Pendrive quase gripada
Publicado/atualizado em 28/08/2007 14:18
Hoje fui fazer uns backups aqui na minha pendrive, e notei uma coisa esquisita: um arquivo .EXE! Ué, mas que diabos, o que isso está fazendo aqui e ... um arquivo .INI! E uma .DLL! Já desconfiando o que poderia ser, resolvi dar uma olhada neles.
Abri o .EXE, chamado RavMonE.exe no Vim e converti o conteúdo em hexadecimal, e apareceram algumas strings como:
is|zi..._MessageBox..@@...@.........windows_exe.sys._MessageBox. PYTHONSCRIPT....Retrieving module name..Could not locate script resource:...Could not load script resource:.Could not lock scrip
Uai, o que que um programa em Python, para Windows faz ali? Dando uma olhada no .INI:
[AutoRun] open=RavMonE.exe e shellexecute=RavMonE.exe e shell\Auto\command=RavMonE.exe e shell=Auto
Após uma pequena busca no Google, batata. Coisa boa não era, vi que era o vírus W32/RJump.worm (que inclusive é aquele que foi distribuído com alguns iPods), que provavelmente pulou para a minha pendrive quando fui na gráfica para imprimir as apostilas do curso de Ruby. Ainda bem que eu uso GNU/Linux e essas coisas nem fazem cócegas nos meus computadores. ;-) Agora é ligar para a gráfica e avisar que estão empesteados.
Permalink: http://eustaquiorangel.com/posts/453
salvar no del.icio.ussalvar no diggsalvar no rec6 Veja o que estão dizendo sobre isso.Comente
Linhas em branco viram saltos de linha. Se você quiser mostrar algum código, por favor use o pastebin e informe a URL.
Comentários
Na boa, que diabos estavam na cabeça dos engenheiros da MS incorporar um sistema de AutoRun para pen drivers???
bah...no meu foi bm complicado tirar...ele se instalo na pasta windows
e nao dava pra exclui...dai fui obrigado a dar um ctrl+alt+del e finalizar uns 5 ravmone.exe em execução...a aventura do dia...tinha medo de o pc nao liga mais pq geralmente qdo eu mexo na pasta windows...eu tenho q formata o pc :/
