sexta-feira, janeiro 08, 2010

Virus: SHeur2.CEGF, SISZYD32 e Rootkit.Win32.Agent

Nos meus 30 anos de usuário de micro, foram poucas as vezes que tive um deles infectado por vírus. Pois foi o que me aconteceu nesta terça feira, bem debaixo das barbas do AVG. E, de quebra, foram três vírus.

Aviso: Pesquisando na internet é fácil perceber que existe uma multidão procurando por uma solução para um problema com vírus, em variados graus de desespero. Encontramos dando sugestões uma quantidade significativa de pessoas "sem-noção" e uma quantidade muito pequena de especialistas. Embora eu espero não estar no primeiro grupo, certamente não estou no segundo. As informações a seguir são bastante incompletas. Não fiz nenhuma análise profunda nem tentei repetir os resultados em um ambiente controlado. Algumas das ferramentas mencionadas podem causar grandes estragos no seu sistema, se você as usar de forma equivocada. Use com cautela o meu relato!

Aviso/2: o mundo de virus é bastante "mutante". Com frequência o mesmo virus aparece com o outro nome e virus diferentes aparecem o mesmo nome.

Primeiros Sintomas

Tudo começou no final da tarde da 3a, quando o meu micro apresentou alguns comportamentos anormais. O primeiro sintoma foram duas mensagens de erro do IE, seguida de uma atividade mais intensa na rede. Quase toda a minha navegação é feita com o Firefox, mas o IE ainda estava como navegador padrão do Windows. No momento, eu atribuí a atividade de rede ao envio dos relatórios de erro à Microsoft (eu acredito que estas informações contribuem para aperfeiçoamentos no Windows), num instante em que a minha conexão com a internet estava ruim.

O AVG Encontra Algo

Na manhã seguinte resolvi fazer uma varredura com o AVG e ele apontou o "cavalo de troia" SHeur2.CEGF no aquivo \Windows\Temp\~Tmc.tmp. O virus foi devidamente movido para a Quarentena e o AVG continuou indicando em letras verdes "Você está protegido".

Dei uma procurada sobre este tal trojan. O melhor que achei foi o seguinte:

http://ezinearticles.com/?id=2225673
http://www.precisesecurity.com/blogs/2008/12/22/trojan-horse-sheur2-gnw/

Mas Ele Não Está Só

Resolvi dar uma conferida se não tinha nada de estranho configurado para executar automaticamente. Minha ferramente preferida para isto é o autoruns, que permite não só ver o que está configurado mas desabilitar o que for indesejável.

Foi aí que encontrei o SISZYD32.exe escondido no menu Startup do meu usuário. A tentativa de desligá-lo pelo autoruns apresentou um erro mais que suspeito. Felizmente é bastante simples removê-lo: basta logar como outro usuário. Pesquisando sobre ele, achei esta página:

http://www.hardwareanalysis.com/content/topic/75487/

Na qual menciona a instalação de um rootkit.

O Que é Um Rootkit

Uma explicação mais detalhada pode ser encontrada na Wikipedia e no site do Windows SysInternals.

De forma muito resumida, um rootkit é um software que intercepta as funções do sistema operacional para esconder a sua presença. Não é algo muito novo, lembro de um vírus para DOS que fazia algo do gênero.

FreeFixer

A página acima menciona o fórum do avast! onde tem a seguinte discussão:

http://forum.avast.com/index.php?topic=52321.0

Nela é mencionada o FreeFixer. Algumas pesquisas indicaram ser um software sério e resolvi visitar o site. Foi realmente um achado. Conforme descrito em detalhes no manual, o FreeFixer verifica um monte de coisas (como processos em execução, drivers e duas dúzias de outras coisas) e apresenta uma lista já excluindo aquilo que ele sabe ser legítimo. Para os itens em dúvida é possível ver no site quantas ocorrências já foram relatadas, comentários e o que as pessoas afirmaram pretender fazer a respeito. O FreeFixer tem também a opção de apagar arquivos e chaves do registro associadas a itens indesejáveis.

O Terceiro Vírus

O FreeFixer me ajudou a localizar um driver suspeito, chamado NWBNLV.sys (desconfio que este nome é gerado randomicamente). Entretanto, ele não foi capaz de removê-lo. Após algumas tentativas sem sucesso, quando já estava me preparando para reiniciar a máquina com um CD com um sistema limpo, resolvi tentar a restauração do sistema. Reverti para um ponto de salvamento da 3a feira na hora do almoço - e adeus vírus! Bem, para ser mais preciso, ele deixou de ser carregado, permitindo remover o aquivo do diretório WINDOWS\SYSTEM32\Drivers.

Rootkit Revealer

Não cheguei a usar esta ferramenta antes de desativar o BWBNLV, mas o pessoal do Windows SysInternals tem um utilitário específico para detectar rootkits. Ele faz uma varredura no registry e no file system comparando o que é informado pela API normal do Windows com o que ele encontra usando funções de mais baixo nível. Não é infalível, mas poucos rootkits são capazes de enganar direito nestes dois níveis.

