Tutorial para Detecção, Eliminação e Proteção contra Malwares!
03-03-2011 12:14
Muitos usuários de Windows estão com seus computadores infectados por malwares (worms, adwares, spywares, trojans ...) e só sabem disso quando o sistema operacional começa a se comportar de maneira estranha. Os sintomas disso incluem:
- janelas do Internet Explorer abrindo sozinhas
- sites desconhecidos aparecem quando se quer fazer uma busca
- o Internet Explorer tem uma nova página inicial sem que você tivesse configurado-o para isso
- programas anti-spywares deixam de funcionar (ao serem abertos, fecham-se automaticamente)
- o acesso à Internet torna-se lento sem motivo
- o Windows está mais lento do que de costume
- há um tráfego adicional na sua rede sem motivo
Ao acontecer isso, é normal o usuário xingar o Windows e a Microsoft e "rebootar o micro para ver se melhora" - e continuar irritado ao ver que não há melhora alguma depois de (inutilmente) reinicializar o computador.
Os malwares vêm embutidos em diversos de programas gratuitos na web que "seduzem" o usuários para instalá-los, infectando o computador dele sem que ele perceba.
Alguns dos conhecidos programas que fazem isso são o KaZaA, Gator, GAIN, PrecisionTime, DashBar, Date Manager, WeatherScope, WeatherCast, ClockSync, BonziBuddy, IEHelper, SnagIt, MySearch, Comet Cursor entre muitos outros.
Você pode obter uma lista com programas que contém malwares em diversos sites como este e este ...
Mas o que é malware ? Malware reúne toda gama de programas que realizam tarefas nocivas sem que o usuário saiba e os 7 tipos mais conhecidos são:
Spywares, que monitoram o uso do computador, podendo roubar informações como a sua lista de endereços de e-mail, por exemplo, enviando-a para spammers
Adwares, que podem mostrar banners aleatoriamente e monitorar o seu uso da Internet, podendo roubar informações relativas à navegação (sites visitados)
Trojans, programa que ao se instalado no seu computador, abre um canal de comunicação externo para que hackers possam acessar o seu computador sem o seu conhecimento
Hijackers, programas que alteram o comportamento do seu browser, fazendo com que ele acesse páginas e sites específios sem que você tenha configurado-o para isso.
Worms, programas que têm como finalidade se propagar e infectar o maior número de computadores, fazendo com que eles automaticamente enviem milhares de e-mail, ataquem sites ou realizem tarefas específicas
Virus, programas que têm como finalidade destrutiva, infectando arquivos, partições, setores de boot ...
Keyloggers, programa que armazena tudo o que você digita no seu teclado e envia o arquivo para hackes analisarem, podendo com isso roubar senhas, logins, número de cartão de crédito
A solução definitiva para a eliminação dos malwares é um conjunto de três tarefas:
1. Desinstalação dos programas que contém malwares (quando isso é possível, pois muitos destes programas não têm desinstaladores)
2. Utilização de programas específicos para a detecção e eliminação dos malwares
3. Modificação do Windows para minimizar a reinstalação dos mesmos
Como estas tarefa não são simples de serem feitas, eu criei este guia que mostra como fazer isso de maneira simples e direta, além de ajudá-lo a evitar que novos malwares se instalem em seu computador.
Este guia também ajudará você a descobrir se o seu micro está infectado com worms (que enviam milhares de mensagens de e-mail sem que você saiba), algo que pode passar despercebido pelo usuário, pois como não há sinal algum visível de problema no Windows, ele pode concluir erroneamente que o micro dele não está infectado.
Para manter você atualizado em relação aos malwares, informando novidades sobre eles e como removê-los, criamos uma área no Fórum do BABOO aonde você pode postar dúvidas e problemas que você está tendo com malwares para que a comunidade do Fórum ajude-o, bem como um tópico específico sobre este guia, aonde você pode obter informações adicionais acompanhar todas as novidades.
É importante que você perca alguma horas seguindo cada passo deste Guia pois isso poderá economizar muita dor-de-cabeça e perda de tempo caso o seu computador esteja infectado e você ainda não tenha eliminado os malwares deles. Arme-se de paciência e bom-humor pois no final terá valido a pena !
Este guia sugere o uso de diversos programas gratuitos que podem ser obtidos no site do desenvolvedor dos mesmos. Para facilitar o seu trabalho, disponibilizamos dois links no BABOO contendo arquivos com estes programas:
Indicado para quem já tem um firewall instalado ou para quem usa Windows XP
Embora no decorrer deste guia você saberá em detalhes como identificar e eliminar malwares, uma das maneiras mais rápidas de se fazer isso é visualizar os programas que são executados quando o Windows é carregado pois desta maneira pode-se saber quais programas desconhecidos estão listados ali - e que usualmente são malwares.
Para fazer isso, faça o download do pequeno arquivo Autoruns 5.0: ele é gratuito, tem apenas 140 Kb e não necessita de instalação. Ao ser executado, abre-se uma janela listando os arquivos que são carregados juntamente com o Windows, durante a inicialização deste.
(outra maneira de ver os arquivos carregados na inicialização do Windows é utilizar o utilitário MSCONFIG que vem no Windows, embora ele seja mais restrito e menos detalhado do que o Autoruns)
Para saber se o seu computador tem algum malware, execute o Autoruns e observe a lista de programas existentes logo abaixo das linhas
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e HKCU\Software\Microsoft\Windows\CurrentVersion\Run:
Verifique se há algum arquivo suspeito sendo carregado, seguindo estas três dicas:
1. Arquivos localizados na pasta Temp ou Temporary Internet Files (veja a localização dos arquivos na coluna Image Path)
2. Arquivos com colchetes: amovoce[1].exe, por exemplo
3. Arquivos com extensão .dll
Se houverem arquivos com as características acima, é recomendável você clicar no quadrado à esquerda dele para desabilitá-lo e reiniciar o Windows após isso.
Exemplos de arquivos listados na coluna Image Path que indicam ser malwares:
c:\windows\hello.exe
c:\windows\temp\mysearch.exe
c:\Documents and Settings\Joao\Local Settings\Temporary Internet Files\hi.exe
c:\windows\temp\drv32.exe
c:\windows\avserve2.ex
Verifique o arquivo HOSTS
O Windows mantém um arquivo chamado HOSTS que contém uma lista de IPs e nomes de domínios que visa agilizar ou redirecionar o acesso a alguns sites.
Alguns malwares modificam o arquivo HOSTS para que o computador não consiga acessar sites de atualização de antivirus, Windows Updates e outros - portanto o primeiro passo é verificarmos se o seu arquivo HOSTS está íntegro.
No Windows XP, o arquivo HOSTS (que não tem extensão) encontra-se em \Windows\System32\Drivers\ETC e no Windows 9x/Me ele está em \Windows.
Vá até a pasta aonde o arquivo HOSTS está localizado, clique nele com o botão da direita do mouse e escolha a opção Abrir.
Por ser um arquivo texto, o Windows poderá abri-lo com o Bloco de Notas.
O arquivo HOSTS contém algumas linhas que começam com o caractere # e uma ou mais linhas com números e palavras.
Para certificar que o seu arquivo HOSTS está íntegro, usualmente ele deve conter apenas uma linha:
Se houver mais linhas ali (que não têm o símbolo # como primeiro caractere), é recomendável que você apague todas elas.
Linhas como as listadas abaixo mostram claramente que o seu arquivo HOSTS está danificado por algum malware (pois os sites listados ali não poderão ser acessados) e por isso essas linhas devem ser imediatamente apagadas:
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
Após apagar todas as linhas adicionais, salve o seu arquivo HOSTS.
Habilite seu firewall
Tenha certeza que o Internet Connection Firewall (do Windows XP com SP1 ou sem nenhum Service Pack instalado), o Windows Firewall (do Windows XP SP2) ou qualquer firewall que você utilize, está ativado e funcionando corretamente.
Para saber se o seu firewall está funcionando, siga estes passos simples:
1. Acesse o site do Gibson Research (GRC)
2. Clique em Shields UP!
3. Clique no botão Proceed
4. Clique na opção Common Ports
5. Após alguns segundos, aparecerá o resultado
O ideal é que as principais portas TCP/IP do seu computador estejam fechadas (Closed) ou escondidas (Stealth), como mostrado na imagem abaixo.
Se o resultado do seu computador mostrar que as portas 135, 139 e 445 estão abertas, é possível que o seu computador esteja infectado com algum malware.
Se o computador que você fizer o teste não está fisicamente conectado à Internet, ou seja, há outro computador que está disponibilizando a conexão da web para você, o teste de segurança será realizado naquele computador - e não no seu. Isso não muda em nada a validade do teste do GRC pois o importante é que o computador que está fisicamente conectado à Internet esteja protegido, pois é por ali que hackers tentarão invadir o computador ou a rede local.
O firewall impede que hackers invadam o seu computador e também impede que alguns bugs do Windows XP possam ser explorados remotamente (como a vulnerabilidade que informava que o Windows seria desligado em um minuto). Para hablitar o firewall no Windows XP, faça o seguinte:
No Windows XP com SP1 ou não: vá em Iniciar > Painel de Controle > Conexões da Internet > dê um duplo-clique na sua conexão > Propriedades > Avançado > clique na opção de Firewall de conexão com a Internet ("Proteger o computador e a rede limitando ...") e clique em OK
No Windows XP com SP2: vá em Iniciar > Painel de Controle > Firewall do Windows > certifique que a opção Ativado está habilitada
Se você não utiliza o Windows XP, você deve utilizar um firewall de terceiros, como por exemplo o ZoneAlarm, que é um firewall gratuito muito eficiente.
Outra ótima opção de firewall é o Norton Personal Firewall (ou o Norton Internet Security, pacote que inclui o Norton Antivirus) da Symantec.
Atualize o seu antivirus
Além de confirmar se o seu antivirus está atualizado (faça isso atualizando-o via web ou verificando no site da empresa que o desenvolveu), você deve fazer uma verificação completa dos seus discos rígidos.
O Service Pack 2 do Windows XP inclui a Central de Segurança, que informa se o seu antivirus está atualizado ou não.
"É muito importante você fazer a verificação completa dos seus discos rígidos
(mesmo que isso demore algumas horas) antes da próxima etapa pois de nada
adianta atualizar o seu Windows se ele estiver infectado sem que você saiba!"
Execute o scan online da Panda Software
Embora o antivirus da Panda Software não esteja entre os mais utilizados, a verificação online via web da empresa mostra ser surpreendentemente eficiente contra diversos tipos de vírus e worms.
Para acessar o Panda ActiveScan, clique no link abaixo:
Ao clicar no botão “Analisar agora”, você será redirecionado para outra página aonde você deve clicar no botão Next.
Depois disso a página enviará um arquivo que deve ser executado para que a análise online possa ser realizada.
Você poderá escolher o que será analisado e sugiro que você escolha “Completa” para que todos os drives do seu computador sejam analisados.
A análise demora alguns minutos e no final os arquivos infectados são eliminados.
Instale e execute o Ad-Aware SE (programa gratuito)
O Ad-Aware é um programa gratuito e muito eficiente para a eliminação de adwares (programas que mostram banners de anunciantes). Ele pode ser obtido neste link abaixo:
A instalação do Ad-Aware é bastante elementar e não há opção para configurações específicas na instalação. Após a instalação do produto, aparecerá na última tela três opções: Perform a full system scan now, Update definition file now e Open the help file now. Clique apenas na segunda opção (Update definition file now) e clique no botão Finish.
O programa será carregado e você deve clicar na opção Check for updates now e depois no botão Connect. Ao aparecer a mensagem indicando que há updates disponíveis para download (como mostrado na imagem abaixo), clique no botão OK para instalá-los. Quando finalizar a instalação, clique no botão Finish.
Agora que o Ad-aware está atualizado, você deve utilizá-lo para fazer uma varredura no seu computador. Para isso, clique no botão Status (o botão superior à esquerda) e em seguida no botão Start. Selecione a opção Perform full system scan (segunda opção) e clique em Next. Aguarde a finalização da varredura.
Ao finalizar a verificação, clique no botão Next e você verá a lista de arquivos encontrados. Para obter informações sobre cada um dos arquivos encontrados, basta dar um duplo-clique no nome e você terá uma descrição completa do mesmo.
Para eliminar todos os arquivos (o que é altamente recomendável), clique com o botão da direita do mouse em qualquer lugar da janela > escolha a opção Select all objects (imagem abaixo) e clique no botão Next. Clique em OK para eliminar os arquivos encontrados.
É importante que você saiba que alguns programas que utilizam adwares não funcionam mais caso ele seja eliminado (como o KaZaA) e que muitos dos arquivos mostrados pelo Ad-Aware são cookies (que são listados com a palavra "Tracking" na coluna Vendor), que são arquivos comumente utilizados por alguns sites para controle de acesso e que são automaticamente recriados quando você acessa novamente o site.
O mais importante no Ad-Aware é que ele localiza e elimina adwares perigosos, contidos em arquivos e linhas no Registro do Windows, pois comparados com os malwares existentes, os cookies não representam perigo de segurança para o internauta (embora algumas empresas de marketing utilizem-nos para rastrear os sites navegados pelo internauta).
Após realizar essa varredura com a opção Perform full system scan, você pode utilizar a opção recomendada (Perform smart system scan) nas próximas vezes .
Instale e rode o Spybot (programa gratuito)
O Spybot é provavelmente o melhor programa para eliminar spywares. Ao instalá-lo, tenha certeza de habilitar a opção para instalar o SDHelper e principalmente o TeaTimer, um pequeno aplicativo que monitora o Registro, evitando que spywares façam modificações ali sem que o usuário saiba.
Quando o TeaTimer está rodando, é comum aparecer algumas mensagens dele quando é realizada atualização do Windows (item 6 acima) pois estas usualmente fazem modificações no Registro do Windows: isso é normal e você deve aceitar as modificações.
