Como encher seu micro de pragas virtuais e depois eliminá-las

Depois de conseguir infectar nosso computador-cobaia com um programa espião que tenta roubar senhas de bancos para enviar a alguma quadrilha de estelionatários, a próxima etapa da experiência com “tudo o que não se deve fazer na Internet” era tentar contrair o maior número de vírus e spywares possíveis. Só que, como não recebemos nenhum desses em nossa caixa de mensagens, graças aos eficientes filtros dos grandes serviços de e-mail, precisamos ir a campo em busca de amostras vivas dessas pragas.

Por incrível que pareça, encontrar um vírus “à solta” é bem mais díficil do que pensamos. Apesar de receber muitos pedidos como o meu, a bastante fechada comunidade de estudiosos de vírus é terminantemente contra o acesso de leigos a seus zoológicos de pragas eletrônicas. Deles, só consegui obter o Eicar, um inofensivo arquivo criado para testar o funcionamento de programas antivírus. Tratei de copiá-lo para o HD, mas ainda precisava de algo realmente perigoso. Cadê aqueles e-mails contaminados quando precisamos deles?

Deixamos os vírus de lado por enquanto e decidimos nos dedicar aos spywares, certos de que uma coisa acabaria levando à outra. Estes são bem mais fáceis de contrair, mas bem mais complicados de remover, como já discutimos em profundidade em outro tutorial. Onde encontrá-los? No submundo da Web, claro: sites de warez (programas piratas) e pornografia pesada costumam ser cheio de programinhas e plugins para o navegador dedicados a punir os pecadores digitais e, de alguma forma, remunerar aqueles que se dedicam a reunir este tipo de conteúdo.

Um pouco mais de comportamento suicida

Entramos em um site de busca de cracks para softwares piratas e procuramos por um programa para alterar o número de série do Windows. Entre os primeiros resultados estava um site russo – os melhores para este tipo de coisa. Foi só entrar no dito cujo para o Internet Explorer abrir uma janela avisando sobre um alerta exibido na Barra de Informações (Figura 1). Lá, ficamos sabendo que o site estava tentando rodar um componente ActiveX e que isso podia ser perigoso. Clicamos na barra e permitimos, claro! O objetivo não é fazer besteira?
No segundo site da lista de resultados, uma janela informou que era preciso concordar com a instalação do componente para poder baixar o arquivo desejado (Figura 2). Alguns desses sites permitem o download mesmo sem instalar esses programinhas indesejáveis, mas nem esperamos para conferir. Mandamos o Internet Explorer desbloquear pop-ups e tudo mais que o site quisesse fazer.

Ao longo do processo, nos deparamos também com um alerta que nunca havíamos visto: uma mensagem de Data Execution Prevention (Figura 6) informando que um programa estava tentando executar uma DLL, arquivo de biblioteca do Windows, como se fosse um aplicativo. Os processadores mais recentes possuem proteção contra esse tipo de comportamento viral e o Windows tratou de nos alertar. Desta vez, não tivemos nem como permitir.

Por falar em pop-ups, essas irritantes janelas que saltam na sua frente sem que tenhamos clicado em nada não tardaram a aparecer e se multiplicar, ao ponto de termos que usar as teclas ALT+F4 para conseguir fechá-las mais rápido do que abriam. A maioria era de sites pornôs, inpublicáveis aqui. Mas vai um protetor de tela grátis? (Figura 3). Claro, adoramos instalar programas de origem duvidosa! Propaganda da Dell? (Figura 5). Que decepção… como a maior vendedora de computadores do mundo deixou um anúncio seu ir parar nessas redes de adware?

Os pop-ups mais perigosos, porém, são os que se fazem passar por alertas do sistema, como os das Figura 4 e 7. A mensagem informa que o computador está vulnerável a vírus e outras pragas (óbvio, já que o próprio alerta é uma) e oferece uma varredura de programas maliciosos. Quando você aceita, o suposto antivírus “encontra” uma infinidade de ameaças e tenta convencê-lo a comprar a versão completa para eliminá-las. Jamais faça isso! Além de muitos programas mostrarem resultados de varredura falsos, você não quer seu cartão de crédito na mão desse tipo de gente, quer?

