22
fev
10

Seu Windows está infectado com algum malware?

Olá, na minha terceira postagem neste blog pretendo passar algumas dicas sobre como aliviar seu PC de algumas pragas que circulam a internet. Tive a idéia de escrever este artigo após ler o artigo do Marcos Elias publicado no Blog do Guia do Hardware, porém usando algumas ferramentas alternativas, inclusive já presente no Windows.

Sobre as pragas atuais

Atualmente, crimes virtuais são os objetivos mais comuns entre os crackers, diferentemente de anos atrás onde a motivação era destruir e divulgar suas habilidades (digo isto sem informações estatísticas). As pragas atuais procuram, em sua maioria, monitorar seu computador em busca de informações pessoais, procuram também transformar seu computador em um zumbi para uma botnet. Entre outros.

Com o comportamento atual do Windows e das ferramentas Antivírus, em poucos casos encontraremos os casos tradicionais de vírus (que alteram algum executável de forma a hospedar-se no mesmo), consequentemente, encontraremos algum executável independente executando de forma discreta. A partir deste conceito, entenderemos então, que todo programa gera um novo processo no sistema operacional, porém, é importante ressaltar que: em se tratando de Windows, alguns processos podem ser iniciados pelo aplicativo Rundll32.exe (ferramenta para execução de instruções armazenadas dentro de arquivos dll) enquanto outras podem alterar o comportamento do Gerenciador de Tarefas do Windows (o famoso Crtl+Alt+Del) de forma a não exibir o processo malicioso.

Como saber se meu computador está infectado?

A principal resposta a esta pergunta é: Conhecer e Observar seu computador. Mensagens enviadas via MSN, lentidão durante a realização de tarefas básicas do dia-a-dia, Excesso de janelas pop-up ao navegar na internet ou até mesmo com seu navegador fechado, e uma outra meio curiosa: discrepância entre o total do uso de CPU e Tempo Ocioso do Sistema.

O último detalhe funciona assim: Todo programa em execução no seu computador gera um processo e este processo gera um uso de sua CPU e este uso é informado em porcentagem. O somatório do uso de CPU dos processos é exibido na barra de tarefas do Gerenciador de tarefas do Windows. O Windows cria um processo chamado Tempo Ocioso do Sistema que indica justamente a porcentagem do não-uso da CPU. Ao somar o valor do uso de CPU com o Tempo ocioso do sistema deve-se obter o valor mais próximo possível de 99. Qualquer diferença muito grande pode ser considerada suspeita.

Uso da CPU e Tempo Ocioso do Sitema

Mãos a Obra!

Assim como o Marcos Elias, eu também não uso antivírus em meu computador e eu não considero isto uma prática recomendável se você não souber o que está fazendo. Se você usa o Windows Vista ou o Windows Seven, recomendo também deixar o famigerado UAC ativado pois ele permite que você impeça a execução de um programa malicioso a tempo de impedir o estrago. O Windows XP não possui o UAC mas é possível simular o UAC para trazer uma segurança maior ao seu sistema, mas isto ficará par depois.

Como já citado anteriormente, o Gerenciador de tarefas do Windows pode ser burlado, portanto, recomendo sempre ter em mãos ferramentas alternativas como o Process Explorer ou o System Explorer. Ambos são mais informativos e mais eficientes que o Gerenciador de Tarefas presente no Windows. Com ele você consegue ver detalhadamente os detalhes do processo, inclusive, a localização do arquivo executável e a qual processo ele está vinculado. Com estas duas ferramentas você saberá com precisão quais programas estão em execução no seu computador.

 

SystemExplorer - Blog
System Explorer 2.0

 

ProcessExplorer - Blog
Process Explorer 11

Agora vem o ponto negativo do caso: simplesmente finalizar o processo pode não ser o suficiente pois o danado pode voltar a vida logo após você matar ele. Isto pode ser possível pois alguns malwares disponibilizam de técnicas para reativação em caso de uma finalização imprevista do mesmo. Nestes casos, o que faremos é ir eliminando o mau aos poucos até chegar a raiz.

Nossas ferramentas serão:

  • Deixaremos aberto o Gerenciador de tarefas executado como administrador (necessário pois alguns malwares não são finalizados por usuários limitados)
  • Um editor de textos, como o Bloco de notas do Windows
  • O Prompt de Comandos (esta é a parte que eu acho mais divertida)

Com nossas ferramentas, devemos inicialmente usar o Gerenciador de tarefas para descobrir a localização do processo suspeito. Anotada a localização, iremos criar um pequeno script em Batch para finalizar o malware e excluí-lo do sistema. Abaixo segue o código do script:

rem Iremos acessar a pasta onde se encontra o malware
cd <pasta>
rem mudando atributos: alguns malwares ativam os atributos especiais para impedir que o mesmo seja deletado

attrib -s -r –h <malware>
rem finalizando novamente o malware, caso o tinhoso tenha reiniciado automaticamente
taskkill -f -im <malware>
rem sai da frente malware!
del <executavel>

Malware excluído é problema resolvido! Ainda não! recomendo ainda a verificação profunda com um antivírus confiável e limpeza do sistema com o CCleaner.

Pendrives: Presente de grego!

Pendrives também são um perigo mas são fáceis de contornar em diversas situações pois a principal estratégia para o sucesso na disseminação por um pendrive infectado é o sistema de reprodução automática presente em várias versões do Windows. Como a estratégia funciona: Em virtude da facilidade em gravar arquivos em um pendrive e o fato do Windows interpretar arquivos autorun.ini até mesmo nas partições do seu HD, sempre que você clicar duas vezes no ícone da unidade através do Windows Explorer, o arquivo autorun é processado e o mesmo instrui o sistema a executar um arquivo executável que pode ser um malware.

Para prevenir contra este problema,

  1. desativar a reprodução automática em todas as unidades de disco, assim, não temos mais arquivos autorun processados (inclusive em unidades de CD/DVDs)
  2. Passo seguinte é excluir o arquivo malicioso, porém, para a conclusão deste pode ser necessário ajustar os atributos com o comando attrib -s -r -h <malware>
  3. Excluir qualquer pasta RECLYCLER, RECYCLED ou RECYCLER32 que possa existir pois não são necessárias em um pendrive

Observação: No Windows Vista/Seven, ao conectar um pendrive, o Windows exibe uma janela de auto-reprodução própria com uma lista de tarefas básicas (como visualizar fotos, reproduzir músicas ou abrir o explorer) com a opção de executar o autorun presente no pendrive, porém, porque o pendrive teria um arquivo de autorun?

—-

Bom, este é uma pequena parte do que faço no dia-a-dia (se soubesse quantos pendrives infectados encontro). Espero que tenham gostado! até a próxima!

Technorati Marcas: ,,,

Anúncios

2 Responses to “Seu Windows está infectado com algum malware?”


  1. 1 Taís
    19 de março de 2010 às 20:51

    Gostei do Blog, principalmente da dica, vou sempre passar por aqui atras de novidades. Abraços

  2. 2 William
    29 de março de 2010 às 14:24

    Obrigado Taís, espero que volte e espero que eu dê motivos para voltar também =/já estou pensando em mais dois artigos com dicas para Windows … 😀


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


Coloque seu e-mail para receber novidades e notificações do Blog.

Junte-se a 973 outros seguidores

Blog Stats

  • 57,312 clicks

Twitter


%d blogueiros gostam disto: