-->

quinta-feira, 7 de agosto de 2008

O primeiro vírus invisível a gente nunca esquece

Era só uma questão de tempo e eu até acho que demorou bastante, mas só na semana passada eu me deparei com um vírus que não aparece de jeito nenhum nem mesmo no poderoso Process Explorer. O vírus é mais esperto que a média, conseguindo infectar até mesmo contas de usuário limitado do XP (é também o primeiro que eu encontro, apesar de não ser algo realmente difícil).


Baseado nos vários nomes diferentes dados a esse vírus eu fiz uma pesquisa no Google e a descrição que encontrei mais parecida com a do comportamento do exemplar que tenho foi esta aqui. Mas mesmo ela não cita que o vírus não aparece na lista de processos. Nenhuma das descrições que encontrei cita isso, por isso acredito que esse vírus seja uma mutação que só foi detectada porque ainda usa código conhecido. O seu autor pegou o código de um outro vírus e acrescentou a "invisibilidade".

Ao ser executado, você vê que sys32.exe aparece na lista de processos do Process Explorer mas some logo em seguida. Você só percebe que está infectado porque:
  • Se seu antivirus estiver atualizado, ele vai dizer (esse virus usa código conhecido);
  • A intervalos irregulares seu firewall vai dizer que o Windows Explorer (não o IE) está tentando acessar a porta 7000 de endereços na internet;
  • Qualquer pendrive detectado pelo Windows ganhará imediatamente uma pasta Recycler e um arquivo autorun.inf;
Eu conheço muito pouco desse assunto, mas como o firewall diz que é o Explorer que tenta acessar a Internet e o vírus não aparece na lista, eu imagino que o vírus esteja operando por "code injection" e "hooks" injetando seu código no espaço da memória RAM que o Windows acredita estar sendo ocupado apenas pelo Explorer.

A maioria das pessoas chamaria isso de "rootkit". Mas assim como a maioria das pessoas já perdeu a noção da diferença entre "pirataria" e "falsificação" (com a ajuda incansável da nossa mídia obtusa) , a maioria das pessoas não tem noção do que é realmente um (assustador) "rootkit".

Como o vírus não é realmente um rootkit, fica fácil removê-lo, principalmente porque ele não esconde as chaves do Registro que apontam para ele e seu executável não consegue se esconder completamente.

4 comentários:

  1. Opa... também tenho problema direto com um vírus que opera por 'code injection'. É um tal de "Virut - Win32", variantes gen2 e gen4. Ele consegue "infectar" um executavel de 4KB aumentando o tamanho do arquivo de 3550B pra 3800B!
    O pior é que varios anti-virus não "desinfectam" os arquivos removendo o código, só abrem a opção de deletar o arquivo, aí se infecta um arquivo de sistema e tenho que deletar, preciso reinstalar o windows ou copiar na unha os arquivos.
    Olha que linda a imagem:
    http://i34.tinypic.com/23gyzau.png
    Se tivesse usado por exemplo o Avast, o AVG ou o Avira, eles teriam me obrigado a excluir esses arquivos ou ignorar e me manter infectado. Do que usei o nod32, pctools e norton até desinfectam, mas dependendo do executavel ser pequeno ele fica imprestavel (Deve alterar partes importantes do código).
    Ele é uma coisa que se grava de pendrive em pendrive, cria um arquivo autostar e um tels.xls.exe, com o ícone do Excel, pro usuario achar que é uma lista de telefones... aí ele clica e está feita a nhaca! Pra win95 e 98 ainda não achei anti-vírus grátis que desinfecte, os gratis só deletam... esse aí da imagem era win98, o AVG só dava a opção de ignorar ou deletar.
    Ah... esse 'virut' (É assim que o PCTools chama ele) também não roda como um processo... sei lá que falha ele explora, só espero que o AVG e o Avira consertem logo esse deslize, já reinstalei meia duzia de XP e Vista f**** por usuario que deletou arquivo do sistema quando o AV avisou de infecção! E pelo visto tudo infectado a partir de pendrive (Ou cartão de memoria ou mesmo memoria de maquina digital!)

    ResponderExcluir
  2. Ryan, cara esse processo vem acontecendo comigo. Segui os passos que vc mencionou. O truque de apagar da lixeira funcionou, porém não tem como chegar na pasta recycle, pois o bicho não deixa, nem em modo de segurança. Como não quero ficar refém do artifício de ter que apagar a lixeira e reiniciar o PC toda vez que deletar algum arquivo, pergunto se vc tem alguma sugestão para chegar no cujo. Valeu pela dica cara...

    ResponderExcluir
  3. O modo mais eficiente para você é arrancar o HD e colocar como escravo em outro PC com antivirus atualizado. Faça a varredura e mande excluir ou mover para a quarentena tudo o que for detectado.

    Infelizmente, isso só funciona para vírus detectáveis.

    Remover vírus "na munheca" é uma arte complicada. Não dá para nem tentar fazer um roteiro sem saber que vírus você tem aí.

    ResponderExcluir
  4. Uso uma ferramenta muito boa: PenClean. Ela deleta estes vírus de pendrive.
    Mas pra desinfectar .exe's fica mais complicado...

    []'s

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.