Baseado nos vários nomes diferentes dados a esse vírus eu fiz uma pesquisa no Google e a descrição que encontrei mais parecida com a do comportamento do exemplar que tenho foi esta aqui. Mas mesmo ela não cita que o vírus não aparece na lista de processos. Nenhuma das descrições que encontrei cita isso, por isso acredito que esse vírus seja uma mutação que só foi detectada porque ainda usa código conhecido. O seu autor pegou o código de um outro vírus e acrescentou a "invisibilidade".
Ao ser executado, você vê que sys32.exe aparece na lista de processos do Process Explorer mas some logo em seguida. Você só percebe que está infectado porque:
- Se seu antivirus estiver atualizado, ele vai dizer (esse virus usa código conhecido);
- A intervalos irregulares seu firewall vai dizer que o Windows Explorer (não o IE) está tentando acessar a porta 7000 de endereços na internet;
- Qualquer pendrive detectado pelo Windows ganhará imediatamente uma pasta Recycler e um arquivo autorun.inf;
A maioria das pessoas chamaria isso de "rootkit". Mas assim como a maioria das pessoas já perdeu a noção da diferença entre "pirataria" e "falsificação" (com a ajuda incansável da nossa mídia obtusa) , a maioria das pessoas não tem noção do que é realmente um (assustador) "rootkit".
Como o vírus não é realmente um rootkit, fica fácil removê-lo, principalmente porque ele não esconde as chaves do Registro que apontam para ele e seu executável não consegue se esconder completamente.
Opa... também tenho problema direto com um vírus que opera por 'code injection'. É um tal de "Virut - Win32", variantes gen2 e gen4. Ele consegue "infectar" um executavel de 4KB aumentando o tamanho do arquivo de 3550B pra 3800B!
ResponderExcluirO pior é que varios anti-virus não "desinfectam" os arquivos removendo o código, só abrem a opção de deletar o arquivo, aí se infecta um arquivo de sistema e tenho que deletar, preciso reinstalar o windows ou copiar na unha os arquivos.
Olha que linda a imagem:
http://i34.tinypic.com/23gyzau.png
Se tivesse usado por exemplo o Avast, o AVG ou o Avira, eles teriam me obrigado a excluir esses arquivos ou ignorar e me manter infectado. Do que usei o nod32, pctools e norton até desinfectam, mas dependendo do executavel ser pequeno ele fica imprestavel (Deve alterar partes importantes do código).
Ele é uma coisa que se grava de pendrive em pendrive, cria um arquivo autostar e um tels.xls.exe, com o ícone do Excel, pro usuario achar que é uma lista de telefones... aí ele clica e está feita a nhaca! Pra win95 e 98 ainda não achei anti-vírus grátis que desinfecte, os gratis só deletam... esse aí da imagem era win98, o AVG só dava a opção de ignorar ou deletar.
Ah... esse 'virut' (É assim que o PCTools chama ele) também não roda como um processo... sei lá que falha ele explora, só espero que o AVG e o Avira consertem logo esse deslize, já reinstalei meia duzia de XP e Vista f**** por usuario que deletou arquivo do sistema quando o AV avisou de infecção! E pelo visto tudo infectado a partir de pendrive (Ou cartão de memoria ou mesmo memoria de maquina digital!)
Ryan, cara esse processo vem acontecendo comigo. Segui os passos que vc mencionou. O truque de apagar da lixeira funcionou, porém não tem como chegar na pasta recycle, pois o bicho não deixa, nem em modo de segurança. Como não quero ficar refém do artifício de ter que apagar a lixeira e reiniciar o PC toda vez que deletar algum arquivo, pergunto se vc tem alguma sugestão para chegar no cujo. Valeu pela dica cara...
ResponderExcluirO modo mais eficiente para você é arrancar o HD e colocar como escravo em outro PC com antivirus atualizado. Faça a varredura e mande excluir ou mover para a quarentena tudo o que for detectado.
ResponderExcluirInfelizmente, isso só funciona para vírus detectáveis.
Remover vírus "na munheca" é uma arte complicada. Não dá para nem tentar fazer um roteiro sem saber que vírus você tem aí.
Uso uma ferramenta muito boa: PenClean. Ela deleta estes vírus de pendrive.
ResponderExcluirMas pra desinfectar .exe's fica mais complicado...
[]'s