| « Trilha Sonora | Estudando inglês » |
Vírus em pen drive
Eu sou do tempo que vírus propagava-se por disquete 5" 1/4. Normalmente esperavam uma data específica para agir como uma sexta-feira 13 ou a data de aniversário de um artista renascentista, com o objetivo de ter tempo de se propagar. Como advento da internet, tudo ficou diferente. Vírus bom, é vírus rápido, o que deixou o padrão em mídia removível para lá de demodê.
Só que agora inventaram de tornar mídias removíveis acessórios mais comuns com os nossos pen drives e mp3 players. Pois bem, pela segunda vez seguida, ao abrir meu dispositivo, após utilizá-lo em um ambiente público, me deparo com os arquivos autorun.inf e Knight.exe. Na minha máquina, nada acontece, mas numa máquina Windows com poderes de administrador (o padrão) o arquivo autorun.inf contém instruções para executar o arquivo .exe automaticamente ao inserir o dispositivo (não tenho certeza em relação ao Vista), aí já viu, né? Intruso na máquina.
Enviei o arquivo Knight.exe para o Virustotal e tive a seguinte resposta ao ser analisado por diversos anti-vírus:
AhnLab-V3 - - Win32/Disnight.worm.421888
AntiVir - - TR/Autorun.acl
Authentium - - W32/Autorun.C
Avast - - INF:DiskKnight
AVG - - Worm/VB.CSP
BitDefender - - Application.DiskKnight.B
CAT-QuickHeal - - Worm.AutoRun.ao
ClamAV - - PUA.Tool.Diskknight
DrWeb - - Win32.HLLW.Knight
eSafe - - Win32.AutoRun.ao
eTrust-Vet - - Win32/DiskKnight.B
Ewido - - Worm.AutoRun.ao
FileAdvisor - - High threat detected
Fortinet - - W32/AutoRun.AO!worm
F-Prot - - W32/Worm!2438
F-Secure - - Worm.Win32.AutoRun.aul
Ikarus - - Worm.Win32.AutoRun.aul
Kaspersky - - Worm.Win32.AutoRun.aul
McAfee - - Generic VB.b
Microsoft - - Worm:Win32/Disnight.A
NOD32v2 - - Win32/AutoRun.CH
Norman - - W32/AutoRun.AFR
Panda - - Application/DiskKnight
Prevx1 - - -
Rising - - Worm.Win32.Autorun.ao
Sophos - - W32/Autorun-H
Sunbelt - - -
TheHacker - - W32/AutoRun.ao
VBA32 - - Worm.Win32.AutoRun.ao
VirusBuster - - Worm.AutoRun.O
Webwasher-Gateway - - Trojan.Autorun.acl
Um belíssimo trojan que permite controle remoto da máquina.
Então, cuidado onde espeta seu pen drive pois vai começar tudo de novo.
Sugestão musical para este texto: "Run On" - Blind Boys of Alabama. Música negra norte-americana da melhor qualidade.
Endereço de trackback para este post
Trackback URL (clique direito e copie atalho/localização do link)
16 comentários
Dia desses minha prima adolescente trouxe seu novíssimo "MP5" para eu adicionar algumas músicas.
E não é que ao conectar o bendito no Rwindows havia um arquivo .exe o qual foi descoberto pelo anti-vírus? Detalhe: O infeliz do aparelhinho nunca havia sido utilizado.
MP3-Players e outras quinquilharias vindos "de fábrica" com vírus? Novidade pra mim.
Dependia de lan-houses e dos computadores da faculdade para fazer as coisas.
Durante todo aquele tempo, não usei nenhum computador sem antivírus, sendo que os computadores pelos quais passei tinham o Norton AV, o Avast e o AVG.
Bom, invariavelmente, meu pendrive era infectado por algum virus do tipo descrito pelo teu post. Aprendi, com isso, que mesmo antivírus atualizados não dão 100% de segurança que o computador não será infectado. O AVG da faculdade era atualizado diariamente e mesmo assim lá foi um dos lugares onde meu pendrive foi infectado.
Mp3 player anunciado na televisão: "... e não é só isso. Ligando agora você ganha inteiramente grátis seu próprio spyware";
@T1000,
Já fiz vários testes com arquivos de phishings enviando ao VirusTotal. Inevitavelmente alguns arquivos não são identificados por alguns anti-vírus o que realmente não garante 100% de presteza.
Agradeço de puder me responder por e-mail.
obrigado
quando deletar, despluque e plugue novamente pra ver se realmente foi eliminado.
geralmente os virus ficam na raiz.
arquivos .inf .exe .com etc... e em oculto.
verifique a raiz da sua maquina tbm e o system32. nesse diretorio vc deve verificar tbm os arquivos .dll .001 .002.
por exemplo: amvo.dll
boa sorte amigo.
obrigada.
achei em outro forum, que o pessoal estava colocando ant virus dentro do pen drive, ou passando ant virus nele.
alguem sabe informar algo sobre esta falha de funcionamento.
Sei que o Registro do Windows registra esses arquivos.
A programação do autorun.inf infectado é + ou - isso:
;45F27A231FB1BAE1D819005D0833BDA88F8F0EECB727D2C7BFC81571
[AutoRun]
open=phyvxw.exe
Icon=%system%\shell32.dll,7
;upxAetjdctvlyNTBSxNzyfggvwh
;ZlVQNOXkiHXeEqhHIKbOUrIQIkVINfehlTcukieFWmKcgzE
;BGEBH
;DmjbEIMAxDjilvKrxkbPXsHbNYvQPImiWPiScdXuLYdsnpfsAGFeYoNXkQFRKAhcchLUlvoCxrNhf
UseAutoPlay=1
;oIOGOEbywUYtfQLlPKVs
;YZwSATsGbhhtAnZsqRYikYUkfUBFGik
;TZhHrasrUwqgqysJuVMOWU
action=Open Drive
;TuQbwDCuyfocgXewISgUNQphfQAHffAOPgbvOQkdaKFAvAztKBK
action= @phyvxw.exe
shell\open\Command=phyvxw.exe
shell\open\Default=1
;ldS
;QgPqnLNRedSoSPsowVEPlvXiWKVBulpkfnZ
shell\explore\Command=phyvxw.exe
;MBGPtErh
Tem que achar no computador a raiz do problema.