Recentemente, atualizei meu PC dedicado à simulação de corridase, por isso, fui forçado a reinstalar o Windows XP SP2, juntamente com todos os jogos. Quando estava baixando os patches no-cd para o vários simuladores de corrida Quando o senhor me viu, de repente e inexplicavelmente fui inundado por pop-ups, ícones e instalações indesejadas de software. Fiquei com aquela sensação de estar afundando: Eu havia me tornado a infeliz vítima de um infestação de spyware.
É claro que isso é completamente culpa minha por navegar na Web usando o navegador da Web da era 2004 incluído em uma instalação padrão do Windows XP Service Pack 2. Se eu estivesse pensando racionalmente, teria feito o download do Firefox ou, pelo menos, conectado ao Windows Update para obter os patches mais recentes, antes de se aventurar na Internet aberta. Mas achei melhor poupar esse trabalho e entrar em alguns sites específicos para fazer alguns downloads rápidos. Não faria mal, certo? Que meu erro sirva de lição para todos que estão lendo isto: nunca navegue na Web sem a versão mais recente de seu navegador preferido. Optar intencionalmente por navegar na Web com um navegador de três anos atrás, como eu fiz, é algo incrivelmente perigoso.
As consequências nesse caso são mínimas, pois essa nem é minha máquina secundária – é um PC para fins especiais dedicado a jogos. Reinstalar o sistema operacional não é nada demais. Mas ainda assim é um incômodo e, de qualquer forma, é preciso lidar com a infestação de spyware, pois ela causa sérios problemas de desempenho e até interrompe o jogo com pop-ups incessantes.
Os dois sites mais comuns para patches no-cd são MegaGames e GameCopyWorld. Caso o senhor esteja se perguntando, sim, eu possuo todos os meus jogos. Faço download de patches no-cd por conveniência; considero-os um privilégio de propriedade para jogadores de PC experientes e éticos. Imaginei que a infecção viesse de um desses sites. Então, criei um máquina virtual honeypot em Virtual PC 2007, usando a versão antiga e original de 2001 do Windows XP e o clássico Chave do Devil’s Owne iniciei os testes.
Aqui está uma foto do Gerenciador de Tarefas na área de trabalho, depois de instalar os complementos necessários para a máquina virtual. Esta é uma instalação do Windows XP completamente simples e limpa: sem service packs, sem atualizações, sem nada. Esse sistema está conectado à Internet, mas isso não é tão perigoso quanto parece. Como ele está atrás de um roteador NAT que bloqueia todas as conexões de entrada, não há como o passivamente infectado. Deixei que ele se conectasse à Internet e ficasse parado na área de trabalho por cerca de uma hora, apenas para provar meu argumento. Nenhuma infecção passiva ocorreu atrás de um roteador NATmesmo para esta instalação do Windows XP lamentavelmente desatualizada da era de setembro de 2001.
Agora estamos deixando a passividade para trás, e de forma imprudente navegando na Internet aberta com a versão original do Internet Explorer 6.0, sem patches e com seis anos de idade. Perigo, Will Robinson! Deixei o Gerenciador de Tarefas em execução enquanto acessava o MegaGames, baixei um patch sem CD e… nada. Em seguida, visitei o GameCopyWorld, baixei um patch sem CD e… de repente, ficou muito claro quem é o culpado. Dê uma olhada no Gerenciador de Tarefas agora:
Isso foi um choque para mim, pois a GameCopyWorld é recomendada com frequência em fóruns de jogos. Eu o considero um site respeitável. Nunca tive problemas com o site antes, porque geralmente navego com as atualizações mais recentes. Mas a infestação de spyware do navegador não corrigido ao visitar o GCW… só de visitar as páginas da Web, mesmo que o senhor não faça nenhum download— é quase imediato e completamente devastador. A área de trabalho da máquina virtual, após alguns minutos, conta a história:
Não é bonito, e deixe-me dizer aos senhores, Tenho um novo grau de simpatia pelos pobres usuários que se tornam as infelizes vítimas de infestações de spyware. A máquina fica praticamente inutilizável, entre…
- novos ícones que aparecem magicamente em sua área de trabalho
- popups em tela cheia que ocorrem a cada dois minutos
- caixas de diálogo que oferecem “instalação de software antivírus” com apenas um botão OK
- degradação do desempenho do sistema devido a todos esses processos de spyware em segundo plano
… é de se admirar que as pessoas não desistam completamente da computação. Uma vez que a porta é aberta, parece que toda a vizinhança de fornecedores de malware, spyware e adware passa a residir em seu computador. Deveria haver um círculo especial do inferno reservado para as empresas que ganham dinheiro fazendo isso com as pessoas.
No início, fiquei furioso comigo mesmo por ter deixado isso acontecer. Eu deveria saber melhor, e eu do sabem melhor. Depois, canalizei essa raiva para a ação: este é o meu computador e não vou tolerar nenhum malware, adware ou spyware viscoso e indesejado que se instale nele. Resolvi limpar meu próprio computador e consertar a bagunça que fiz. É mais fácil do que o senhor imagina, e mostrarei exatamente como fiz isso.
Nossa primeira ordem do dia é interromper qualquer spyware que esteja sendo executado no momento. O senhor precisará de algo um pouco mais pesado do que o simples Gerenciador de Tarefas – obtenha o Sysinternals’ Process Explorer. Faça o download, execute-o e classifique a lista de processos por Nome da empresa.
