Cuidado! Os hackers descobriram uma nova forma de infectar as máquinas: o Pen-Drive.
Esse dispositivo atualmente é fabricado, em sua grande maioria, sem chave de proteção contra gravação em hardware (como os velhos disquetes e os cartões SD) sendo usada como uma mídia Read-Write sempre. Sem um bom anti-vírus na máquina, esse dispositivo torna-se presa fácil das pragas virtuais.
Eu mesmo segunda-feira tive o meu pen-drive infectado por uma dessas pragas.
Pesquisando na internet, descobri um comportamento padrão:
1. Criam um arquivo chamado Autorun.inf na raiz do pen-drive.
2. Copiam um arquivo binário para uma pasta qualquer oculta no sistema.
A maioria dos programas anti-vírus, ao localizarem algo suspeito apenas deletam o arquivo Autorun.inf (inclusive o que eu utilizo numa de minhas máquinas, o Trend Micro). Para excluir o arquivo binário é necessário fazer uma varredura completa no pen-drive.
Mas não é só isso, o vírus deixa um "lixo", no caso pastas temporárias que o anti-vírus não exclui. Essas pastas também não pode ser visualizadas no Windows Explorer devido a seus nomes especiais e/ou atributos de sistema. Para serem excluídas deve-se formatar o pen-drive e/ou usar na linha de comando o seguinte:
* [pen-drive]:\dir /ad mostra todas as pastas.
* [pen-drive]:\attrib /s /d mostra todos os arquivos e pastas com seus respectivos atributos.
Onde [pen-drive] é a letra atribuída ao dispositivo.
No meu caso o vírus foi: WORM_AUTORUN.CG
Anti-vírus utilizado: Trend Micro OfficeScan
O procedimento que fiz para remover foi o seguinte:
Era isso pessoal. Fica aí a dica.
Esse dispositivo atualmente é fabricado, em sua grande maioria, sem chave de proteção contra gravação em hardware (como os velhos disquetes e os cartões SD) sendo usada como uma mídia Read-Write sempre. Sem um bom anti-vírus na máquina, esse dispositivo torna-se presa fácil das pragas virtuais.
Eu mesmo segunda-feira tive o meu pen-drive infectado por uma dessas pragas.
Pesquisando na internet, descobri um comportamento padrão:
1. Criam um arquivo chamado Autorun.inf na raiz do pen-drive.
2. Copiam um arquivo binário para uma pasta qualquer oculta no sistema.
A maioria dos programas anti-vírus, ao localizarem algo suspeito apenas deletam o arquivo Autorun.inf (inclusive o que eu utilizo numa de minhas máquinas, o Trend Micro). Para excluir o arquivo binário é necessário fazer uma varredura completa no pen-drive.
Mas não é só isso, o vírus deixa um "lixo", no caso pastas temporárias que o anti-vírus não exclui. Essas pastas também não pode ser visualizadas no Windows Explorer devido a seus nomes especiais e/ou atributos de sistema. Para serem excluídas deve-se formatar o pen-drive e/ou usar na linha de comando o seguinte:
* [pen-drive]:\dir /ad mostra todas as pastas.
* [pen-drive]:\attrib /s /d mostra todos os arquivos e pastas com seus respectivos atributos.
Onde [pen-drive] é a letra atribuída ao dispositivo.
No meu caso o vírus foi: WORM_AUTORUN.CG
Anti-vírus utilizado: Trend Micro OfficeScan
O procedimento que fiz para remover foi o seguinte:
1. O Trend excluiu automaticamente o arquivo Autorun.inf
2. No Console do OfficeScan, mandei fazer uma varredura completa no pen-drive, ele encontrou e excluiu o seguinte arquivo: [pen-drive]:\ RECYCLER\ S-1-5-21-1482476501-1644491937-682003330-1013\ ise.exe
* É interessante notar que esse arquivo estava dentro de uma pasta chamada RECYCLER e que a mesma não é listada no Windows Explorer, nem mesmo com a opção de pasta Mostrar Todos os Arquivos marcada (creio que isso acontece por RECYCLER ser o nome reservado da pasta onde ficam os arquivos da Lixeira desde a época do Windos 95).
3. Entrei na linha de comando (cmd.exe)
4. Executei os seguintes comandos na raiz do pen-drive dir /ad e attrib /s /d recycler para poder visualizar esta pasta.
5. attrib -r -s -h /s /d recycler para retirar os atributos de sistema da pasta e permitir que ela seja vista pelo Windows Explorer
6. No Windows Explorer mandei excluir a pasta RECYCLER do pen-drive com [Shift]+[DEL].
2. No Console do OfficeScan, mandei fazer uma varredura completa no pen-drive, ele encontrou e excluiu o seguinte arquivo: [pen-drive]:\ RECYCLER\ S-1-5-21-1482476501-1644491937-682003330-1013\ ise.exe
* É interessante notar que esse arquivo estava dentro de uma pasta chamada RECYCLER e que a mesma não é listada no Windows Explorer, nem mesmo com a opção de pasta Mostrar Todos os Arquivos marcada (creio que isso acontece por RECYCLER ser o nome reservado da pasta onde ficam os arquivos da Lixeira desde a época do Windos 95).
3. Entrei na linha de comando (cmd.exe)
4. Executei os seguintes comandos na raiz do pen-drive dir /ad e attrib /s /d recycler para poder visualizar esta pasta.
5. attrib -r -s -h /s /d recycler para retirar os atributos de sistema da pasta e permitir que ela seja vista pelo Windows Explorer
6. No Windows Explorer mandei excluir a pasta RECYCLER do pen-drive com [Shift]+[DEL].
Era isso pessoal. Fica aí a dica.
Nenhum comentário:
Postar um comentário