Vírus em pen drive

por Glaydson Lima Email

pendrive Eu sou do tempo que vírus propagava-se por disquete 5" 1/4. Normalmente esperavam uma data específica para agir como uma sexta-feira 13 ou a data de aniversário de um artista renascentista, com o objetivo de ter tempo de se propagar. Como advento da internet, tudo ficou diferente. Vírus bom, é vírus rápido, o que deixou o padrão em mídia removível para lá de demodê.

Só que agora inventaram de tornar mídias removíveis acessórios mais comuns com os nossos pen drives e mp3 players. Pois bem, pela segunda vez seguida, ao abrir meu dispositivo, após utilizá-lo em um ambiente público, me deparo com os arquivos autorun.inf e Knight.exe. Na minha máquina, nada acontece, mas numa máquina Windows com poderes de administrador (o padrão) o arquivo autorun.inf contém instruções para executar o arquivo .exe automaticamente ao inserir o dispositivo (não tenho certeza em relação ao Vista), aí já viu, né? Intruso na máquina.

Enviei o arquivo Knight.exe para o Virustotal e tive a seguinte resposta ao ser analisado por diversos anti-vírus:

AhnLab-V3 - - Win32/Disnight.worm.421888
AntiVir - - TR/Autorun.acl
Authentium - - W32/Autorun.C
Avast - - INF:DiskKnight
AVG - - Worm/VB.CSP
BitDefender - - Application.DiskKnight.B
CAT-QuickHeal - - Worm.AutoRun.ao
ClamAV - - PUA.Tool.Diskknight
DrWeb - - Win32.HLLW.Knight
eSafe - - Win32.AutoRun.ao
eTrust-Vet - - Win32/DiskKnight.B
Ewido - - Worm.AutoRun.ao
FileAdvisor - - High threat detected
Fortinet - - W32/AutoRun.AO!worm
F-Prot - - W32/Worm!2438
F-Secure - - Worm.Win32.AutoRun.aul
Ikarus - - Worm.Win32.AutoRun.aul
Kaspersky - - Worm.Win32.AutoRun.aul
McAfee - - Generic VB.b
Microsoft - - Worm:Win32/Disnight.A
NOD32v2 - - Win32/AutoRun.CH
Norman - - W32/AutoRun.AFR
Panda - - Application/DiskKnight
Prevx1 - - -
Rising - - Worm.Win32.Autorun.ao
Sophos - - W32/Autorun-H
Sunbelt - - -
TheHacker - - W32/AutoRun.ao
VBA32 - - Worm.Win32.AutoRun.ao
VirusBuster - - Worm.AutoRun.O
Webwasher-Gateway - - Trojan.Autorun.acl

Um belíssimo trojan que permite controle remoto da máquina.

Então, cuidado onde espeta seu pen drive pois vai começar tudo de novo.

Sugestão musical para este texto: "Run On" - Blind Boys of Alabama. Música negra norte-americana da melhor qualidade.

Categorias: Segurança, Tecnologia
Link permanente23.01.08 10:19:16, 12 comentários »Envie um trackback »

Se você gostou deste texto, assine e receba novos textos por e-mail.

Endereço de trackback para este post

Trackback URL (clique direito e copie atalho/localização do link)

12 comentários

Comentário de: ZehRique [Visitante] · http://cafecomgelo.wordpress.com
****-
É... sinceramente a coisa está começando a complicar de novo.

Dia desses minha prima adolescente trouxe seu novíssimo "MP5" para eu adicionar algumas músicas.

E não é que ao conectar o bendito no Rwindows havia um arquivo .exe o qual foi descoberto pelo anti-vírus? Detalhe: O infeliz do aparelhinho nunca havia sido utilizado.

MP3-Players e outras quinquilharias vindos "de fábrica" com vírus? Novidade pra mim.
24.01.08 @ 12:03
Comentário de: T1000 [Visitante]
****-
Passei um tempo sem computador, quase um ano, e usava um pendrive com os aplicativos do portableapps.com (GIMP, 7zip, OOorg, Firefox, etc) para navegar, editar e salvar meus arquivos no próprio pendrive.
Dependia de lan-houses e dos computadores da faculdade para fazer as coisas.
Durante todo aquele tempo, não usei nenhum computador sem antivírus, sendo que os computadores pelos quais passei tinham o Norton AV, o Avast e o AVG.
Bom, invariavelmente, meu pendrive era infectado por algum virus do tipo descrito pelo teu post. Aprendi, com isso, que mesmo antivírus atualizados não dão 100% de segurança que o computador não será infectado. O AVG da faculdade era atualizado diariamente e mesmo assim lá foi um dos lugares onde meu pendrive foi infectado.
25.01.08 @ 08:22
Comentário de: Glaydson Lima [Membro] Email
@ZehRique

