Virus em pendrive, Orientações para remoção

[Einstein]

Os pendrivers e MP3 Players estão se popularizando, devido a queda nos preços e aumento nas capacidades de armazenamento. E junto com eles, vírus de unidades removíveis também estão se tornando comuns.

Tais vírus têm a capacidade de se espalhar de computador para computador através de um pendrive infectado. Para isso o vírus usa de um recurso comum ao Windows: a autoexecução. Quando uma unidade removível é adicionada ao Windows, automaticamente ela será aberta. É nesse momento que o virus se instala: dentro do pendrive é inserido um arquivo autorun.inf, que será o responsável por executar o vírus.

Alguns sintomas comuns de pendrivers e unidades infectados:

• A Unidade fica inacessível
• Erros de Autorun são comuns na tela
• A opção de ver arquivos Ocultos fica desabilitada e/ou nunca fica ativada
• Incapacidade de apagar/mover arquivos do pendrive

Para lhe ajudar a remover essas infecções mais comuns, vamos recomendar algumas ferramentas e procedimentos que podem ser tomados para resolver ou prevenir o problema.

---------

PenClean

O PenClean é uma ferramenta brasileira desenvolvida por Renato Mejias. Limpa e remove do pendrive e do computador as infecções mais comuns. Veja a lista das infecções removidas.

• Baixe o PenClean e salve no seu desktop.
• Execute o programa.
• Conecte o seu pendrive ao computador.
• Selecione a opção Verificar unidade, abra a caixa Unidade, escolha a letra onde o pendrive esta conectado. Marque a opçao Vacinar e clique no botão Verificar.
  <<Aguarde alguns instantes, o exame é bem rápido>>
• Será informado se algo foi encontrado, se for encontrado será pedido para reiniciar, clique em Sim. O computador será reiniciado.
• Um relatório sobre a execução será gerado e salvo em C:\PenClean\PenClean.txt
• Faça o mesmo procedimento para limpar outras unidades que possam estar infectadas.

---------

Flash Disinfector

Faça o download do Flash_Disinfector.exe e salve no seu desktop (Ambiente de Trabalho):

• Primeiramente conecte seu pendrive infectado ao computador
• Duplo clique em Flash_Disinfector.exe.
• Ao aparecer uma mensagem na tela, confirme no OK
• Aguarde, o desktop irá sumir por alguns segundos.
• Quando a execução concluir, irá aparecer na tela a mensagem "Done"
• Reinicie o seu computador.

Obs.: Após a execução do Flash Disinfector, será criado em seu pendrive ou unidade removível uma pasta chamada C:\autorun.inf. O motivo de tal criação é proteger seu pendrive contra futuras infecções.
Obs2.: o software por enquanto é incompativel com o Windows 7 e com todas as versões do Windows Vista.

---------

Proteja-se contra novas infecções

Para proteger seu PC de futuras infecções transmitidas por pendrive, sugerimos duas ações simples:

1) Desative o Autorun no Windows.

Para isso baixe a ferramenta USBVacine:
http://www.download.com/Panda-USB-Vaccine/...4-10909938.html

Com ela é possível desativar totalmente o Autorun no Windows, e assim sua máquina ficará protegida caso uma unidade removível infectada seja conectada ao computador.
Com essa ferramenta ainda é possível proteger pendrivers e dispositivos USB, no mesmo esquema do Flash Disinfector.

2) Use o Explorar

Mesmo com o Autorun desabilitado, sugerimos que, ao abrir um pendrive de terceiros você acesse Meu Computador e ao ver a unidade removível listada junto com as outras, você deve clicar com o botão direito do mouse sobre ela, e escolher Explorar. Dessa maneira, caso o pendrive esteja infectado, o autorun.inf presente na unidade não será executado, e conseqüentemente, o malware não irá infectar seu computador.

---------

Outras ferramentas

Não recomendamos o uso do ComboFix sem a devida orientação de um Analista para tentar remover vírus de pendrive. A ferramenta é poderosa e pode danificar seu PC se for usada incorretamente.
As duas ferramentas citadas acima, o PenClean e o Flash Disinfector já removem boa parte das variantes de malware que se espalham por pendrives (inclusive os muito comuns kavo e tavo).

Se você aínda tiver dúvidas ou não obter sucesso na remoção de algum malware, sugiro que poste sua dúvida na área de Dúvidas sobre Malware.

Atualizado em 12/05/2009

Este post foi editado por Einstein em 15/03/2010, 08:24 AM.

