomum e agressiva no HDD. Pendrives são acessados e seus executáveis são infectados. Arquivos infectados são cerca de 100KB maiores que o original. Todas as unidades são varridas, incluindo as de rede, e você verá a luz do drive de disquete acender uma ou mais vezes sem motivo aparente.

Como detectar os arquivos infectados

Procure pela string "cvmb@hotmail.com" ou "sv003@yahoo.com" em todos os arquivos *.exe. Como o Windows XP por default não é capaz de fazer isso, use um programa de busca de texto mais capaz, como o Agent Ransack. Qualquer arquivo localizado com uma dessas strings está certamente infectado.

ATENÇÃO: Se um único arquivo for encontrado infectado em uma unidade, todo o conteúdo deve ser posto em quarentena. Pode haver alguma variante do FDP que passe por esse filtro.

Para aumentar sua segurança você pode procurar por "@hotmail" ou "@yahoo", mas você deve estar preparados para falsos positivos. O executável do MSN Messenger, por exemplo, cai nesse filtro.

Como manipular os arquivos com segurança

Use um programa que renomeie arquivos recursivamente para acrescentar ".vir" à extensão de todos os arquivos .EXE. No momento, Lupas Rename parece ser a melhor ferramenta para isso. Dessa forma não será mais possível executar o vírus por acidente e você ainda será capaz de desinfectar os arquivos quando sair uma ferramenta de remoção.

Mais detalhes

O vírus, pelo menos na fase inicial, não coloca nenhum executável extra em lugar nenhum. Mas seu código sugere que ele pode baixar mais alguma coisa para o HDD da vitima se houver uma conexão à internet. Existe também uma página HTML embutida no código. A infecção poderia ser detectada por uma ferramenta capaz de detectar a presença de assinaturas de executável ("MZ") extras. Aparentemente ele sempre é anexado no final do arquivo original, mas um trecho no início é modificado para executá-lo (um processo de "binding" comum).

2 comentários:

  1. eae.. beleza?

    bah.. tu acredita que peguei isso tb..
    fui num cliente e estava cheio de virus.. o pc nem iniciava.. tentei recuperar .. usando arquivos da pendrive.. (axo q foi ai que peguei o virus)
    quando vi estava atrolhado de virus no pc.. tudo que era arquivo EXE o avast detectava como win32:virut

    dai .. resolvi o problema .. formatando

    soh que fui concertar o pc da minha prima uns dois dias depois.. instalei alguns programas da pendrive

    e ia tentar instalar antivirus.. o arquivo sumia setuppor.exe
    e reiniciava o pc..
    nao tava entendendo nada.. TEM ALGO ERRADO

    dai fui no pc do meu irmao.. instalei o avast... e verifiquei a pendrive.. quase todos .exe de instalacao q eu tinha tava 100kb a mais como vc falo
    tudo com virus =/

    tive que deletar quase tudo.. fikei puto da cara

    mas entao eh isso!

    o/


    matheuslbarros@hotmail.com

    ResponderExcluir
  2. Eu acho que peguei este vírus também.
    Enquanto eu navegava pelo PC, encontrei uma DLL irregular na pasta Dados de Aplicativos, estranhando eu fui editar a DLL para saber do que ela tratava e descobri estes dois e-mails, e procurei no google sobre eles, e acabei aqui.
    Estou vasculhando o computador todo agora!

    Muito Obrigado por este tópico!

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.