Virus “Gumblar” ou “Troj/JSRedir-R” ou “Defiler”

Antes de mais nada, este post se refere ao virus Gumblar, mas as táticas usadas aqui podem ser usadas para outras pragas mais novas, se você é um usuário avançado mas sem saber o que fazer, acho que será de grande ajuda dar uma lida. 

Nesta sexta-feira passada (09-07-2010) tive o desprazer de receber, de presente de um site da internet, a praga “Gumblar” ou “Troj/JSRedir-R” ou “Defiler”. Desde o Virus CHk.spacefiler, que infectava os arquivos inserindo trechos de códigos no executável, que eu não pegava uma praga tão poderosa. Mesmo o melissa, tão falado e tão perigoso, ou os virus de pendriver do dia-a-dia, me deram tamanha dor-de-cabeça. Foram praticamente 12 horas de trabalho perdidas entre consultas à internet para “tentar” entender como funciona esta praga, e o que fazer para varrer ela do micro sem precisar formatar, o que seria um caso drástico. Detalhe: Apesar do sistema operacional ser Windows XP com Service pack 3 (SP3) e ter o Internet Explorer 8, nem isso isentou o PC de ser infectado. Talvez você até esteja infectado e não saiba, mas para mim, que por um acaso uso um programa chamado “Edit plus”, que tem a capacidade de fazer upload por ftp, mas o qual eu uso para programar C, simplesmente não pude mais trabalhar: O programa se fechava com menos de 2 segundos aberto. Enfim, mesmo com projetos atrasados, não pude nem adiar para depois, tive que partir para a retirada uma vez que não conseguia mais trabalhar.

Mas, o que é esta praga?

Ele é um trojan que usa uma vulnerabilidade do Flash player e do adobe acrobat onde sites cujas páginas estão infectadas conseguem fazer upload do programa na máquina que acessa o site naquele momento, buscando senhas de ftp do computador infectado e enviando remotamente para algum provedor específico, podendo assim os crakers infectar mais e mais sites, bem como mais e mais micros. Ele fica residente em memória, nos arquivos de sistema carregados (não exatamente no arquivo .exe da máquina, e sim, no momento do carregamento do programa em memória, ele inclui um processo adicional, o do virus). Ele é carregado durante o carregamento do Windows, mesmo no modo de segurança, e se você conseguir instalar alguma ferramenta, como o AVG, ele ficará indicando erro  [ “C:\WINDOWS\system32\winlogon.exe (848):\memory_10000000″;”Vírus encontrado Defiler”;” . O objeto está inacessível.” ] , mas você nada poderá fazer poque você perceberá que os próprios arquivos do antivirus, ao ser carregado na memória serão infectados, o que o impedirá de ser atualizado.

Como ela funciona?

Basicamente, ele se copia para a pasta “C:\windows\temp” e para a pasta “C:\documents and settings\[nome do usuario]\Configurações locais\Temp” com um nome myd.old , onde a parte que eu realmente tenho certeza é a .old, pois o “myd” pode variar, e o pior, não anotei no meu caso. Enfim, ele passa a criar réplicas deste arquivo mesmo que você o delete nas pastas especificadas, bloqueia o registro do Windows para instalação de programas como o AVG, o AVAST e o “Malwarebytes’ Anti-Malware” , que são programas que, uma vez atualizados, conseguem retirá-la, mas que estarão não funcionais ou sendo fechados pelo virus, e enfim, caso você tenha algum programa de FTP que possua alguma proteção contra acesso a senhas de FTP, ficará fechando o tempo todo. Ele, a principio, não se propagou pela rede, mas não arrisquei, ao descobrir que se tratava de uma infecção, a primeira providência foi isolar a máquina de rede. Ele também não se propagou por pendriver.

O que tentei e não funcionou?

Bom, tentei editar o registro, sem sucesso. Cheguei a achar a chave que continha o atalho para o arquivo, mas estava sem acesso à mesma. Tentei entrar no modo de segurança do Windows XP e atualizar o AVG através de um arquivo .bin baixado do site da grisoft, mas apesar de até conseguir atualizar o antivirus,  ainda assim não conseguia excluir o virus, pois todos os processos principais estavam afetados. Tentei instalar o Windows XP em um pendriver para então, acessar os arquivos originais do meu Windows, e deu erro nas duas tentativas (o windows até instalava, mas não entrava, dando tela azul). Não podia mandar reparar pois reparar o windows XP com service pack 3 através de um cd de instalação com service pack 1, é o mesmo que formatar a máquina, e eu definitivamente não podia fazer isso.