Após finalizar a instalação do Spybot e executá-lo, o programa sugere realizar três importantes tarefas que ajudam na proteção do seu computador e é ALTAMENTE recomendável que você aceite-as. São elas:
1. Create Registry Backup, que fará um backup do Registro do Windows. Ao clicar no botão Create registry backup, a opção Next (na parte inferior da janela, ao lado da seta verde) ficará cinza até a finalização do backup (que pode demorar alguns minutos)
2. Search for Updates e Download all available updates, que procurará atualizações para o programa e as instalará, caso existam.
Essa etapa é importantíssima pois permite que o Spybot atualize-se, permitindo a identificação e remoção de novos malwares que possam estar instalados no seu computador.
Após a finalização do processo (quando a janela Update progress desaparecer e a lista de atualizações tiver o símbolo ), clique em Next.
3. Immunize this system, que imunizará o computador contra diversos malwares, evitando que eles sejam instalados no computador. Ao clicar em Next, aparecerá na janela o número de programas ruins (malwares) bloqueados que não poderão ser instalados. Clique então em Next e no botão inferior Start using the program.
Rodando o Spybot
Agora que o programa está instalado e atualizado, você deve executá-lo para que ele detecte spywares instalados no seu computador. Para isso, clique na opção Search & Destroy (primeiro ícone superior na janela à esquerda) e em seguida em Check for problems.
Após alguns minutos (sendo que às vezes o programa parece estar travado, mas não está), o programa mostrará uma lista de arquivos que envolvem malwares e também cookies de empresas de banners (que podem fazer com que essas empresas monitorem a sua navegação nos sites gerenciados por elas).
Um detalhe interessante é o DSO Exploit, usualmente detectado pelo Spybot, mas que na realidade são chaves do registro relativas a Zonas do Internet Explorer e que não oferecem perigo algum.
Para eliminar todos os arquivos encontrados, clique na opção Fix selected problems e os arquivos serão apagados após você confirmar que deseja removê-los. Se você utiliza o Windows XP, é criado um Ponto de Restauração por questão de segurança.
Quando o Spybot não consegue eliminar o arquivo (pois ele está ativo na memória, por exemplo), ele informa-o disso e pergunta se você deseja que esses arquivos sejam eliminados na próxima vez que o computador for ligado. É importante que você aceite isso e reinicie o computador o mais breve possível, pois dessa maneira o Spybot será executado no início do Windows e os arquivos poderão ser (enfim) eliminados.
Opção Immunize
Um detalhe muito útil para fazer depois do Spybot confirmar que você não tem nenhum arquivo suspeito no seu micro é clicar a opção Immunize para ter certeza que o seu computador ficará imune a alguns malwares.
Tenha certeza que a segunda opção do Imunnize ("Enable permanent blocking of bad addresses in Internet Explorer") esteja clicado e a opção "Block all pages silently" selecionada. Para ter certeza que o seu sistema está razoavelmente imune, clique no botão superior Immunize.
TeaTimer
Usuários mais atentos devem ter notado um novo ícone no tray (ao lado do relógio): é o TeaTimer, um aplicativo que monitora algumas chaves do Registro do Windows, avisando o usuário sempre que algum programa tentar modificá-las.
O TeaTimer é muito útil pois permite manter o computador mais seguro, informando quando algum programa tenta modificar o Registro - mesmo programas conhecidos e importantes, como durante a Atualização Automática do Windows, atualizações do antivirus, ou quando o usuário instalar algum programa novo.
Antes de instalar um Service Pack, é recomendável que você desabilite o TeaTimer
Quando algum programa tentar alterar o Registro do Windows ou o Internet Explorer (ao instalar a barra da MSN ou do Google, por exemplo), o TeaTimer permite que você permita que a mudança seja feita (Allow change) ou que ela seja recusada (Deny change). Além disso há a opção Remember this decision que permite que o TeaTimer relembre a opção que você definiu e aplique-a novamente, evitando que a janela apareça a todo instante.
O Spybot é um programa bastante poderoso, permitindo a verificação de mais opções além de spywares. Além do programa poder ser configurado para idioma português brasileiro (menu Language > Brasil), você pode habilitar a opção Avançada (menu Mode > Advanced Mode), o que trará muitas outras opções. Exemplo: clique na barra Tools (Ferramentas) e você poderá alterar a configuração de BHOs, ActiveX, arquivo HOSTS, entre outras opções.
Embora estas três dicas sejam suficientes para manter o seu computadora seguro, os malwares estão ficando cada vez mais sofisticados e criativos, exigindo um cuidado maior para evitar que eles infectem o seu computador:
1. Usar um firewall
2. Manter o Windows atualizado
3. Manter o antivirus atualizado
Eu espero que este tutorial ajude o internautas a se proteger contra qualquer tipo de malwares, aumentando (e muito !) a segurança do seu computador contra estas pragas.
Este tutorial te ajudou ? Quero saber! Deixem suas críticas ou elogios no livro de visitas. As suas dúvidas sobre o conteúdo deste tutorial poderão ser postadas aqui.
