– root@injetionsec:~#

Vírus – mídia removível

05.06.2014 (11:54 am) – Filed under: Virus ::

A cada vez mais pen drives e cartões de memória infectados com vírus e a cada vez deparamos com vírus novos, que os antivírus não conhecem,vamos ver algumas dicas como se defender de um pen drive ou cartão de memória infectado e saiba como remover o vírus destes dispositivos.

Os vírus são programas (executáveis) e a infecção de um pen drive acontece quando o inserimos em um PC infectado,se o pen drive infectado é inserido em PC saudável e sem proteção adequada, este PC é infectado e passa a infectar todos os pen drives inseridos nele posteriormentecom isso temos um disseminação total dessa praga,isso tudo ocorre por conta da arquitetura e controle de permissões do Windows,os usuários logados em um sistema Windows pertence ao grupo “Administradores”, isto é, possui todas as permissões de escrita e leitura em praticamente todo o disco rígido e áreas de memória,ate ai você sacou o que porque..ahahha

Quando uma midia usb sem infecção e inserida em uma porta USB, a praga copia-se para ele.
Mas fica a pergunta como ao colocar um pendrive em outro computador a dissiminação ocorre

E o chamado autorun (ou auto-inicialização) para drives montados e com letra ja atribuída.

* Como funciona o autorun

Ele serve para executar qualquer aplicativo assim que o drive é montado,temos casos de CD/DVD-ROMs que ao serem inseridos no drive abrem uma aplicação com menus e outros recursos,o autorun pode ser utilizado em qualquer drive, seja uma partição do disco, CD-ROM, DVD, USB, câmera digital,HD externos, etc.
Podemos fazer isso criando um arquivinho chamado autorun.inf no diretório raiz do drive em questão,com isso são escritas rotinas que o Windows deverá seguir quando assim que o drive for montado,um exemplo

[autorun]
open=menu_midia.exe
icon=menu_midia.ico

Salve esse arquivo e nomei-e como autorun.inf e coloque no diretório raiz de um drive, ao montar ou acessar este drive, as instruções contidas neste arquivo serão executadas.

Que que ele vai fazer ,basicamente o ícone do drive exibirá agora o ícone menu_midia.ico, contido no diretório raiz do drive (do pendrive, por exemplo) e a aplicação menu_midia.exe será carregada.

O vírus de pen-drive é executado assim que ele é inserido,usando esse arquivinho

* Como evitar a contaminação,algumas dicas =]

Abra o seu prompt de comando (windows + r ou menu iniciar > executar > digite cmd é de enter)
O que vamos fazer e deletar arquivos autorun.inf,para isso observe qual letra sua mídia removível está.

Ex.: Se sua mídia removível está com a letra D: digite da seguinte forma no prompt de comando assim d:  , ficando como a imagem abaixo

94t4390

Depois de entrar na sua raiz da sua mídia removível execute os seguintes comandos abaixo,como mostrado na figura acima

atttrib -h -r -s autorun.inf de ENTER depois
del autorun.inf de ENTER depois

Faça isso para as outras unidas,depois de remover o arquivo autorun.inf reinicie  sua maquina, se aparecer alguma mensagem “File not found autorun.inf” e porque seu disco removível não tem nenhum arquivo autorun.inf

Abra um arquivo no bloco de notas com o seguinte  nome ver_ocultos.reg é salve o conteúdo abaixo.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32.dll,-30500”
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105”

Isso vai possibilitar aparecer arquivos oculto em seu sistema.

Desabilitar a auto-reprodução das unidades removiveis,para isso entre em executar e digite regedit

No registro, navegue até a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer e coloque o valor NoDriveTypeAutoRun para 4,isso vai desabilitar a auto-reprodução em unidades removíveis,caso queira desabilitar em qualquer unidade utilize o valor ff, isso e para windows xp e 2003

Abra qualquer unidade removível pelo Windows Explorer, ao invés de dar duplo-clique no ícone,e só clicar com o botão direito na unidade e escolher “Explorar” ou abrir o “Windows Explorer”

Podemos também fazer assim para ver os arquivos ocultos, entre em  MEU COMPUTADOR > na parte superior vá em FERRAMENTAS > OPÇÕES DE PASTA , veja a figura esta em inglês mas e tranquilo de identificar.

9023248w2

Uma nova janela se abrir é só marcar a opção “MOSTRAR ARQUIVOS E PASTA OCULTOS” veja abaixo

43t9t3

Agora abra a unidade desejada com o botão direito e clique em “EXPLORAR”  não de duplo clique,então delete os arquivos autorun.inf e MS32DLL.dll.vb s ou MS32DLL.dll (Para excluir MS32DLL.dll.vbs ou MS32DLL.dll, vá para C :/ Windows ou C :/ Windows/System32), vá agora no editor de registro (windows + r e digite regedit) navegue pelos seguintes registros HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run  e do lado direito dele o MS32dll conforme a figura abaixo

282ufedf

Desabilitar a execução do arquivo autorun.inf,faça o seguinte,copie e cole as linhas abaixo para um bloco de notas e salve como desabilitar.reg:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExistSEUNOME”

Substitua SEUNOME pelo seu primeiro nome,depois basta executar o arquivo desabilitar.reg que você gerou.

Um software que automatiza isso e o USBForce,quando e executado na máquina, o USBForce :

– Desabilita a auto-reprodução em todas as unidades.
– Desabilita o reconhecimento de arquivos autorun.inf.
– Habilita sua proteção.

Quando você colocar alguma midia removivel,o Windows o reconhecerá mas nenhuma tela será aberta,você deve então clicar no ícone do USBForce onde salvou,ele abrirá o dispotivo pra você e tentará detectar se existe algum vestígio de infecção de vírus no dispositivo,caso encontre algum arquivo infectado tentara localiza-lo e deleta-lo

Essas foram algumas dicas para evitar é se proteger dessas pragas virtuais =]