[Stealthwind]

Complementando com algumas outras informações:

.: Como ocorre a infecção:
Através do arquivo autorun.inf, que possibilita a execução automática da unidade removível ou de DVD/CD. Normalmente é utilizado em DVD/CD de instalação de Softwares para que seja executado o arquivo de instalação automaticamente. O autorun.inf possui diversas sintaxes dentro de si, sendo aquela que faz com que um arquivo seja executado é a open= (a mais comum). Existem outras possibilidades de fazer com que um pen drive inicialize um arquivo, mas certamente a mais utilizada é com o autorun.inf.

Além disso o computador deverá estar com a "Execução Automática" habilitada, ficando esta no registro do Windows.

O mais comum é a infecção em pen drives, devido a facilidade de troca de arquivos entre o computador e o pen drive. Diferente do DVD/CD, que para gravar algum arquivo precisa de um método especial, não é à toa que utilizamos programas para a gravação em DVD/CD.

O processo é semelhante ao dos disquetes, pois o pen drive infectado insere o seu executável principal no computador e tenta reinicializar a cada reboot, fazendo com que cada pen drive desprotegido que se conecte ao computador fique infectado também.

Mais:
AutoRun/Wikipedia
Como: criar um Autorun do CD-ROM para aplicativos
Como desabilitar a funcionalidade do Autorun no Windows

.: Solução:
Além de limpar o pen drive do autorun.inf e os arquivos maliciosos que estão dentro dele, é mais do que necessário que remova a infecção do próprio computador (que está infectado em 99% dos casos). Atualmente a própria Microsoft recomenda a desativação da "Execução Automática".

Utilizaremos 2 programas para combater esse tipo de ataque:

Autorun Eater:
Link: http://www.softpedia.com/get/Security/Secu...run-Eater.shtml

Esse programa possui o funcionamento parecido com o USBFirewall e programas relacionados. Quando uma unidade rodar um autorun.inf ele automaticamente detectará e bloqueará,enviando um aviso para o usuário contendo as informações do conteúdo do autorun.inf e possibilitando removê-lo com a opção "Remove autorun.inf" (opção mais recomendada). É interessante deixá-lo na inicialização do Windows (que já é inserido ao instalar o programa).

USB Vaccine:
Link: http://www.pandasecurity.com/homeusers/downloads/usbvaccine

Esse programa só possui duas opções: A de desabilitar o Autorun do Computador (podendo ser ativada novamente) e a de inserir um AUTORUN.inf persistente no Pen drive (para remover este autorun.inf que o USB Vaccine cria no Pen drive a solução é formatar o pen drive).

Mais:
The best way to disable Autorun for protection from infected USB flash drives
How does the Panda USB vaccination work?
How to disable autorun
How To How to Disable Autorun in Vista


.: Outros tipos de malwares persistentes:
Muitos worms de pen drives apenas infectam e criam uma chave na inicialização do Windows (podendo ser facilmente removidos com o HijackThis, por exemplo). Outros necessitam de uma atenção especial.

Os dois tipos mais persistentes que necessita de uma remoção específica são os worms Conficker e Sality.

Conficker:
Sintomas:

• Impossibilidade de abrir sites de antivírus e da Microsoft.
• Arquivo jwgkvsq.vmx no pen drive dentro da pasta Recycler (todos ocultos).

Seguir as instruções criadas neste post:
http://www.linhadefensiva.org/forum/index....showtopic=89257

Ferramenta de remoção:
http://data2.kaspersky-labs.com:8080/speci...doKiller_v2.zip (recomendado)

Sality:
Sintomas:

• Infecta arquivos executáveis (principalmente os de inicialização).
• Registro do Windows e Gerenciador de tarefas estão sempre "desativados pelo administrador", não importa o que faça.
• Não é possível visualizar os arquivos e pastas ocultas.
• Firewall do Windows desativado e exceções no firewall são criadas como 'ipsec'.
• Código infecta algum processo legítimo que esteja rodando no momento (ex.: explorer.exe).
• Impossibilidade de entrar no Modo de Segurança (malware apaga as chaves que configuram a entrada).

Ferramentas de Remoção:
http://www.avg.com/filedir/util/avg_rem_su...ality/rmslt.exe
http://www.ziddu.com/download/3653712/FxSltyAE.rar.html (recomendado)
http://download.bleepingcomputer.com/sUBs/...otKeyRepair.exe
(este último serve para restaurar as chaves que possibilita a entrada no modo de segurança)

OBS.: De preferência, desconecte o computador da rede para limpá-lo.

Além disso é necessário rodar um programa antivírus para tentar limpar os arquivos executáveis. Existe a possibilidade de ser reinfectado apenas abrindo algum arquivo executável que esteja com o código do Sality (muito comum de acontecer). Muitos arquivos podem ser perdidos também, como arquivos de instalação, que são corrompidos com o código do Sality.

Mais:
Microsoft - Conficker
Symantec - W32.Sality
F-Secure Virus Description:W32/Sality.AA