O processamento é bastante demorado (principalmente se você tiver um HD cheio de arquivos) e o resultado precisa ser analisado com cuidado. O ideal é rodar o utilitário com o sistema totalmente em repouso, mas isto é muito difícil. As discrepâncias que ele relatou nas vezes que eu rodei foram devidas ao micro desativar o vídeo para economizar energia e uma atualização automática do anti-vírus, o que mudou algumas coisas entre as leituras nos dois níveis.

Finalizando

Uma última curiosidade: submeti na quarta feira os três arquivos ao VirusTotal e o resultado foi o seguinte:

~TMC.TMP identificado por 17 dos 41 antivirus testados (42%)
SYSZYD32.exe identificado por 9 dos 41 antivirus testados (22%)
NWBNLV.sys identificado por 9 dos 41 antivirus testados (22%)

Isto significa que é muito provável que o anti-vírus na sua máquina não detecte estes "bichinhos".

Adendo (8/1/10):

O AVG já está detectando o NWBNLV como "Cavalo de Tróia Crypt.LWC". Isto causou um pequeno susto, pois o infeliz estava (com outro nome) em um dos pontos de restauração do sistema (provavelmente o criado quando voltei para o antigo). Existe um serviço que faz o salvamento periódico de pontos de restauração (aproximadamente uma vez por dia, mas as regras são complexas); quando o serviço foi mexer neste ponto de restauração a proteção residente do AVG deu um aviso. O AVG moveu o arquivo para a Quarentena e parece estar tudo quieto agora.

Adendo 2 (14/1/10)

O AVG já está detectando o SISZYD32. Achou a cópia que eu tinha guardado e num ponto de restauração do sistema e moveu para a Quarentena. The world is quiet here.

5 comentários:

Fernando Abrão disse...

Olá Daniel,

Sempre quanto tenho uma situação dessa eu utilizo o HijackThis http://free.antivirus.com/hijackthis que faz uma varredura no sistema indicando possíveis irregularidades, e você revome algo suspeito manualmente. Esse mesmo vírus que fica subindo o IE instalou-se no meu micro e consegui resolver com esse programa. Outros que não me lembro agora, também consegui resolver com esse programa.
Espero que da próxima vez lhe ajude.

Abraços

Anônimo disse...

a pergunta A pergunta é, como você pegou o virus? Que site? Que software?

Abraco

Daniel Quadros disse...

"Anônimo": até onde consigo deduzir, peguei o vírus de algum site que eu visitei (não lembro de ter executado nenhum programa incomum neste dia).

Para investigar isto eu precisaria acessar novamente todos os site que aparecem no histórico do navegador, porém não tive coragem de fazer isto nos meus micros nem condições de montar um micro especificamente para isto. Além disso é possível que o site já tenha sido limpo neste meio tempo.

ΔlβεrtΦ Ғaьianφ disse...

Eu já fui um grande usuário do netcat, mas depois que tudo quanto anti-virus passou a detectar ele como vírus/trojan & cia, preferi fazer os meus utilitários que fazem a mesma coisa (e mais um bocado) só para me livrar destes alertas dizendo que ele é perigoso e por um acaso, um deste utilitários outro dia o AVG da máquina de um amigo acusou de ser um SHer.BLABLABLA... enfim, heurísticamente ele acusou meu utilitário de Vírus! Ocorreu o mesmo com um driver que fiz para gerar uns pacotes para uns testes; ele acusou ele de ser "dangerous" Trojan Hourse SHer2.BLABLABLA tudo bem que mal utilizado eles podem ser perigosos, mas uma caneta bic se mal utilizada é perigosa (tsc)

Rootkit eram seres mais comuns no mundo *nix, inclusive há um brasileiro que tem uma ferramenta, já com 11 anos de idade para *nix, o Nelson Murilo, chamada chkrootkit - http://www.chkrootkit.org/ - porém hoje parece que o Windows virou o reduto.

Mas o que achei curioso, é que o o Kaspersky (do qual já paguei por sua licença 5x nos últimos 7 anos) me apontou a dupla SIZYD32 e o Rootkit.Win32.Agent e um outro (não me lembro) e este trio o russo pegou quando fui colocar um pen-driver onde havia as apresentações de um cidadão, a cerca de 40 dias, será que você teve reunião com o mesmo fornecedor??!? ;-)

No meu caso o Kaspersky fez o trabalho dele e ele não rotulou meus utilitários de coisas que eles não são, feito o Antivir, AVG e o Avast, em contrapartida ele tem removido tudo que ele tem detectado.

Só de pirraça a algum tempo eu inseri uma assinatura num pendrive que eu emprestei para várias pessoas, e vários detectaram como vírus, menos o Kaspersky (tsc) porém estes arquivos não eram vírus.

Gosto muito do FreeFixer, tenho usado ele desde a versão 0.43, já o Rootkit Revealer eu não gosto em nada, pra ser sincero é o primeiro utilitário do Sysinternals que eu não curti....

Daniel Quadros disse...

Alberto,

Não sei se você leu a respeito, mas o Kaspersky fez uma "brincadeira" recentemente: postou 20 programas inocentes no VirusTotal, com assinaturas de virus. Dez dias depois, 14 anti virus estavam detectando os programas inocentes como virus. Aparentemente a enfase atual é em colocar assinaturas de suspeitos e não analisar os programas.

http://www.theregister.co.uk/2010/02/10/kaspersky_malware_detection_experiment/