Muitos usuarios enfrentam alguns problemas ao deparar-se com seu pendrive contaminado, e ao mesmo tempo improdutivo, quando não se consegue estabelecer uma conexão segura com o micro.
Pois bem, mesmo após aquela varredura de rotina com o seu antivirus, as vezes percebe-se que o malware ainda esta la, sendo acusado ou até mesmo o propio usuario notando algo de estranho ao acessar alguns documentos. Existem alguns comandos e procedimentos que na maioria das vezes eliminam a necessidade de formatação do pendrive, sem correr risco de perder arquivos pessoais, ou corrompe-los. Trata-se do uso de algumas permissões que estão contidas na estrutura dos malwares, e maioria partindo do conhecido“autorun.inf”. Essas permissões são geradas a partir de scripts automaticos de configuração, que deixa os arquivos sem permissão de leitura ou escrita, e até mais do que ocultos, os chamados “arquivos protegidos pelo sistema Operacional” .
Antes de tudo, devemos realizar um procedimento de acesso a politicas de grupo, esse processo evitará que o malware se dissemine pelo micro antes mesmo da tentativa de reparo. Simplesmente iremos desativar a inicialização automatica do pendrive (autoexecutar), isso evitará que o “Autorun.inf” entre em ação imediatamente apos o usuario espetar o pendrive, e assim, em algumas situações tambem poderá evitar que o virus se execute, ao menos que ele seja executado manualmente por algum usuario curioso:
OBS: Não espete o pendrive em seu pc antes de qualquer um destes procedimentos.
1º Passo: Va ate o menu iniciar – executar e digite: gpedit.msc. Isso fará com que abra a janela “Diretivas de Grupo” do Windows XP.
2º Passo: Dentro das “Diretivas de Grupo“, abra “Configuração do Computador“, “Modelos Administrativos“,“Sistema“. Dentro da pasta “Sistema” você deverá localizar o item “Desativar AutoExecutar” e clicar duas vezes sobre essa opção. Abrirá então a caixa “Propriedades de Desativar AutoExecutar” onde você deverá marcar a opção“Ativado“.Clique em OK para concluir a operação e feche todas as janelas abertas nesse procedimento.
3º Passo: Após marcar a opção “Ativado” nas “Propriedades de Desativar AutoExecutar” é necessário escolher a opção “Todas as unidades” na caixa “Desativar Executar automaticamente em” que aparecerá após selecionada a opção “Ativado“. É esse detalhe que garantirá que nenhuma unidade estará apta à inicialização automatica.
A partir dai podemos dar continuidade ao nosso processo de busca e apreensão dos elementos maliciosos. Agora que ja desativamos a inicialização automatica dos dispositivo, voce ja deve espetar o pendrive em seu PC. voce deve notar que aquela janelinha que sempre aparece de costume aonde contem opções automaticas sobre quais tarefas queremos realizar no pendrive, sumiu e é exatamente a inicializção automatica desativada.
1º Passo: Navegue até o menu iniciar – Executar e ditige: cmd. Ira abrir a janela de prompt de comando.
Ao abrir a janela do cmd o proximo passo será escolher a unidade onde encontra-se o seu pendrive. como? sempre que inserimos uma midia qualquer no nosso pc, o sistema operacional atribui uma letra de unidade referente aquela nova midia. Por exemplo: A unidade C: pertence ao disco Local, a unidade E: ao CD/DVD e por ai vai. A do pendrive varia muito, depedendo muito da disponibilidade e da configuração do seu sistema operacional.
2º Passo: digite o caminho onde encontra-se o seu pendrive. Ex: ” E: “
Agora digite o comando attrib. Este comando irá listar todos os seus arquivos e suas permissões contidos na pasta raiz do pendrive, ou seja, nao contará com as pastas, e é justamente ai onde moram os malwares. Ao digitar o comando Attrib, será listado na tela alguns arquivos comuns que estao contidos em seu pendrive, ou outros que voce nunca viu e com nomes muito estranhos. Mais como assim? Atraves do artrib, podemos enxergar arquivos que estão com tributos (permissões) de somente leitura , escrita ou visualização (arquivo oculto ou protegido por sistema). São justamente estes arquivos que estão camuflados, pois não conseguimos enxerga-los, lê-los ou muito menos modifica-los.
3º Passo: Iremos remover as permissões e attributos contidos nos arquivos infectados, para poder remove-los. Voce saberá quais são os arquivos infectados, atraves das letras “S”, “H”, e “R” são justamente essas permissões que estao contidas em arquivos maliciosos.
digite novamete attrib -S -H -R . voce esta removendo as permissões de todos os arquivos do pendrive. Apos o procedimento, é so deletar o malware indentificado com o comando:
del nomedoarquivo.extensão (EX: del Autorun.inf)
ou pode optar por excluir arquivos por extensão: del *.inf (irá aparar todos os arquivos .inf contidos ali no pendrive).
Como vimos no screen, encontrei 2 malwares infectados no meu pendrive. Eles continham as permissões e não eram arquivos que usualmente estavam armazenados no meu dispositivo.
DICA: Algumas vezes, arquivos comuns podem vim com alguma permissão de escrita ou leitura, e isso poderá confundir com virus. Para diferenciar, sempre se atente a extensão do arquivo e ao nome do mesmo. Extensões como *.bat, *.inf*, *.vbs, *.dll, *.xml, são os mais comuns e concerteza será um arquivo malicioso. 90% das vezes vc tambem encontrara o famoso Autorun.inf e também pode deleta-lo. Com o tempo e o aperfeiçoamento da tecnica, descobre-se realmente quais serão os arquivos maliciosos, e quais apaga-los. Isso depende do costume e da necessidade do conhecimento.
Nenhum comentário:
Postar um comentário