Como resolví?

Bom, tive a sorte de ter um CD do Ubuntu 9.4 bootável junto da minha pochete de Backups, e ele foi o inicio da salvação. Executei o boot através deste CD (sem instalar), e com isso tive acesso aos arquivos do Windows XP. Busquei todas as pastas “temp” de todos os usuários [ “C:\windows\temp” e para a pasta “C:\documents and settings\[nome do usuario]\Configurações locais\Temp ] ” e limpei os seus conteúdos. Limpei também o conteúdo de todas as pastas “temporary internet files” que encontrei no PC. Detalhe: Cada usuário tem uma pasta, como não sabia de cor as pastas de cada usuário, naveguei usuário por usuário deletando o conteúdo da pasta “content.ie5” e “temp”. Não apaguei a pasta “temporary internet files”, “temp” e “content.ie5” porque sei que daria erro, só apaguei o conteúdo das mesmas. Também naveguei nas pastas de sistema (c:\windows\system32 e abaixo) e na pasta “c:\arquivos de programas\arquivos comuns” e inferiores, procurando por executáveis suspeitos, como algo do tipo xkwd.exe ou outro texto maluco qualquer. Me lembro de ter encontrado um na pasta “arquivos comuns”. Também copiei toda a pasta “C:\windows” e “C:\arquivos de programas\arquivos comuns” para um pendriver de 4G para em seguida, verificar em um outro micro com antivirus atualizado se ainda havia vírus. Se um virus fosse detectado, voltaria ao linux e excluiria o arquivo.  Em seguida, ao ver que não havia mais virus, reiniciei o micro, e o virus não estava mais carregado na memória. Instalei o “Malwarebytes’ Anti-Malware”, que me informou onde estavam as chaves que davam acesso a esta “praga”, e excluí do registro, incluindo uma das chaves { } apontadas pelo “Malwarebytes”. Importante: Essa parte é crítica, eu sabia aonde estava mechendo. Se você não souber mecher no registro do Windows, procure um programa ou alguém que o faça para você, pois erros no registro podem trazer danos graves ao sistema operacional , de tal forma que você terá que reinstalar o Windows para que ele volte a funcionar. Tenha certeza que saiba o que está fazendo neste ponto!!! Mas voltando, uma vez excluida a chave, o virus não mais foi chamado e executado, e pude voltar a trabalhar no micro,  já partindo para fazer um backup do que eu poderia ter perdido.

Mas não tenho um CD bootável do Linux, como devo proceder?

Bem, neste caso, infelismente, você terá que baixar uma ISO de uma distribuição Linux que rode em seu PC a partir do CD-Rom, e que consiga editar arquivos NTFS. Não foi dificil para mim usar o linux, ele tem uma interface “amigável”, muito parecida com o velho Windows, e há muito tempo ele deixou de ser coisa de NERD. De repente, quem sabe essa não é a oportunidade de apreder um pouco mais sobre esse sistema operacional que é um forte candidato a equipar os micros que estão perdendo suporte pelo Windows? Eu não o faço porque meus programas que uso para trabalhar eu somente encontro para Windows. Caso contrário, já teria migrado faz tempo…

Uma outra possibilidade seria levar o HD para outra máquina, com antivirus instalado e o “Malwarebytes’ Anti-Malware” instalado. Mas tenha certeza de atualizar tudo quanto é programa quanto for possível antes de conectar o HD e partir para o scan, que provavelmente irá demorar, pois você pode acabar infectando outra máquina. provavelmeten, se você simplesmente Atualizar o antivirus, já será suficiente.  Mas como disse, não tentei isso, uma vez que o HD e a maquina era um notebook e seu HD, não tinha como eu fazer essa jogada de usar outro micro.

Enfim, essa foi a minha saga, espero que ajude a outros a sair da sinuca que eu entrei e saí ou de outras que estejam por vir, mas com menos horas perdidas e sem um fim de semana jogado fora.

Por Clebermag

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: