Bloco de Notas

Mensagens que recebi de computadores infectados:

“meu deus
olha o que aconteceu com o Galvao Bueno
cada coisa nesse mundo
http://www.whosonstage.net/temp/galvao.php”

“a mae jogou a crianca no lixo e ainda tinha o cordao umbilical acredita
que crime isso
mostra tudo ae http://www.pack80.net/spacederby_files/ZeroHora_Bebe_Abandonado.php”

Presumo que estes links dizem respeito a websites que também foram atacados para que o atacante pudesse colocar estes ficheiros disponíveis para download. Parto do princípio, portanto, que os responsáveis destes sites, nada têm a ver com este problema.

A fim de tentar descobrir quais os efeitos deste vírus e como o eliminar, infectei propositadamente um sistema meu

Ao clicar no link acima, fiz o download do ficheiro “galvao.exe” que executei. Aparentemente nada aconteceu, mas só aparentemente… na realidade foi criada esta directoria:

C:\Programas\Microsoft Studio Files\

E, como se pode ver no ficheiro .bat:

Foi aberta um “brecha” na segurança do windows através da criação de uma regra na firewall que permite a entrada de ligações.

Apagando o directório em questão e a regra de abertura da firewall, parece-me (não tenho a certeza) que ficou resolvido o problema.

Contudo, quando fui tentar limpar um computador que já estava com o vírus há algum tempo, verifiquei que o problema era maior

1. Mais ficheiros detectados:

D:\TEMP\Temporary Internet Files\Content.IE5\IQUTXDS2\galvao[1].exe C:\Programas\Microsoft Studio Files\
C:\Programas\MConvrm\
C:\Programas\jsload32\

As directorias MConvrm e jsload32 continham a mesma informação (que passo a listar):


Directory of C:\virus\jsload32\jsload32

28-02-2008 00:30 <DIR> .
28-02-2008 00:30 <DIR> ..
25-02-2008 14:41 0 bb.bxz
20-02-2008 01:18 3.381.760 bb.exe
25-02-2008 14:40 29 bctf.bat
25-02-2008 14:41 0 bradesco.bxz
21-02-2008 15:43 5.891.072 bradesco.exe
25-02-2008 14:41 0 caixa.bxz
21-02-2008 15:44 14.784.000 caixa.exe
25-02-2008 14:41 0 ccfacil.bxz
25-02-2008 14:41 0 checkcheck.bxz
28-02-2008 00:30 0 dir.txt
25-02-2008 14:41 0 gf.bxz
20-02-2008 01:19 5.059.584 gf.exe
20-02-2008 01:18 36.352 iek.exe
28-02-2008 00:29 <DIR> install
25-02-2008 14:41 0 itau.bxz
20-02-2008 01:19 9.241.600 itau.exe
20-02-2008 01:18 68.608 live.exe
25-02-2008 15:01 640 live.txt
25-02-2008 14:41 0 locaweb.bxz
21-02-2008 15:42 62.464 msgex.exe
18-02-2008 14:47 24 name.drv
25-02-2008 14:41 0 net.bxz
20-02-2008 01:19 1.105.920 net.exe
25-02-2008 14:41 0 notfirinvmbbredsa.dll
20-02-2008 08:17 142.336 rds.exe
20-02-2008 01:17 66.048 Readme.exe
25-02-2008 14:41 0 real.bxz
20-02-2008 01:20 4.598.272 real.exe
25-02-2008 14:41 0 registro.bxz
25-02-2008 14:41 0 santanderbanespa.bxz
20-02-2008 01:20 5.422.080 santanderbanespa.exe
28-02-2008 00:29 <DIR> sec
20-02-2008 01:21 40.448 sendchat.exe
28-02-2008 00:29 <DIR> temp_log
25-02-2008 15:02 13 upinfov.drv
20-02-2008 01:20 3.600.384 varios.exe
18-02-2008 14:50 128 vcdg.bat
18-02-2008 14:54 0 windvxsweq666111200
25-02-2008 15:01 1.474 wininfo1.vxd
25-02-2008 15:01 2.306 wininfo2.vxd
25-02-2008 15:01 1.986 wininfo3.vxd
18-02-2008 14:47 0 winvxhfythg34a.rd
39 File(s) 53.507.528 bytes

Directory of C:\virus\jsload32\jsload32\install

28-02-2008 00:29 <DIR> .
28-02-2008 00:29 <DIR> ..
25-02-2008 15:02 2.851.590 mnp.exe
1 File(s) 2.851.590 bytes

Directory of C:\virus\jsload32\jsload32\sec

28-02-2008 00:29 <DIR> .
28-02-2008 00:29 <DIR> ..
18-01-2038 23:14 11.508 fx.reg
1 File(s) 11.508 bytes

Directory of C:\virus\jsload32\jsload32\temp_log

28-02-2008 00:29 <DIR> .
28-02-2008 00:29 <DIR> ..
18-02-2008 14:50 <DIR> chat
0 File(s) 0 bytes

Directory of C:\virus\jsload32\jsload32\temp_log\chat

18-02-2008 14:50 <DIR> .
18-02-2008 14:50 <DIR> ..
0 File(s) 0 bytes

Total Files Listed:
41 File(s) 56.370.626 bytes
14 Dir(s) 13.235.437.568 bytes free

2. Apareceu uma nova Drive Letter: Y
Esta nova drive letter apareceu porque um dos ficheiros acima continha o comando subst.exe de forma a mapear o directório “c:\program files” nessa nova drive letter.

Não tenho a certeza, mas provavelmente isto serviria para evitar as restrições de segurança que vêm por default no XP para as pastas “program files”. Desta forma, ao escrever no Y:\ (sem segurança) estaria a escrever automaticamente em “C:\Program Files”

3. Mais regras de abertura da firewall:
D:\TEMP\Temporary Internet Files\Content.IE5\IQUTXDS2\galvao[1].exe C:\Programas\Microsoft Studio Files\lsass.exe C:\Programas\MConvrm\mwnming.exe C:\Programas\jsload32\nsvcrmx.exe

PASSOS QUE SEGUI PARA LIMPAR:

1. Desligar o msn messenger
2. Verificar quais as aberturas na firewall :
   1. 1. START -> CONTROL PANEL -> WINDOWS FIREWALL -> EXCEPTIONS
   2. Procurar as linhas contendo “Session Win32″ e, uma a uma, clicar em EDIT e tomar nota do valor que aparece em PATH:
   3. No meu caso detectei 4 diferentes:
      1. D:\TEMP\Temporary Internet Files\Content.IE5\IQUTXDS2\galvao[1].exe
      2. C:\Programas\Microsoft Studio Files\lsass.exe
      3. C:\Programas\MConvrm\mwnming.exe
      4. C:\Programas\jsload32\nsvcrmx.exe
3. Determinar quais as pastas que será necessário apagar a partir da lista anterior:
   1. D:\TEMP\Temporary Internet Files\Content.IE5\IQUTXDS2\
   2. C:\Programas\Microsoft Studio Files\
   3. C:\Programas\MConvrm\
   4. C:\Programas\jsload32\
4. Apagar todas as linhas contendo “Session Win32″ que verificamos acima (botão DELETE)
5. Apagar as pastas que identificamos em (3.) e todo o seu conteúdo.
   1. Para eliminar completamente (Não enviar para a reciclagem) deve-se seleccionar a pasta e premir SHIFT ao mesmo tempo que se carrega na tecla DELETE para apagar. Desta forma eliminamos completamente a pasta.
   2. CUIDADO para não eliminar pastas incorrectas! Por exemplo, a pasta “Microsoft Visual Studio .NET” pode ser confundida!
6. Eliminar a drive letter Y
   1. START -> RUN… -> escrever CMD -> premir ENTER
   2. Na janela com fundo preto que se abre escrever: SUBST Y: /D
   3. Premir ENTER no final
   4. digitar EXIT -> ENTER para fechar a janela
7. Reiniciar o computador