Pendrive <i>quase</i> gripada
Publicado em General

Hoje fui fazer uns backups aqui na minha pendrive, e notei uma coisa esquisita: um arquivo .EXE! Ué, mas que diabos, o que isso está fazendo aqui e ... um arquivo .INI! E uma .DLL! Já desconfiando o que poderia ser, resolvi dar uma olhada neles.
Abri o .EXE, chamado RavMonE.exe no Vim e converti o conteúdo em hexadecimal, e apareceram algumas strings como:
is|zi..._MessageBox..@@...@.........windows_exe.sys._MessageBox. PYTHONSCRIPT....Retrieving module name..Could not locate script resource:...Could not load script resource:.Could not lock scrip
Uai, o que que um programa em Python, para Windows faz ali? Dando uma olhada no .INI:
[AutoRun] open=RavMonE.exe e shellexecute=RavMonE.exe e shell\Auto\command=RavMonE.exe e shell=Auto
Após uma pequena busca no Google, batata. Coisa boa não era, vi que era o vírus W32/RJump.worm (que inclusive é aquele que foi distribuído com alguns iPods), que provavelmente pulou para a minha pendrive quando fui na gráfica para imprimir as apostilas do curso de Ruby. Ainda bem que eu uso GNU/Linux e essas coisas nem fazem cócegas nos meus computadores. ;-) Agora é ligar para a gráfica e avisar que estão empesteados.
Tags:
Comentários
Comentários fechados.
Tem pedaço de python aí nesse script. =/
Na boa, que diabos estavam na cabeça dos engenheiros da MS incorporar um sistema de AutoRun para pen drivers???
bah...no meu foi bm complicado tirar...ele se instalo na pasta windows
e nao dava pra exclui...dai fui obrigado a dar um ctrl+alt+del e finalizar uns 5 ravmone.exe em execução...a aventura do dia...tinha medo de o pc nao liga mais pq geralmente qdo eu mexo na pasta windows...eu tenho q formata o pc :/