Mp3 player anunciado na televisão: "... e não é só isso. Ligando agora você ganha inteiramente grátis seu próprio spyware";

@T1000,

Já fiz vários testes com arquivos de phishings enviando ao VirusTotal. Inevitavelmente alguns arquivos não são identificados por alguns anti-vírus o que realmente não garante 100% de presteza.
26.01.08 @ 03:32
Comentário de: Henrique [Visitante]
*****
Eu uso o AVG e toda vez que eu scaneio meu pendrive ele detecta os arquivos infectados autorun.inf e .vbs, o antivirus diz que deleta os arquivos mas quando que scaneio de novo ele aparecem novamente. Como posso fazer para eliminá-los de vez???

Agradeço de puder me responder por e-mail.

obrigado
22.05.08 @ 10:04
Comentário de: Paulo [Visitante]
***--
cara vc tem q deletar os arquivos suspeitos do seu pen drive.
quando deletar, despluque e plugue novamente pra ver se realmente foi eliminado.
geralmente os virus ficam na raiz.
arquivos .inf .exe .com etc... e em oculto.
verifique a raiz da sua maquina tbm e o system32. nesse diretorio vc deve verificar tbm os arquivos .dll .001 .002.
por exemplo: amvo.dll

boa sorte amigo.
05.06.08 @ 09:40
Comentário de: Glaydson Lima [Membro] Email
Eu não faria o procedimento manual do Paulo. Existem centenas de vírus diferentes com formas de contágio das mais variadas.
09.06.08 @ 06:05
Comentário de: sarah [Visitante]
o pen drive do meu pai pegou o virus de um passarinho que fica voando na tela quando abre o pendrive, o avg detectou o love.exe, mas o restante não conseguiu tirar, então isntalei o nod 32 e ele tirou o love.vbs, mas o infeliz do virus não deixou acessar o c: e nem o d: do pen drive, tive que inutilizar o pen drive e fazer a restauração do sistema ao ponto anterior antes de abrir esse bendito de pendrive agora ta normal, não acusou nenhum virus, mas vo ficar esperta ja, falei que não vou abrir mais pen drive que usou em lan house, é fria, melhor ter um outro pen pra so acessar o pc de casa.
26.07.08 @ 18:58
Comentário de: sarah [Visitante]
ps: eu formatei o pen drive =D agora ta funcionando e sem virus
27.07.08 @ 13:41
Comentário de: Angelica [Visitante]
mas a pen volta a abrir normalmente com ???sabe qndo abre akela janelinha para escolher a opção???

obrigada.
26.08.08 @ 12:36
Comentário de: everton [Visitante] · http://evertec.blogspot.com
****-
uma boa opcao é apagar os arquivos .inf e .exe pelo prompt do ms dos...
11.09.08 @ 06:07
Comentário de: jean [Visitante]
acho que meu pen drive esta com virus, pois o pc reconhece, e porem nao abre, e daqui a pouco eu desplugo, ele torno a plugar dai ele reconhece, e abre a informacao, que preciso.
achei em outro forum, que o pessoal estava colocando ant virus dentro do pen drive, ou passando ant virus nele.
alguem sabe informar algo sobre esta falha de funcionamento.
17.12.08 @ 04:17
Comentário de: jean [Visitante]
TENHO UMA GRANDE CURIOSIDADE?? E POSSIVEL QUE O VIRUS, EM VEZ DE DANIFICAR O ARQUIVO, ELE SO FIQUE ALI, PRA GENTE DELETAR O ARQUIVO, QUE SEJA PRIMORDIAL PRO FUNCIONAMENTO DO WINDONS? POIS PRA ALGUMAS PESSOAS QUE NAO ENTENDEM MUITO DE VIRUS, A PRIMEIRA ATITUDE E DELETAR O ARQUIVO INFECTADO? E ESTA AATITUDE CERTA, ?? OU TEM QUE VER QUAL ARQUIVO ESTA SENDO DELETADO:??
17.12.08 @ 04:22

Deixe seu comentário


Seu endereço de e-mail não será revelado nesse site.

Sua URL será exibida.
PobreExcelente
(Quebras de linha se tornam <br />)
(Nome, e-mail & website)
(Permitir que usuários o contatem através de um formulário eletrônico (seu e-mail não será exibido.))