Elimine todos os processos que não tenham um nome de empresa (com exceção de DPCs, Interrupções, Sistema e Processo ocioso do sistema). Clique com o botão direito do mouse nos processos e selecione Kill (matar) ou selecione-os e pressione a tecla Delete. O senhor pode usar minha captura de tela inicial do Gerenciador de Tarefas, na parte superior desta publicação, como referência para o que deve estar em execução em uma instalação limpa do Windows XP. Mas geralmente não há necessidade de ser tão específico; a menos que tenha um nome de empresa que o senhor reconheça, é muito provável que seja um aplicativo nocivo e que deva ser encerrado.
Interromper a execução do spyware é apenas metade da batalha. Agora precisamos impedir que o spyware seja reiniciado na próxima vez que inicializarmos o sistema. Msconfig é uma solução parcial, mas, mais uma vez, precisamos de algo mais avançado do que o que é fornecido imediatamente. Ou seja, o SysInternals’ AutoRuns. Faça o download, execute-o e comece a navegar pela lista que aparece:
Como o senhor pode ver, há um monte de spyware, malware, adware e sabe-se lá o que mais atrapalhando o trabalho – tudo isso por visitar um single website! Percorra a lista até o final, procurando por editores em branco ou qualquer editor que o senhor não reconheça. Se o senhor vir algo suspeito, exclua-o! Em uma instalação padrão do Windows, 99,5% das entradas terão “Microsoft Corporation” como editor. Qualquer respeitável de boa reputação não terá problemas em associar seu nome ao trabalho, portanto, geralmente o senhor só precisa se preocupar com as entradas em branco.
Agora reiniciar o sistema. Removemos a maior parte da infestação de spyware, mas há uma classe muito mais virulenta de spyware que pode sobreviver a esse tratamento. Trataremos deles a seguir.
Após a reinicialização, verifique se há algo suspeito no Process Explorer e no Autoruns, exatamente como fizemos antes. A primeira coisa que notei que “voltou” no Autoruns foi um driver suspeito, core.sys, que não tinha um editor. Usei o o poderoso menu Localizar | Localizar identificador ou DLL no Process Explorer para localizar quaisquer referências ativas a esse arquivo.
Infelizmente, não fiz a captura de tela correta no momento, por isso estou mostrando um resultado de pesquisa genérico acima. De qualquer forma, havia exatamente um identificador aberto para o arquivo core.sys. Selecionei o resultado, que destaca o identificador correspondente no painel inferior da visualização do Process Explorer. Clique com o botão direito do mouse na entrada do identificador no painel inferior e clique em “Close Handle” (Fechar identificador).
Depois que fechei o identificador, pude excluir fisicamente o arquivo core.sys nocivo do sistema de arquivos, juntamente com a entrada do Autoruns para ele. Problema resolvido!
O outro item que reapareceu no Autoruns após a reinicialização foi um um arquivo DLL de nome estranho com ganchos para o Winlogon e o Explorer. Além do nome suspeito, cada entrada traz o sinal revelador do valor do Publisher ausente:
Exclua as entradas no Autoruns o quanto quiser; elas continuarão voltando quando o senhor pressionar F5 para atualizar. Essa DLL desonesta e de nome aleatório monitora continuamente para garantir que seus pequenos ganchos feios estejam no lugar. O aspecto desagradável dos processos anexados ao Winlogon é que eles são muito difíceis de eliminar ou remover. Podemos eliminar o Explorer, mas o eliminar o Winlogon não é uma opçãoele é o processo raiz do Windows, portanto, desligá-lo faz com que o sistema operacional seja reiniciado. É difícil difícil.
Mas somos mais espertos do que os fornecedores de malware. Abra o Process Explorer e use o menu Localizar | Localizar alça ou DLL para localizar todas as instâncias dessa DLL pelo nome. (Elimine todos os handles abertos para esse arquivo que o senhor encontrar, exatamente como fizemos antes. Mas o senhor precisará dar um passo adiante. Sabemos, por meio dos Autoruns, que essa DLL provavelmente está anexada aos processos do Explorer e do Winlogon, mas deixe que os resultados da busca sejam seu guia. Clique duas vezes nos processos que o senhor encontrou que fazem referência a essa DLL. Na caixa de diálogo de propriedades do processo, selecione a guia Threads. Percorra os threads e elimine todos os que tiverem a DLL desonesta carregada.
Depois de eliminar todos os threads, o senhor pode finalmente excluir as entradas no Autoruns sem que elas voltem. Reinicie o computador e ele estará completamente livre de spyware. Conto 17 entradas no Gerenciador de Tarefas, exatamente o mesmo número de quando comecei.
Obviamente, a coisa mais inteligente a fazer é não ser infectado por spyware, malware ou adware em primeiro lugar. Não posso enfatizar isso o suficiente: sempre navegue com os patches mais recentes para seu navegador da Web preferido. Mas, se por acaso o senhor for infectado, pelo menos agora tem as ferramentas e o conhecimento para banir esses malfeitores do seu computador para sempre.
Atualização: Se estiver preocupado com spyware, malware e adware, o senhor deve considerar fortemente não executar como administrador.