Detectando e Eliminando Malwares no Windows: Importantes Conceitos e Ferramentas, Notas de estudo de Análise de Sistemas de Engenharia

Baixe Detectando e Eliminando Malwares no Windows: Importantes Conceitos e Ferramentas e outras Notas de estudo em PDF para Análise de Sistemas de Engenharia, somente na Docsity! A falta de informação das pessoas aliada à falta de segurança do Windows traz sérios riscos, não é de hoje. Um programa com código malicioso executado no computador pode fazer coisas das mais terríveis. Tudo bem, isso já é do conhecimento de todos, mas de qualquer forma as pessoas precisam usar seus computadores, e estes devem estar livres de pragas. Use antivírus. Use antispyware. Use firewall. Até que ponto isso é verdadeiro? Muita gente se surpreende comigo quando digo: eu não uso antivírus! Recuso-me até a morte (ou, quem sabe, até que um vírus me prove o contrário :). E não recomendo, sinceramente. Tudo fica mais lento. Mesmo em PCs atuais, sou meio contra a idéia de haver um programa tendo que monitorar todos os dados no meu computador em tempo real, em busca de um código malicioso. Isso é coisa para sistemas operacionais incompetentes. O que não vem a ser totalmente o caso do Windows, pois quem está diante do sistema é uma pessoa. É a pessoa que deveria saber o que abrir, o que fazer e como agir. Ninguém nasce sabendo, então trago aqui algumas noções importantes para detectar e eliminar boa parte dos malwares que infectam o Windows. Além, é claro, de tentar conscientizar um pouco sobre medidas de segurança que boa parte das pessoas sabem – ou pelo menos já ouviram falar – mas não se dão ao trabalho de cumpri-las. Fui infectado! E agora? Esses dias entrou um malware no computador de uma amiga, daqueles que ficam enviando mensagens pelo MSN. Eles detectam a janela de conversa aberta e enviam comandos à mesma, fazendo com que um texto seja enviado para a pessoa com a qual a outra esteja conversando – como se tivesse sido digitada pela pessoa. Minha amiga estava com o nick “Tá enviando vírus, não clique!”. E logo que abríamos a conversa normalmente vinham lá alguns dizeres “Olha as fotos que eu tirei com não sei quem, veja aqui...” seguido de um endereço de um site suspeito. Claro, clicando, mais uma pessoa seria infectada. Além disso, vai saber o que esse programinha não fazia nos bastidores. Hoje em dia roubar dados é a principal idéia dos malwares: senhas, contatos, tudo o que foi digitado. Foi-se o tempo em que vírus destruía para se exibir. Numa seção de “exorcismo” virtual, ajudei essa amiga pelo MSN mesmo, de uma forma simples. Ela estava passando desesperada o AVG e um antispyware, e nada de eles detectarem a praga. Então lá fui eu. Pedi para ela abrir o gerenciador de tarefas do Windows na aba “Processos”, e me enviar uma imagem da tela. Com base nisso eu chutaria alguns processos e mandaria ela fechar. E isso foi feito. O malware foi fechado. A segunda parte foi um pouco mais complicada para ela, mas nada tão doloroso: abrir o MSConfig e desativar a inicialização do maldito (eu procuraria diretamente no registro, mas ela iria se perder). Depois de reiniciado o PC, esse pelo menos já era. AVG 0 x 1 Eu! Os malwares são programas como outros quaisquer. Na grande maioria das vezes, são programas que se configuram para iniciar junto com o Windows. E ficam fazendo sua ação. Seja enviar spam (usando o seu IP e a sua banda!), usar seu computador como servidor de um software P2P qualquer ou tentar capturar suas senhas. Esses quase sempre podem ser removidos manualmente, usando programas simples de monitoramento. A idéia é: eles estão abertos, vamos fechá-los! E se eles se configuram para serem iniciados junto com o computador, vamos remover essa configuração. Alguns casos mais graves podem ocorrer, onde os vírus mais “poderosos” se infiltram dentro de arquivos do sistema, corrompendo-os. Aí a coisa complica, seria tarefa mais para um antivírus (agora sim, automatizada) mas normalmente dá para restaurar arquivos do sistema, caso os arquivos infectados sejam os nativos do Windows. Bem, vamos por partes... Identificando e removendo um programa indesejado Como no caso da minha amiga, usei uma idéia básica. Mas para