Novo Tipo de Vírus pode afetar tanto Windows quanto Linux
06/08/2012 17:22
CUIDADO!
Não sei se já é fato, mas somente agora eu descobri um novo tipo de vírus que não pode, teoricamente, ser detectado nem pelos mais atuais antivírus existentes. Tratam-se de vírus projetados totalmente em linguagem orientada à objeto como Java e implementado por PHP, CSS e HTML.
Estes vírus aproveitam-se de que o Windows e o Linux aprovam a presença não escaneada de cookies e scripts inocentes à princípio, mas tratam-se de uma dor de cabeça. Pesquisando mais sobre o assunto, percebi que já existem sites com antivírus contra "scripts maliciosos", todos devidamente pagos e em sites suspeitos.
A princípio, parece que esses softwares foram desenvolvidos conforme a lenda do surgimentos dos vírus de computador: Quem fabrica os vírus e os antivírus são as mesmas pessoas/empresas. Neste caso é perfeitamente aplicável, pois nos sites onde você pega o vírus, você também pode "comprar" o antivírus.
Os dois que infectaram meu PC estavam dentro do diretório (estupidamente) oculto "Temporary Internet Files" na pasta Dados de Aplicativos em cada perfil de usuário. São programados para ativarem um "Active Desktop" com o logo do "antivírus" deles, e após, em intervalos de 5 à 7 minutos, abrirem uma caixa de diálogo dizendo que seu PC está lento ou que está em risco, e mesmo que clique em cancelar, este abre a janela do Internet Explorer e enche a nossa paciência, fazendo-nos fechar o IE de 5 em 5 minutos.
Fora o fato de que, por persistência, outras entradas são criadas e mais sites e/ou banners de "softwares antivírus" são apresentadas, além do fato de seu papel de parede (isso mesmo!) ser alterado! Nem desativando o Active Desktop o script pára. E mais: Eu fui até o registro do Windows e apaguei muitas entradas com o nome ou logo do "antivírus", e mesmo assim elas eram recriadas sempre que o IE abria a página deste "antivírus".
Por mais que se buscasse a fonte dos códigos maliciosos, não se achavam nada além de pastas vazias. A solução foi utilizar um aplicativo chamado Process Explorer (gratuito) e descobrir de onde esta página estava sendo executada, e estavam no diretório listado acima.
Analisando os scripts, encontrei algumas surpresas: Eles se auto instalam e instalam um serviço JAVA na inicialização que não é listado no MSCONFIG, que inicializa o serviço por background e não permite que seja desativado. Pior do que isso, com a ajuda de um software antivírus chamado Spyware Terminator, que, enquanto ativo, mostra todas as requisições do sistema, desde abertura até a criação de itens, permitidos ou não, e graças à isso consegui encontrar a origem do vírus: várias DLLs, algumas de sistema. Excluí todas, e logicamente, precisei restaurá-las através do CD de instalação do Windows XP
Não sei se já é fato, mas somente agora eu descobri um novo tipo de vírus que não pode, teoricamente, ser detectado nem pelos mais atuais antivírus existentes. Tratam-se de vírus projetados totalmente em linguagem orientada à objeto como Java e implementado por PHP, CSS e HTML.
Estes vírus aproveitam-se de que o Windows e o Linux aprovam a presença não escaneada de cookies e scripts inocentes à princípio, mas tratam-se de uma dor de cabeça. Pesquisando mais sobre o assunto, percebi que já existem sites com antivírus contra "scripts maliciosos", todos devidamente pagos e em sites suspeitos.
A princípio, parece que esses softwares foram desenvolvidos conforme a lenda do surgimentos dos vírus de computador: Quem fabrica os vírus e os antivírus são as mesmas pessoas/empresas. Neste caso é perfeitamente aplicável, pois nos sites onde você pega o vírus, você também pode "comprar" o antivírus.
Os dois que infectaram meu PC estavam dentro do diretório (estupidamente) oculto "Temporary Internet Files" na pasta Dados de Aplicativos em cada perfil de usuário. São programados para ativarem um "Active Desktop" com o logo do "antivírus" deles, e após, em intervalos de 5 à 7 minutos, abrirem uma caixa de diálogo dizendo que seu PC está lento ou que está em risco, e mesmo que clique em cancelar, este abre a janela do Internet Explorer e enche a nossa paciência, fazendo-nos fechar o IE de 5 em 5 minutos.
Fora o fato de que, por persistência, outras entradas são criadas e mais sites e/ou banners de "softwares antivírus" são apresentadas, além do fato de seu papel de parede (isso mesmo!) ser alterado! Nem desativando o Active Desktop o script pára. E mais: Eu fui até o registro do Windows e apaguei muitas entradas com o nome ou logo do "antivírus", e mesmo assim elas eram recriadas sempre que o IE abria a página deste "antivírus".
Por mais que se buscasse a fonte dos códigos maliciosos, não se achavam nada além de pastas vazias. A solução foi utilizar um aplicativo chamado Process Explorer (gratuito) e descobrir de onde esta página estava sendo executada, e estavam no diretório listado acima.
Analisando os scripts, encontrei algumas surpresas: Eles se auto instalam e instalam um serviço JAVA na inicialização que não é listado no MSCONFIG, que inicializa o serviço por background e não permite que seja desativado. Pior do que isso, com a ajuda de um software antivírus chamado Spyware Terminator, que, enquanto ativo, mostra todas as requisições do sistema, desde abertura até a criação de itens, permitidos ou não, e graças à isso consegui encontrar a origem do vírus: várias DLLs, algumas de sistema. Excluí todas, e logicamente, precisei restaurá-las através do CD de instalação do Windows XP