Blog do TaQ

Pendrive <i>quase</i> gripada

Publicado em General

Vírus!

Hoje fui fazer uns backups aqui na minha pendrive, e notei uma coisa esquisita: um arquivo .EXE! Ué, mas que diabos, o que isso está fazendo aqui e ... um arquivo .INI! E uma .DLL! Já desconfiando o que poderia ser, resolvi dar uma olhada neles.

Abri o .EXE, chamado RavMonE.exe no Vim e converti o conteúdo em hexadecimal, e apareceram algumas strings como:

is|zi..._MessageBox..@@...@.........windows_exe.sys._MessageBox.
PYTHONSCRIPT....Retrieving module name..Could not locate script 
resource:...Could not load script resource:.Could not lock scrip

Uai, o que que um programa em Python, para Windows faz ali? Dando uma olhada no .INI:

[AutoRun]
open=RavMonE.exe e
shellexecute=RavMonE.exe e
shell\Auto\command=RavMonE.exe e
shell=Auto

Após uma pequena busca no Google, batata. Coisa boa não era, vi que era o vírus W32/RJump.worm (que inclusive é aquele que foi distribuído com alguns iPods), que provavelmente pulou para a minha pendrive quando fui na gráfica para imprimir as apostilas do curso de Ruby. Ainda bem que eu uso GNU/Linux e essas coisas nem fazem cócegas nos meus computadores. ;-) Agora é ligar para a gráfica e avisar que estão empesteados.


Tags:


Comentários

comments powered by Disqus

Twitter