isso, eu precisaria tentar chutar o programa a ser fechado, pelo nome do executável. Como saber? O Windows por si só carrega diversos programas em execução (processos) próprios, para uso do sistema. Cada programa aberto também será considerado um processo, e listado, portanto, no gerenciador de tarefas e os malwares também ficarão por ali. A idéia é listar ou decorar os nomes dos programas do Windows que sempre se iniciam, mais aqueles que você usa e que se iniciam automaticamente também (como seu antivírus, o firewall, etc). Com base nisso, você pode ir tentando fechar os malwares. Na dúvida, uma dica é copiar o nome do programa e jogar no Google. Se for um malware conhecido, provavelmente você irá encontrar páginas (normalmente de fóruns) relatando-o. Aí não resta dúvida, basta fechá-lo. Acontece que o gerenciador de tarefas do Windows pode ser facilmente corrompido ou modificado, e é possível que um programa nem apareça nele. Além disso, alguns malwares bloqueiam o gerenciador de tarefas (usando recursos do próprio Windows, por incrível que possa parecer!). Para uma pescagem mais profunda, vamos usar outro gerenciador de tarefas. Um muito bom é o Process Explorer NT. Ele é da SysInternals, que foi comprada pela Microsoft. Eu pensava que seria descontinuado depois da compra, mas pelo contrário, foi até atualizado para trabalhar melhor no Windows Vista. Pronto. Agora ficou mais fácil localizar o arquivo no disco e excluí-lo. Quase sempre os spywares estarão dentro da pasta system32, ou pelo menos na pasta do Windows. Mande pesquisar na pasta “C:\windows” incluindo subpastas; caso não o encontre ali, mande buscar então em todos os discos rígidos locais. Pesquisando apenas na pasta do Windows a pesquisa será mais rápida, já que o buscador não terá que vasculhar todo o seu HD :) Fechado o programa, excluído o arquivo, agora falta remover o ponto de entrada de inicialização, que faz com que o programa seja carregado durante o boot do sistema. Os programas que se iniciam junto com o computador podem ficar configurados em alguns lugares diferentes no Windows. Uma forma básica de ver isso é usar o MSConfig, programinha que já vem com o Windows (exceto NT e 2000) e que lista os programas abertos. Clique no “Iniciar > Executar”, digite msconfig e tecle enter. Na aba “Inicializar”, localize os itens desejados e desmarque o suposto malware. Depois de desmarcado, clique em Aplicar > OK. Ele pedirá para reiniciar o computador, fica a seu critério reiniciar no momento ou depois. Dica: desativando outros itens desnecessários pelo MSConfig também, fará com que o computador inicie um pouco mais rápido e use menos memória; mas cuidado para não desativar programas importantes, como o firewall, antivírus (se você usar), etc. Importante: sempre remova a entrada de inicialização do programa com ele fechado. Se você não fizer isso, alguns programas ficam regravando as chaves no registro enquanto estão abertos, justamente para que se você remova, logo eles regravam e serão inicializados depois, na maior cara de pau. Com eles fechados, simplesmente não têm como regravar. Nem sempre será fácil remover programas indesejados dessa forma, mas boa parte deles podem ser removidos assim, por incrível que possa parecer :) Outra dica é iniciar o computador limpo, sem spywares, e anotar os nomes dos programas que se iniciam automaticamente (seja pelo Process Explorer NT ou pelo próprio gerenciador de tarefas). Boa sorte :) Outras formas de detectar programas que se iniciam automaticamente Há diversas formas. As mais comuns são pelas chaves do registro: HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > RunOnce HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > RunOnce Mas há também a pasta “Inicializar” no menu “Iniciar > Programas”. Alguns programas criam entradas ali, para esta é mais fácil: basta excluir o atalho. Clique em “Iniciar > Programas > Inicializar”; depois, clique com o botão direito no item desejado (se houver) e mande excluir. Para as chaves do registro... Se você não mexe muito com o registro, cuidado: não saia fuçando em tudo. Exclua apenas entradas que você tenha certeza que podem ser excluídas, pois editar incorretamente o registro pode