quarta-feira, 27 de agosto de 2008

Vírus de pendrive não executa sem sua ajuda!

Nota: eu prefiro os termos "flashdrive" e UFD (USB Flash Drive), mas o termo "pendrive" está tão fortemente associado a essas coisas que eu vou me render a ele por ora.

Existe um mito na internet (tanto no Brasil quanto fora) de que o Windows tem uma séria falha que permite que pela simples inserção de um pendrive contaminado com vírus você seja infectado. Não consegui encontrar nenhuma prova de que essa falha existe, em nenhuma versão do Windows. Até onde sei, o vírus entra na máquina em quase 100% dos casos por causa de hábitos equivocados dos usuários.

A única coisa que ocorre automaticamente ao inserir um pendrive é a infecção dele, caso o PC já esteja infectado com um vírus.

Como eu expliquei desde 2000 no meu artigo sobre Autorun, o mecanismo de execução automática do Windows depende de um arquivo autorun.inf apropriado na mídia. Para CDs e DVDs o Windows executa as instruções de autorun.inf cegamente, mas embora o mecanismo também funcione em pendrives a MS sábiamente implantou restrições à sua execução em todas as versões do Windows que suportam pendrives (98, ME, 2000, XP e Vista).

No Windows XP, por exemplo, quando qualquer pendrive é inserido o Windows examina seu conteúdo e através de um algoritmo não documentado (mas que eu soube que é complicadíssimo) tenta determinar do que se trata. Baseado no resultado desse teste exibe um menu que chamamos de "menu autoplay".




Se o XP encontrar um arquivo autorun.inf no pendrive, lê seu conteúdo e inclui o programa que ele referencia como a primeira opção do menu autoplay.





Se o usuário tem o hábito de clicar em OK sem nem prestar atenção, é a vítima perfeita para criadores de malware.

Note como a opção de "Sempre executar a ação selecionada" fica desabilitada nesse caso. É o Windows protegendo você de fazer algo que seria potencialmente perigoso, ainda que fosse útil.

Os autores de vírus encontraram um jeito esperto de tapear o usuário e fazê-lo executar o vírus: usar o ícone e simular o texto de "abrir pasta..."




A versão em inglês acima (que tirei de um vírus real) pode até deixar alguém que não entende inglês desconfiado, mas se for traduzido:



Note o texto "Usando o programa...". Ele denuncia o vírus, mas mesmo um usuário experiente pode ser enganado por isso. Ao clicar OK você estará executando o vírus, que por sua vez abrirá a pasta. Só está realmente seguro contra esse tipo de artimanha quem analisa cuidadosamente a opção ou, melhor ainda, quem sempre clica em Cancelar.

Mas nem é essa a principal forma de infecção por pendrives. Os vírus conseguem entrar mesmo é por causa do mau hábito que os usuários tem de abrir drives clicando duas vezes na "lista" do Explorer.








O problema é que clicar duas vezes na lista invoca o autorun do drive, sem avisos ou questionamentos. Seja para CD/DVD, HDD, pendrives... tanto faz se for mídia fixa ou removível porque clicar duas vezes na lista vai invocar o autorun e isso não é uma falha de segurança. É uma funcionalidade do sistema que pode ser (e é) explorada por vírus. É uma funcionalidade porque se eu quiser executar o autorun de um disco eu clico duas vezes na lista. Se eu não quiser (e em quase 100% dos casos eu não quero), eu clico uma vez na árvore.

Mas o hábito de clicar duas vezes na lista é tão generalizado quanto a ignorância de que isso ativa o autorun na mídia, por isso quase todo usuário infectado diz que "não fez nada" e o vírus "tem que ter entrado sozinho"

Espertamente, o vírus após ser executado exibe os arquivos do pendrive, assim o usuário comum não nota que há algo errado, porque era isso que ele queria ver.

Em outro post falarei sobre como desativar o Autorun, para não precisar se preocupar com isso.

P.S.: Pode até existir um exploit real que permita a execução do vírus sem intervenção do usuário, mas eu não consegui encontrar a menor evidência disso. E qualquer busca que eu faça no Google sobre o assunto só mostra gente que, quando diz que o o problema existe, ou não parece realmente saber do que está falando ou claramente é do tipo que tem um orgasmo quando (pensa que) encontra um defeito no Windows. Todos os vírus que testei (voluntariamente ou não) dependem do duplo-clique para rodar ou da desatenção ao clicar no OK.

0 comentários: