Vírus em pen drive

pendrive Eu sou do tempo que vírus propagava-se por disquete 5" 1/4. Normalmente esperavam uma data específica para agir como uma sexta-feira 13 ou a data de aniversário de um artista renascentista, com o objetivo de ter tempo de se propagar. Como advento da internet, tudo ficou diferente. Vírus bom, é vírus rápido, o que deixou o padrão em mídia removível para lá de demodê.

Só que agora inventaram de tornar mídias removíveis acessórios mais comuns com os nossos pen drives e mp3 players. Pois bem, pela segunda vez seguida, ao abrir meu dispositivo, após utilizá-lo em um ambiente público, me deparo com os arquivos autorun.inf e Knight.exe. Na minha máquina, nada acontece, mas numa máquina Windows com poderes de administrador (o padrão) o arquivo autorun.inf contém instruções para executar o arquivo .exe automaticamente ao inserir o dispositivo (não tenho certeza em relação ao Vista), aí já viu, né? Intruso na máquina.

Enviei o arquivo Knight.exe para o Virustotal e tive a seguinte resposta ao ser analisado por diversos anti-vírus:

AhnLab-V3 - - Win32/Disnight.worm.421888 AntiVir - - TR/Autorun.acl Authentium - - W32/Autorun.C Avast - - INF:DiskKnight AVG - - Worm/VB.CSP BitDefender - - Application.DiskKnight.B CAT-QuickHeal - - Worm.AutoRun.ao ClamAV - - PUA.Tool.Diskknight DrWeb - - Win32.HLLW.Knight eSafe - - Win32.AutoRun.ao eTrust-Vet - - Win32/DiskKnight.B Ewido - - Worm.AutoRun.ao FileAdvisor - - High threat detected Fortinet - - W32/AutoRun.AO!worm F-Prot - - W32/Worm!2438 F-Secure - - Worm.Win32.AutoRun.aul Ikarus - - Worm.Win32.AutoRun.aul Kaspersky - - Worm.Win32.AutoRun.aul McAfee - - Generic VB.b Microsoft - - Worm:Win32/Disnight.A NOD32v2 - - Win32/AutoRun.CH Norman - - W32/AutoRun.AFR Panda - - Application/DiskKnight Prevx1 - - - Rising - - Worm.Win32.Autorun.ao Sophos - - W32/Autorun-H Sunbelt - - - TheHacker - - W32/AutoRun.ao VBA32 - - Worm.Win32.AutoRun.ao VirusBuster - - Worm.AutoRun.O Webwasher-Gateway - - Trojan.Autorun.acl

Um belíssimo trojan que permite controle remoto da máquina.

Então, cuidado onde espeta seu pen drive pois vai começar tudo de novo.

Sugestão musical para este texto: "Run On" - Blind Boys of Alabama. Música negra norte-americana da melhor qualidade.

Essa entrada foi postada emJaneiro 23rd, 2008 às10:19:16 e está arquivado em Segurança, Tecnologia.

Endereço de trackback para este post

Trackback URL (clique direito e copie atalho/localização do link)

16 comentários

Comentário de: ZehRique [Visitante] · http://cafecomgelo.wordpress.com

É... sinceramente a coisa está começando a complicar de novo.

Dia desses minha prima adolescente trouxe seu novíssimo "MP5" para eu adicionar algumas músicas.

E não é que ao conectar o bendito no Rwindows havia um arquivo .exe o qual foi descoberto pelo anti-vírus? Detalhe: O infeliz do aparelhinho nunca havia sido utilizado.

MP3-Players e outras quinquilharias vindos "de fábrica" com vírus? Novidade pra mim.

24-01-08 @ 12:03

Comentário de: T1000 [Visitante]

Passei um tempo sem computador, quase um ano, e usava um pendrive com os aplicativos do portableapps.com (GIMP, 7zip, OOorg, Firefox, etc) para navegar, editar e salvar meus arquivos no próprio pendrive.
Dependia de lan-houses e dos computadores da faculdade para fazer as coisas.
Durante todo aquele tempo, não usei nenhum computador sem antivírus, sendo que os computadores pelos quais passei tinham o Norton AV, o Avast e o AVG.
Bom, invariavelmente, meu pendrive era infectado por algum virus do tipo descrito pelo teu post. Aprendi, com isso, que mesmo antivírus atualizados não dão 100% de segurança que o computador não será infectado. O AVG da faculdade era atualizado diariamente e mesmo assim lá foi um dos lugares onde meu pendrive foi infectado.

25-01-08 @ 08:22

Comentário de: Glaydson Lima [Membro]

@ZehRique

Mp3 player anunciado na televisão: "... e não é só isso. Ligando agora você ganha inteiramente grátis seu próprio spyware";

@T1000,

Já fiz vários testes com arquivos de phishings enviando ao VirusTotal. Inevitavelmente alguns arquivos não são identificados por alguns anti-vírus o que realmente não garante 100% de presteza.

26-01-08 @ 03:32

Comentário de: Henrique [Visitante]

Eu uso o AVG e toda vez que eu scaneio meu pendrive ele detecta os arquivos infectados autorun.inf e .vbs, o antivirus diz que deleta os arquivos mas quando que scaneio de novo ele aparecem novamente. Como posso fazer para eliminá-los de vez???

Agradeço de puder me responder por e-mail.

obrigado

22-05-08 @ 10:04

Comentário de: Paulo [Visitante]

cara vc tem q deletar os arquivos suspeitos do seu pen drive.
quando deletar, despluque e plugue novamente pra ver se realmente foi eliminado.
geralmente os virus ficam na raiz.
arquivos .inf .exe .com etc... e em oculto.
verifique a raiz da sua maquina tbm e o system32. nesse diretorio vc deve verificar tbm os arquivos .dll .001 .002.
por exemplo: amvo.dll

boa sorte amigo.

05-06-08 @ 09:40

Comentário de: Glaydson Lima [Membro]

Eu não faria o procedimento manual do Paulo. Existem centenas de vírus diferentes com formas de contágio das mais variadas.

09-06-08 @ 06:05

Comentário de: sarah [Visitante]

o pen drive do meu pai pegou o virus de um passarinho que fica voando na tela quando abre o pendrive, o avg detectou o love.exe, mas o restante não conseguiu tirar, então isntalei o nod 32 e ele tirou o love.vbs, mas o infeliz do virus não deixou acessar o c: e nem o d: do pen drive, tive que inutilizar o pen drive e fazer a restauração do sistema ao ponto anterior antes de abrir esse bendito de pendrive agora ta normal, não acusou nenhum virus, mas vo ficar esperta ja, falei que não vou abrir mais pen drive que usou em lan house, é fria, melhor ter um outro pen pra so acessar o pc de casa.

26-07-08 @ 18:58

Comentário de: sarah [Visitante]

ps: eu formatei o pen drive =D agora ta funcionando e sem virus

27-07-08 @ 13:41

Comentário de: Angelica [Visitante]

mas a pen volta a abrir normalmente com ???sabe qndo abre akela janelinha para escolher a opção???

obrigada.

26-08-08 @ 12:36

Comentário de: everton [Visitante] · http://evertec.blogspot.com

uma boa opcao é apagar os arquivos .inf e .exe pelo prompt do ms dos...

11-09-08 @ 06:07

Comentário de: jean [Visitante]

acho que meu pen drive esta com virus, pois o pc reconhece, e porem nao abre, e daqui a pouco eu desplugo, ele torno a plugar dai ele reconhece, e abre a informacao, que preciso.
achei em outro forum, que o pessoal estava colocando ant virus dentro do pen drive, ou passando ant virus nele.
alguem sabe informar algo sobre esta falha de funcionamento.

17-12-08 @ 04:17

Comentário de: jean [Visitante]

TENHO UMA GRANDE CURIOSIDADE?? E POSSIVEL QUE O VIRUS, EM VEZ DE DANIFICAR O ARQUIVO, ELE SO FIQUE ALI, PRA GENTE DELETAR O ARQUIVO, QUE SEJA PRIMORDIAL PRO FUNCIONAMENTO DO WINDONS? POIS PRA ALGUMAS PESSOAS QUE NAO ENTENDEM MUITO DE VIRUS, A PRIMEIRA ATITUDE E DELETAR O ARQUIVO INFECTADO? E ESTA AATITUDE CERTA, ?? OU TEM QUE VER QUAL ARQUIVO ESTA SENDO DELETADO:??