fazer com que o Windows nem seja iniciado – claro que isso poderá ser corrigido, mas poderá não ser tão fácil. Nota: o “registro”, caso você não saiba, é um banco de dados de configurações usado pelo Windows e por diversos programas. O “editor do registro”, programa “regedit”, é uma interface que vem com o Windows que permite modificar as configurações gravadas no registro. O termo “registro” aqui não tem nada a ver com cadastro ou pagamento :p Abra o editor do registro (“Iniciar > Executar” > digite regedit e dê OK). Ele tem o visual parecido com o do Windows Explorer, tratando as chaves do registro como se fossem “pastinhas”. À esquerda, localize as chaves e subchaves conforme indicam as setas nos caminhos indicados mais acima, até chegar na “Run” ou “RunOnce”. À direita são listadas as entradas referentes à chave selecionada à esquerda, que no caso, correspondem aos programas que se iniciam automaticamente com o computador. Selecione o do malware e delete, usando a tecla Del mesmo do teclado. Como falei, cuidado ao fazer isso; se não se sentir seguro, prefira usar o MSConfig ou esse outro programa que indicarei agora. Também da SysInternals (agora Microsoft) um bom software é o AutoRuns. Ele lista praticamente tudo o que se inicializa com o Windows, incluindo muitos itens não exibidos pelo MSConfig. Veja: Baixe-o em: http://www.microsoft.com/technet/sysinternals/Utilities/AutoRuns.mspx Ele é composto por várias abas de categorias. Com ele você pode desmarcar os itens e remarcá-los depois, caso se arrependa. Mas ainda assim, tome o cuidado de não desmarcar itens à toa, pois vários, “muitos” na verdade, correspondem a componentes essenciais do Windows. Por meio dele pode-se desativar extensões do Explorer, do logon, do IE, drivers de dispositivos e outros componentes. Ele é muito importante, deveria vir de fábrica com o Windows. Comentário: é possível desativar também aquele WGA, que exibia notificações em Windows não originais; bastando desmarcar o ponto que carregava o WGA, no processo de logon do Windows, e a seguir deletando os arquivos do WGA do HD. Tanto o Process Explorer como o AutoRuns são gratuitos e não precisam ser instalados, eles rodam diretamente, sendo muito úteis para fazer parte da mala de ferramentas dos técnicos Windows. Windows bloqueado? Alguns spywares e malwares em geral desativam componentes do Windows, usando recursos do próprio sistema. Isso é possível porque o Windows foi projetado para suportar diretivas de empresas e grupos, onde os funcionários podem usar os computadores, mas não alterar configurações. Alguns spywares dão uma de “administradores” no seu sistema, bloqueando diversas coisas. Entre as mais visadas estão o bloqueio da página inicial do Internet Explorer, a edição do registro pelo regedit, de forma que você não consegue abri-lo nem usar os arquivos “.reg”, e em alguns casos, bloqueiam até o gerenciador de tarefas, para evitar que sejam fechados (aqui usar o Process Explorer NT normalmente resolve). Esses bloqueios são feitos pelo registro, e caso você não possa abrir o regedit, e/ou se quiser remover diversos bloqueios de uma vez, recomendo um software meu mesmo: o AntiPolicy. Basta abri-lo, clicar na aba “AntiPolicy” e então no botão “Remover bloqueios...”. Quase todos esses bloqueios serão liberados de imediato, alguns só no recarregamento do Explorer (no próximo logon, por exemplo). Vale a dica: primeiro, feche os malwares e certifique-se de que não estejam marcados para inicializar depois, pois eles poderão restaurar os bloqueios se forem abertos. Download do AntiPolicy: http://www.mephost.com/software/antipolicy.htm Esse programa ainda permite fechar bruscamente processos também, servindo como um gerenciador de processos alternativo. Enquanto que o gerenciador de tarefas do Windows e o Process Explorer NT listam os processos pelo nome do executável, o AntiPolicy lista pelos nomes das classes de janelas. A maioria dos spywares não têm janelas visíveis, mas têm janelas ou pelo menos controles que não ficam visíveis mas são listados. No AntiPolicy, você pode fechar qualquer programa, pela aba “Visíveis” (os que estão rodando na barra de tarefas ou em uma janela) ou “Ocultos” (os que