-->

domingo, 12 de outubro de 2008

Infectado por um novo vírus!

Desde o início da manhã de hoje eu estou lutando contra um vírus novo, que me infectou quando eu executei um programa do meu pendrive. Eu submeti uma amostra ao Virustotal e o resultado foi 4/36.

Características do virus:
  • File infector - Em minutos infectou dezenas (talvez centenas) de arquivos executáveis nos meus HDDs;
  • Usa duas variantes de infecção. Uma é detectável pela heurística do Avira Antivir. A outra variante é detectável apenas pelo Panda (1/36); Eu só descobri essa segunda variante porque o arquivo que me infectou não era acusado pela Avira, mas comparando o conteúdo do meu pendrive com outra cópia eu encontrei ele e vários arquivos com 100K a mais, que o Avira ainda não acusa.
  • Não consegui vê-lo pelo Process Explorer (mas não tive muito tempo para isso ainda);

Por causa dessa segunda variante é possível passar o anti-virus (quase todos do mercado) em um HDD inteiro infectado e não encontrar nada. Foram infectados o meu computador principal e (ainda incerto) meu servidor/gateway, que começou a se comportar de modo muito estranho após um reboot, por isso estou instalando outra cópia do Windows nele neste momento.

Não poder confiar em nenhum executável que não esteja em CD/DVD é dose.

Uma análise mais detalhada vai ter que esperar. Já marquei com meu último cliente para ir lá ainda hoje às 14:00H para fazer uma varredura em sua rede. Estou levando dois computadores, sendo um com o Avira e outro com o Panda (que estou baixando agora) para analisar todos os HDDs de lá.

Farei outro post mais detalhado quando a coisa estiver mais calma.

Edit: Esta estória se desenrola por esses outros posts:

9 comentários:

  1. Uma falha que acho no Avira é o fato dele não escanear arquivos com atributo +h, eu notei isso ao passar o teste completo e não encontrar um arquivo que eu sabidamente reconhecia com um virus (vundo) e não era reconhecido pelo avira.. desabilitei as opções de ocultar arquivos protegidos e o avira pegou eles.

    ResponderExcluir
  2. Não consegui visualizar o resultado do virustotal. tem como vc salvar como imagem e postar diretamente aqui?

    ResponderExcluir
  3. Daniel,

    Desde o domingo eu estou trabalhando para desfazer o dano provocado pelo vírus em um cliente. Por sorte, apenas o computador da contabilidade e um minúsculo compartilhamento do servidor foram infectados. Neste momento eu estou na empresa dele. À noite eu responderei melhor.

    ResponderExcluir
  4. Servidores Linux ora bolas.

    ResponderExcluir
  5. Anônimo,

    Eu tentei.

    Perdi dois dias tentando configurar um proxy transparente com Linux. Quando finalmente descobri que não estava funcionando porque a versão mais recente de uma das ferramentas necessárias (não lembro se foi o squid ou o iptables) havia mudado de forma que nenhuma documentação ou tutorial disponível na internet funcionava, perdi todo o "tesão" (dois dias perdidos é dose) e instalei o proxy com Windows (ICS) em duas horas.

    ResponderExcluir
  6. Lembrei. Era o SQUID.

    Da versão 2.6 em diante o SQUID tem um modo diferente" de habilitar o proxy transparente. E, como ser "user friendly" parece proibido no mundo Linux, não há (ou não havia) nenhum aviso de que eu estava usando o método antigo. E o SQUID poderia detectar isso facilmente pelo meu uso de linhas "obsoletas" no arquivo de configuração.

    Hoje se acha facilmente isso pelo Google, mas na época que tentei TODOS os tutoriais que apareciam na busca estavam "errados" e como todos os tutoriais diziam que funcionava e não estava funcionando, passei dois dias achando que era incompetência minha.

    Imagine minha frustração com o "Linux Way" quando descobri o motivo.

    Quando passa por algo assim, você aprende a apreciar o enorme esforço que a Microsoft faz para manter a compatibilidade, mesmo às custas de muita gambiarra.

    ResponderExcluir
  7. da proximaveaz lembrai de usar o EXPLORE para abrir o pendrive +D

    ResponderExcluir
  8. Assistencia,

    Da próxima vez, procure se informar mais sobre o autor do blog e prestar mais atenção ao que ele escreveu.

    ResponderExcluir
  9. game_hacker16/7/11 19:04

    @assistencia voce e um postador paraquedista que so pousa e comeca a xingar sem saber do historico do blog/blogueiro XD se fuuuuuuuuu

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.