– root@injetionsec:~#

Vírus – mídia removível

05.06.2014 (11:54 am) – Filed under: Virus ::

A cada vez mais pen drives e cartões de memória infectados com vírus e a cada vez deparamos com vírus novos, que os antivírus não conhecem,vamos ver algumas dicas como se defender de um pen drive ou cartão de memória infectado e saiba como remover o vírus destes dispositivos.

Os vírus são programas (executáveis) e a infecção de um pen drive acontece quando o inserimos em um PC infectado,se o pen drive infectado é inserido em PC saudável e sem proteção adequada, este PC é infectado e passa a infectar todos os pen drives inseridos nele posteriormentecom isso temos um disseminação total dessa praga,isso tudo ocorre por conta da arquitetura e controle de permissões do Windows,os usuários logados em um sistema Windows pertence ao grupo “Administradores”, isto é, possui todas as permissões de escrita e leitura em praticamente todo o disco rígido e áreas de memória,ate ai você sacou o que porque..ahahha

Quando uma midia usb sem infecção e inserida em uma porta USB, a praga copia-se para ele.
Mas fica a pergunta como ao colocar um pendrive em outro computador a dissiminação ocorre

E o chamado autorun (ou auto-inicialização) para drives montados e com letra ja atribuída.

* Como funciona o autorun

Ele serve para executar qualquer aplicativo assim que o drive é montado,temos casos de CD/DVD-ROMs que ao serem inseridos no drive abrem uma aplicação com menus e outros recursos,o autorun pode ser utilizado em qualquer drive, seja uma partição do disco, CD-ROM, DVD, USB, câmera digital,HD externos, etc.
Podemos fazer isso criando um arquivinho chamado autorun.inf no diretório raiz do drive em questão,com isso são escritas rotinas que o Windows deverá seguir quando assim que o drive for montado,um exemplo

[autorun]
open=menu_midia.exe
icon=menu_midia.ico

Salve esse arquivo e nomei-e como autorun.inf e coloque no diretório raiz de um drive, ao montar ou acessar este drive, as instruções contidas neste arquivo serão executadas.

Que que ele vai fazer ,basicamente o ícone do drive exibirá agora o ícone menu_midia.ico, contido no diretório raiz do drive (do pendrive, por exemplo) e a aplicação menu_midia.exe será carregada.

O vírus de pen-drive é executado assim que ele é inserido,usando esse arquivinho

* Como evitar a contaminação,algumas dicas =]

Abra o seu prompt de comando (windows + r ou menu iniciar > executar > digite cmd é de enter)
O que vamos fazer e deletar arquivos autorun.inf,para isso observe qual letra sua mídia removível está.

Ex.: Se sua mídia removível está com a letra D: digite da seguinte forma no prompt de comando assim d:  , ficando como a imagem abaixo

94t4390

Depois de entrar na sua raiz da sua mídia removível execute os seguintes comandos abaixo,como mostrado na figura acima

atttrib -h -r -s autorun.inf de ENTER depois
del autorun.inf de ENTER depois

Faça isso para as outras unidas,depois de remover o arquivo autorun.inf reinicie  sua maquina, se aparecer alguma mensagem “File not found autorun.inf” e porque seu disco removível não tem nenhum arquivo autorun.inf

Abra um arquivo no bloco de notas com o seguinte  nome ver_ocultos.reg é salve o conteúdo abaixo.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32.dll,-30500”
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105”

Isso vai possibilitar aparecer arquivos oculto em seu sistema.

Desabilitar a auto-reprodução das unidades removiveis,para isso entre em executar e digite regedit

No registro, navegue até a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer e coloque o valor NoDriveTypeAutoRun para 4,isso vai desabilitar a auto-reprodução em unidades removíveis,caso queira desabilitar em qualquer unidade utilize o valor ff, isso e para windows xp e 2003

Abra qualquer unidade removível pelo Windows Explorer, ao invés de dar duplo-clique no ícone,e só clicar com o botão direito na unidade e escolher “Explorar” ou abrir o “Windows Explorer”

Podemos também fazer assim para ver os arquivos ocultos, entre em  MEU COMPUTADOR > na parte superior vá em FERRAMENTAS > OPÇÕES DE PASTA , veja a figura esta em inglês mas e tranquilo de identificar.