17-12-08 @ 04:22

Comentário de: bala [Visitante]

Pra proteger seu pendrive contra qualquer tipo de vírus faça o seguinte: 1º abra o windows explorer e clique com o botão direito do mouse sobre a letra q corresponde ao seu pendrive 2º escolha a opção formatar e marque a opção formatação rápida no pendrive infectado; 3º clique en iniciar executar: convert F: /fs:ntfs Lembrando q F: seria a letra do seu pendrive, então substitua pela letra q corresponde seu pendrive 5º crie uma pasta onde vai guardar seus arquivos 6º no menu ferramentas/opções de pasta... clique na aba modos de exibição e arraste a barrinha q tem no meio da janela até o final e desselecione a opção usar compartilhamento simples de arquivo e clique em ok; 7º volte ao seu pendrive e com o botão direito do mouse sobre a letra do seu pendrive e escolha a opção compartilhamento e segurança clique na aba segurança e remova todos os compartilhamentos existes, em seguida clique no botão adicionar vai abrir outra telinha digite todos e clique ok, daí vai voltar pra tela anterior, deixe selecionada somente a opção de permitir leitura; 8º no seu pendrive e clique com o botão direito do mouse sobre a pasta q vc criou dentro do pendrive e escolha a opção compartilhamento e segurança clique na aba segurança e selecione todas as opções de permitir e clique em ok; 9º clique novamente com o botão direito do mouse sobre a letra do seu pendrive e escolha a opção compartilhamento e segurança clique na aba segurança e remova todos os compartilhamentos existes, em seguida clique no botão adicionar vai abrir outra telinha digite todos e clique ok, daí vai voltar pra tela anterior, deixe selecionada somente a opção de permitir leitura; Resumindo: O q vc acabou de fazer? Vc pegou seu pendrive q era em fat32, transformou pra sistema de arquivos NTFS, onde liberou a pasta q criou dentro do seu pendrive pra acesso total e bloqueou a raíz do seu pendrive pra somente leitura. Fazendo isso inpediu q qulquer coisa seja copiada pra raiz do seu pendrive, so pode ser copiado algum arquivo pra dentro da pasta criada no pendrive. Como os vírus q atacam o pendrive comumente rodam diretamente na raíz do pendrive torna impossivel um vírus se auto copiar pra raiz do pendrive, pelas limitações q vc acabou de criar. De agora em diante vc poderá colocar seu pendrive em qualquer pc sem a preucupação de infecção por esse tipo de vírus. OK!!

27-05-09 @ 14:28

Comentário de: OgO [Visitante]

Não adianta apagar esses arquivos, pois eles voltam do nada.
Sei que o Registro do Windows registra esses arquivos.
A programação do autorun.inf infectado é + ou - isso:
;45F27A231FB1BAE1D819005D0833BDA88F8F0EECB727D2C7BFC81571
[AutoRun]
open=phyvxw.exe
Icon=%system%\shell32.dll,7
;upxAetjdctvlyNTBSxNzyfggvwh
;ZlVQNOXkiHXeEqhHIKbOUrIQIkVINfehlTcukieFWmKcgzE
;BGEBH
;DmjbEIMAxDjilvKrxkbPXsHbNYvQPImiWPiScdXuLYdsnpfsAGFeYoNXkQFRKAhcchLUlvoCxrNhf
UseAutoPlay=1
;oIOGOEbywUYtfQLlPKVs
;YZwSATsGbhhtAnZsqRYikYUkfUBFGik
;TZhHrasrUwqgqysJuVMOWU
action=Open Drive
;TuQbwDCuyfocgXewISgUNQphfQAHffAOPgbvOQkdaKFAvAztKBK
action= @phyvxw.exe
shell\open\Command=phyvxw.exe
shell\open\Default=1
;ldS
;QgPqnLNRedSoSPsowVEPlvXiWKVBulpkfnZ
shell\explore\Command=phyvxw.exe
;MBGPtErh

Tem que achar no computador a raiz do problema.

12-10-09 @ 20:34

Comentário de: Derek Doino [Visitante] · http://mikeowen.co.cc

obviously like your web-site but you need to test the spelling on several of your posts. A number of them are rife with spelling problems and I to find it very bothersome to inform the truth nevertheless I will surely come back again.

07-07-12 @ 21:24

Comentário de: Tina Kawai [Visitante] · http://www.howtomakemoney832.com

I simply want to mention I am just beginner to blogging and site-building and definitely loved this web blog. More than likely Iâ€™m want to bookmark your site . You surely have outstanding articles. Thanks a bunch for revealing your webpage.

08-06-13 @ 00:08

Feed dos comentários para esse post.

navegantes.blog