Chegou a hora da limpeza

Tendo atingido um ponto em que o simples ato de ligar o computador fazia rodar três antivírus de origem duvidosa, o Internet Explorer exibia algumas barras de navegação que não pedimos para instalar e bastava conectar à Internet para saltarem pop-ups de todos os tipos, chegou o momento de contra-atacar. Será que conseguiremos exorcizar o pobre notebook de seus demônios digitais?

Começamos por desinstalar todos os adwares que havíamos conscientemente instalado e que nos davam essa opção via Painel de Controle. Em seguida, a primeira arma de que lançamos mão foi a versão de demonstração do Kaspersky Anti-Virus 6.0; baixada em um outro computador e transferida para o notebook via pendrive. Lembre-se que não é seguro plugar um micro contaminado na rede, para que ele não infecte os demais, e que o download de programas antivírus e antispyware pode ser bloqueado pelas próprias pragas que tomaram conta do computador.

As primeiras varreduras já começaram a encontrar ameaças (Figura 8), mas antes mesmo de terminarmos de reiniciar o notebook para rodar um “scan” completo, alertas de todas as cores começaram a saltar da barra de tarefas. Entre eles, vários eram dos antivírus invasores que se instalaram no notebook e foram solenemente ignorados. Trataremos apenas dos do Kaspersky, entitulados “Proactive Defense Info”.

Um amarelo avisou sobre um programa que estava tentando se injetar em todos os outros processos em atividade (Figura 9). Alarme falso… o programa em questão é o driver do touchpad do notebook. Clicamos em “Allow” (permitir), marcamos “Add to Trusted Applications” (para isso não aparecer sempre que ligarmos o micro) e fomos adiante. Já o roxo (Figura 10) que avisava sobre um processo tentando alterar a configuração do Internet Explorer (para seqüestrar endereços) teve permissão negada (“Deny”).

Quando, finalmente, conseguimos rodar a varredura completa, o Kaspersky levou 20 minutos e detectou um total de 33 possíveis pragas (Figura 11). Duas eram alarmes-falsos, duas eram o nosso arquivo-teste Eicar, uma era um cavalo de tróia (entenda a diferença entre os vários tipos de pragas aqui) e algumas eram variantes do vírus PECompact. A maioria, como esperado, era composta por adwares de todos os tipos. Mandamos “neutralizar” tudo e tivemos que reiniciar o computador para o antivírus conseguir se livrar das pragas que se instalam na memória durante o boot.

Quem disse que acabou?

Como ainda havia um falso antivírus rodando e o Internet Explorer continuava “popando” propaganda de sites eróticos, recorremos a uma ferramenta mais especializada – o Spybot Search & Destroy (Figura 12). Considerado um dos melhores removedores de spyware do mercado, ele se sobressai ainda mais por ser totalmente gratuito! Em oito minutos, nosso amigo encontrou 61 problemas de diversas variedades (Figura 13), desde cookies relativamente inocentes aos seqüestradores de browser que nos impediam de decidir sobre nossa própria navegação. E eliminou todos!

Para não dizer que o computador estava limpo, uma última coisinha continuava incomodando: sempre que ligávamos o dito cujo, o Windows alertava sobre um tal de WSASS32.EXE tentando ser executado. Desconfiávamos tratar-se do programa espião que contraímos na primeira parte deste tutorial, quando tentaram roubar nossos dados bancários. Uma simples busca no Google confirmou essas suspeita: trata-se de um cavalo de tróia que se esconde no computador para interceptar senhas.

Existem algumas ferramentas para removê-lo, mas para evitar a execução quando o Windows é iniciado, basta usar o utilitário de configuração do sistema, que acessamos clicando em Iniciar, Executar e digitando MSCONFIG. Foi só procurar o wsass32.exe na lista de “Startup” (os programas iniciados automaticamente) e desabilitá-lo (Figura 14). Caso haja mais lixo rodando por conta própria, é bem possível que você os encontre neste lugar.

Fonte: WNews

Anúncios
Esse post foi publicado em Artigo. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s