Passei um perrengue enorme nas últimas duas semanas por causa de um vírus. No processo descobri algumas coisas interessantes, acho que tinha tempo que eu não lia tanto sobre o assunto. Os novos vírus agora se propagam por http, ou seja, eles usam o protocolo da web para a disseminação. Um dos vírus que encontrei foi o Infostealer.Gampass, o "Gampass" é de Game Password, o miserável ocupa a sua banda de internet, infecta a sua rede para a tarefa de roubas senhas de jogos online, ninguém merece isso, mas como esse cara foi parar lá? Ele foi baixado por outro vírus, é isso mesmo, um downloader chamado Trojan.Murlo baixa o Infostealer, esse sim se propaga usando o HTTP, agora a grande surpresa para mim foi que esse cara está sendo baixado da internet também, então temos um script ou um outro vírus que baixa o downloader que baixa o InfoStealer, e não pensem que ele é inofensivo para quem não joga, existem variantes do mesmo, como o Infostealer.Bank esse pega os seus dados bancários, mas o código desse é mais fácil de ser pego pelos antivírus. O script ou vírus ainda não detectado faz um download do site "Http:\\root.51113.com\" e baixa o arquivo root.gif, que na verdade é o vírus Trojan.Downloader, após baixar ele renomeia o arquivo para wmsetup.dll e o copia para os diretórios "C:\Windows\TEMP" e para o diretório de temporários de internet, se ele não for detectado ele se instale e começa a baixar outros vírus. Até agora a única forma de parar o processo que achei foi aplicar o XP SP3 na máquina infectada, então ficam duas hipóteses, ou a DLL pela qual o vírus se passa foi sobrescrita pelo SP3 ou a função que o vírus utiliza mudou a sintaxe dentro de alguma DLL. Antes que alguém suponha que era alguma falha de segurança, mesmo o Windows XP com SP2 com TODOS os patchs de segurança e críticos aplicados, permaneceu infectado. Tentei limpar esse cara com o Symantec (que até sexta feira não pegava nem o Trojan.Murlo, só detectava o InfoStealer), o NOD32 que chegava a limpar o Trojan.Murlo mas ele continuava sendo baixado, assim como o Avast, o AVG, o Panda, o Clam AV, O AntiVir e o F-Secure, sim nós (eu e a equipa lá do trabalho) testamos todos esses. Estou em contato direto com a Symantec de SP e estamos tentando identificar o causador da bagaça, assim que nós QUANDO conseguirmos identificar e eliminar a ameaça eu conto aqui o que era.
domingo, 20 de julho de 2008
Vírus encadeados
Assinar:
Postar comentários (Atom)
8 Comentários:
Eita moço! Fique com medo de verdade afff... Meu pc está muito estranho mas os dois antivirus que tenho não detectaram nada (Nem o NOD32 nem o Antivir) vou fazer uma anãlise neste site aí... Valeu a dica! Beijos!
To com esse problema aki tmb e enche o saco cara o Avast move o arquivo e ela torna a ser baixado. Que dizer que se eu colocar o SP3 o problema será sanado?
abrços.
Exatamente isso, mas atenção, o SP3 sobrescreve a DLL do vírus (ou o script), ou seja, se você desinstalar o SP3 o vírus volta.
Eu tenho isntalado o SP3 e mesmo assim o murlo tenta conectar e fazer o download do .gif
Possivelmente vc pegou o vírus depois de instalar o SP3, ou vc roda o scan no boot do Avast (o qual eu não tenho certeza se vai funcionar) ou reinstala o SP3, isso sim pode funcionar.
Aff eu to com essa bosta de virus
To tentando tirar!!!
Já vi outra forma de remover esse vírus também, vc inicia o computador no modo de segurança e deleta todos os arquivos temporários de internet que tiver e de preferência exclua os perfis também, lembre-se das suas pastas de documentos, do seu desktop, emails e favoritos.
Rogério, se for só reiniciar e fazer essa limpa, eu vou me esculaxar! Jà tentei de tudo quanto é forma remover essa porcaria de murlo. Vou tentar agora essa limpeza completa no windows, com o CCleaner de preferência. Se der certo, eu volto pra avisar. Abraço.
Postar um comentário