Infecções recentes de “pendrives”

O AGENTE MALICIOSO (MALWARE) CAUSADOR DO PROBLEMA

Estamos tratando do malware genericamente conhecido por VBS/Downloader.WLU (VBS = “Visual Basic Script“).

A ação do agente caracterizou-se como um “zero-day threat“, ou seja, um ataque que se propagou rapidamente, por ter sido desfechado antes de que os desenvolvedores de antivírus percebessem a ameaça e providenciassem  a contramedida defensiva.
No caso específico do Laboratório do RDC, a política de segurança implantada impediu que o vírus se instalasse e permanecesse nos computadores após o encerramento da sessão dos usuários (logoff). Não obstante, caso um usuário tenha plugado um “pendrive“, previamente infectado em outro lugar, em micro do Laboratório, estaria com a máquina comprometida durante a sessão de trabalho e infectaria outros “pendrives” que utilizasse durante a referida sessão.
Como já foi assinalado, o programa antivírus instalado no Laboratório incorporou a vacina e as sessões de trabalho dos usuários já estão protegidas. A imagem ao lado mostra o aviso exibido ao usuário quando um “pendrive” contaminado é conectado ao computador, informando que a ameaça foi contida.

 

SINTOMAS DA PRESENÇA DO AGENTE MALICIOSO

O agente malicioso propaga-se por meio de “pendrives” infectados, quando plugados em máquinas desprotegidas (antivírus inexistente ou desatualizado).

a) Modificação dos ícones das pastas
Ao abrir-se o diretório de um “pendrive” contaminado, constata-se que os ícones das pastas aparecem como ícones de atalhos. Pode-se ver à direita como aparece o ícone de uma pasta chamada “imagens” em um “pendrive” infectado: a seta indicadora de uma atalho é acrescentada à figura, detalhe que pode passar despercebido a observador menos atento.

b) Ocultação de pastas e respectivos conteúdos
As pastas originais da raíz do “pendrive” são ocultadas pelo vírus, utilizando recurso do próprio Windows.. Caso o usuário tenha habilitado a visualização de arquivos e pastas ocultas, os respectivos ícones aparecem com um aspecto esmaecido, como mostra a figura ao lado.

c) Instalação do malware no “pendrive”
Uma arquivo com extensão “.vbs” (Visual Basic script), também oculto é criado na raiz do “pendrive”. A figura ao lado mostra como aparece o ícone, uma vez a visualização de arquivos ocultos tenha sido habilitada pelo usuário. É bom frisar que o nome do arquivo pode variar.

 

COMO FUNCIONA O VÍRUS

a) O processo de infecção

Quando um usuário conecta um “pendrive” infectado em uma máquina saudável, mas desprotegida, e clica em um dos atalhos criados pelo vírus, este é executado, infectando a máquina. O vírus também faz com que a pasta (em verdade um atalho)  ‘clicada’ pelo usuário seja aberta, passando ao usuário a sensação de normalidade do sistema.
Qualquer “pendrive” que seja conectado ao computador infectado será imediatamente contaminado.

b) O comprometimento de dados do usuário
O vírus envia informações importantes do computador (nome do usuário, nome da estação de trabalho, sistema operacional instalado, programas antivírus instalados, etc) para um endereço remoto.

c) O comprometimento do computador do usuário e de sua rede
O vírus possibilita que seus criadores controlem remotamente o computador infectado, permitindo que a máquina seja utilizada para ações ilícitas, como envio de SPAM, ou instalação de “keyloggers” (programas para roubar dados tais como credenciais de acesso a sites e e-mails, números de cartão de crédito, senhas bancárias etc).

COMO ENFRENTAR O PROBLEMA

Os usuários devem manter sempre um sistema antivírus instalado e atualizado em suas estações de trabalho. O RDC constatou que os seguintes sistemas (sem descartar a eficácia de outros) se mostraram eficazes no combate à esta ameaça em particular:
• Panda Antivírus
• Kaspersky Endpoint Security
• Microsoft Security Essentials (gratuito para usuários domésticos/pequenas empresas).

Estes programas impedem que a máquina venha a ser afetada mesmo que um “pendrive” infectado seja utilizado.
Caso o usuário tenha tido sua máquina infectada antes da instalação ou atualização de um antivírus: deve instalá-lo, atualizá-lo e solicitar uma varredura completa do computador.
O usuário também deve solicitar uma varredura completa de “pendrives” infectados para evitar que estes venham a comprometer outras máquinas desprotegidas.

 

COMO RESTAURAR AS PASTAS OCULTAS MANUALMENTE

Mesmo após a remoção do vírus, as pastas originais do “pendrive” permanecem ocultas e precisam ser restauradas pelo próprio usuário.
O seguinte procedimento deve ser adotado:
Abrir a janela de execução do Windows, pressionando as teclas “Windows” e “R”. Na janela que se abrirá,  o usuário deverá digitar o comando attrib -r -h -s /D /S X:\* onde o “X” deverá ser substituído pela letra indicadora do “pendrive” (no exemplo abaixo, a letra “J”):

Cabe esclarecer que este procedimento é necessário, pois a opção usual para exibição/ocultação de pastas através do ambiente gráfico não se mostrou funcional (a caixa “Oculto”/”Hidden” na janela de propriedades das pastas afetadas fica indisponível). Ver figura abaixo:

COMO RESTAURAR AS PASTAS OCULTAS AUTOMATICAMENTE (por programa)

Como o procedimento manual demanda algum (pouco) conhecimento técnico do usuário, a equipe de suporte do RDC desenvolveu um pequeno script que automatiza o processo, que foi denominado de “RestaurarAtributos.bat”.
Embora o procedimento seja simples e os testes possíveis tenham sido realizados, ainda que isto seja pouco provável, não deve ser descartada a possibilidade de que alguma peculiaridade da instalação do usuário gere algum efeito imprevisto sobre o “pendrive”. Portanto, o usuário deverá realizar o procedimento a seu risco, eximindo-se o RDC de qualquer responsabilidade sobre o resultado.
Caso o usuário queira realizar este procedimento, deverá conectar os “pendrives” no computador, aguardar que sejam detectados pelo Windows e clicar no link abaixo.

[ BAIXAR, DESCOMPACTAR E EXECUTAR O SCRIPT ]

O usuário deverá seguir as instruções que aparecerão para baixar, descompactar e executar o arquivo. Após o nome do arquivo, para executá-lo, responda sim (“S”) às perguntas que aparecerão em tela.