Hoje fui fazer uns backups aqui na minha pendrive, e notei uma coisa esquisita: um arquivo .EXE! Ué, mas que diabos, o que isso está fazendo aqui e ... um arquivo .INI! E uma .DLL! Já desconfiando o que poderia ser, resolvi dar uma olhada neles.

Abri o .EXE, chamado RavMonE.exe no Vim e converti o conteúdo em hexadecimal, e apareceram algumas strings como:

is|zi..._MessageBox..@@...@.........windows_exe.sys._MessageBox.
PYTHONSCRIPT....Retrieving module name..Could not locate script 
resource:...Could not load script resource:.Could not lock scrip

Uai, o que que um programa em Python, para Windows faz ali? Dando uma olhada no .INI:

[AutoRun]
open=RavMonE.exe e
shellexecute=RavMonE.exe e
shell\Auto\command=RavMonE.exe e
shell=Auto

Após uma pequena busca no Google, batata. Coisa boa não era, vi que era o vírus W32/RJump.worm (que inclusive é aquele que foi distribuído com alguns iPods), que provavelmente pulou para a minha pendrive quando fui na gráfica para imprimir as apostilas do curso de Ruby. Ainda bem que eu uso GNU/Linux e essas coisas nem fazem cócegas nos meus computadores. ;-) Agora é ligar para a gráfica e avisar que estão empesteados.

Tags:

Comentários

• Fernando Ike Quarta, 29 de Agosto de 2007, 08:40 h

  Tem pedaço de python aí nesse script. =/

• Well Sábado, 01 de Setembro de 2007, 08:44 h

  Na boa, que diabos estavam na cabeça dos engenheiros da MS incorporar um sistema de AutoRun para pen drivers???

• metal Domingo, 04 de Maio de 2008, 10:02 h

  bah...no meu foi bm complicado tirar...ele se instalo na pasta windows
  e nao dava pra exclui...dai fui obrigado a dar um ctrl+alt+del e finalizar uns 5 ravmone.exe em execução...a aventura do dia...tinha medo de o pc nao liga mais pq geralmente qdo eu mexo na pasta windows...eu tenho q formata o pc :/