9023248w2

Uma nova janela se abrir é só marcar a opção “MOSTRAR ARQUIVOS E PASTA OCULTOS” veja abaixo

43t9t3

Agora abra a unidade desejada com o botão direito e clique em “EXPLORAR”  não de duplo clique,então delete os arquivos autorun.inf e MS32DLL.dll.vb s ou MS32DLL.dll (Para excluir MS32DLL.dll.vbs ou MS32DLL.dll, vá para C :/ Windows ou C :/ Windows/System32), vá agora no editor de registro (windows + r e digite regedit) navegue pelos seguintes registros HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run  e do lado direito dele o MS32dll conforme a figura abaixo

282ufedf

Desabilitar a execução do arquivo autorun.inf,faça o seguinte,copie e cole as linhas abaixo para um bloco de notas e salve como desabilitar.reg:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExistSEUNOME”

Substitua SEUNOME pelo seu primeiro nome,depois basta executar o arquivo desabilitar.reg que você gerou.

Um software que automatiza isso e o USBForce,quando e executado na máquina, o USBForce :

– Desabilita a auto-reprodução em todas as unidades.
– Desabilita o reconhecimento de arquivos autorun.inf.
– Habilita sua proteção.

Quando você colocar alguma midia removivel,o Windows o reconhecerá mas nenhuma tela será aberta,você deve então clicar no ícone do USBForce onde salvou,ele abrirá o dispotivo pra você e tentará detectar se existe algum vestígio de infecção de vírus no dispositivo,caso encontre algum arquivo infectado tentara localiza-lo e deleta-lo

Essas foram algumas dicas para evitar é se proteger dessas pragas virtuais =]

badBIOS, malware misterioso que pode infectar computadores isolados

03.11.2013 (12:12 am) – Filed under: Noticias,Virus ::

Capaz de atacar diversos sistemas operacionais, como Windows, Mac OS X e Linux, o malware pode ser transmitido por dispositivos USP ou ondas sonoras de alta frequência, mais avançado do que o Stuxnet é o  Flame.

 

Como o próprio nome sugere, o badBIOS infecta a BIOS do seu PC – o pequeno pedaço de firmware que prepara a máquina antes de iniciar o sistema operacional. Se você alguma vez já pressionou uma tecla como o F2 logo após o seu computador iniciar e, em seguida, foi para uma tela que parece que foi construída sobre um Commodore Vic 20, essa é a BIOS. Uma vez que uma máquina é infectada, o badBIOS começa a trabalhar na inserção de código malicioso dentro do próprio sistema operacional.

Um malware que começa atacando pela BIOS não é algo inédito, mas a maioria dos códigos maliciosos normalmente atacam os pontos fracos em alvos padrão que vivem dentro do sistema operacional, como o Adobe Reader ou um plugin para o navegador do Java. Um vírus para a BIOS pode ser mais eficaz, já que é mais difícil de rastrear, e corrigi-lo está além da capacidade da maioria dos usuários de PC.

Mas o que realmente diferencia o badBIOS dos demais é que ele supostamente é capaz de permanecer intacto se alguém reinstalar o firmware BIOS (conhecido como flashing). 

O malware pode infectar uma máquina em uma de duas maneiras, de acordo com a teoria atual do pesquisador Ruiu. Ele pode invadir uma máquina por meio de um USB infectado ou por meio do envio de sinais de alta frequência “Ar Gapped”, captados pelo microfone de um PC infectado.

  • Ar Gapped
 Acredita-se  que dois computadores infectados podem se comunicar uns com os outros através da porta de áudio em freqüências acima de audição humana, permitindo assim um “ar gapped”  e assim eles comunicarem com a internet.
Esta técnica não é diferente de modems telefônicos, no início de 1990, modems continha hardware dedicado para modular / demodular o sinal de áudio vindo do outro lado da linha telefônica,no final de 1990, a maioria dos modems modems se tornaram “soft” que consistem em um circuito que simplesmente amostrava o sinal de áudio como uma placa de som e, em seguida, usou o software em execução no computador para fazer a modulação / demodulação.

Mas, se o badBIOS for real, ele representa algumas implicações sérias. Ruiu acredita que o malware é apenas a primeira de novas cargas de malware.

A existência verificada do badBIOS também poderia levantar sérias dúvidas sobre a viabilidade da segurança air-gap, onde os arquivos confidenciais são lidos ou criados em PCs que nunca se conectam à Internet.  Sem conexão com a Internet, acreditava-se que a única maneira realista pela qual você poderia ser infectado por malware seria a partir de um pendrive infectado ou outro periférico de armazenamento. Mas mesmo o suposto método de infecção de alta frequência do badBIOS poderia ser apenas a ponta de um iceberg digital muito maior. “Há outras maneiras de fazer as comunicações air-gap usando canais secretos”, diz Graham no post. “Você pode explorar LEDs… monitorar a tensão na fonte de alimentação… O computador portátil médio tem um número grande de entradas/saídas que não nem percebemos.”

Fonte : BlogErratasec & IdgNow