Windows Defender Offline

Em Junho de 2011 escrevi um artigo sobre Rootkits onde explicava o que são, que tipos de rootkits existem e porque é que este tipo de ameaças são tão difíceis de detetar e por consequência remover. Nesse mesmo artigo mencionei uma ferramenta que se encontrava em fase beta com o nome Microsoft System Sweeper que tinha como missão mitigar este problema. Em menos de 1 ano, a fase de testes terminou, e entre correções de problemas e melhorias introduzidas, a ferramenta mudou de nome e encontra-se agora disponível em 30 idiomas distintos, pronta para ser utilizada.

 

 

O que é o Windows Defender Offline (WDO)?

Por vezes, software malicioso e outro software potencialmente indesejável, incluindo rootkits, tentam instalar-se no teu computador. Isto pode acontecer quando te ligas à Internet ou quando instalas alguns programas a partir de um CD, DVD ou outro suporte de dados. Uma vez no teu computador, este software pode ser executado imediatamente ou de forma inesperada. O Windows Defender Offline ajuda-te a remover programas maliciosos e potencialmente indesejáveis difíceis de localizar através da utilização de definições que reconhecem as ameaças. As definições são ficheiros que fornecem uma enciclopédia de potenciais ameaças de software. Uma vez que todos os dias surgem novas ameaças é importante que tenha as definições mais recentes instaladas no Windows Defender Offline. Com estes ficheiros de definições, o Windows Defender Offline consegue detetar software malicioso e potencialmente indesejável e notificar-te dos riscos.

 

blog048

Imagem 1: Ecrã inicial de instalação do Windows Defender Offline em Português

 

 

Como utilizar o WDO?

Para utilizar o Windows Defender Offline, tem de seguir quatro passos básicos:

  1. Descarregar o Windows Defender Offline e criar um CD, DVD ou pen USB;
  2. Reiniciar o PC utilizando o suporte de dados do Windows Defender Offline;
  3. Verificar a existência de software malicioso e outro software potencialmente indesejável no PC;
  4. Remover qualquer software maligno detectado no PC.

O Windows Defender Offline tem um assistente que te vai ajudar a realizar estes quatro passos atrás enumerados. Se o Microsoft Security Essentials ou o Windows Defender solicitar que faça o download e execute o Windows Defender Offline, é importante que o faças de forma a garantir que os dados e o computador não fiquem comprometidos.

 

 

Quais são os requisitos para o WDO?

Material necessário:

É necessário um CD, DVD vazio ou uma pen USB com, pelo menos, 250 MB de espaço livre e, em seguida, descarregue e execute a ferramenta. A ferramenta irá ajudar-te a criar o suporte de dados amovível.

blog049

Imagem 2: Imagem do ecrã de seleção dos três tipos de suporte de dados suportados pelo Windows Defender Offline

 

Requisitos do computador:

Sistema operativo:

  • Windows XP SP 3
  • Windows Vista, Windows Vista com SP1, Windows Vista com SP2 ou superior
  • Windows 7, Windows 7 com SP1 ou superior
  • Windows 8 Developer Preview, Windows 8 Consumer Preview

Processador:

  • Windows XP: 512 MB ou mais de RAM
  • Windows Vista, Windows 7, Windows 8 Developer Preview, Windows 8 Consumer Preview: 1 GB ou mais de RAM
  • Resolução de vídeo: 800 X 600 ou superior
  • Espaço disponível no disco rígido: 500 MB

 

Para o PC infectado com um vírus ou software maligno

  • O PC tem de ter a mesma arquitetura (32 bits ou 64 bits) de sistema operativo (SO) Windows que o Windows Defender Offline. O suporte de dados de arranque criado em qualquer versão do Windows pode ser executado em qualquer outra versão do Windows. Apenas é necessário que exista correspondência entre a arquitetura do Windows Defender Offline e do SO do computador infectado.
  • O BitLocker tem de estar desativado para que possa utilizar o Windows Defender Offline.

 

Para o PC no qual pretende criar o suporte de dados de arranque

  • Conta de administrador;
  • Ligação à Internet;
  • Suporte de dados: Um CD, DVD ou pen USB com, pelo menos, 250 MB de espaço livre.

 

blog050

Imagem 3: Ecrã do Windows Defender Offline a preparar-se para descarregar o ISO

 

 

Como arrancar o computador a partir de um CD/DVD ou pen USB?

  1. Coloca o CD, DVD ou pen USB do Windows Defender Offline no computador;
  2. Reinicia o computador;
  3. Alguns computadores detetam automaticamente o suporte de dados amovível e apresentam logo a opção de efetuar o arranque a partir do CD, DVD ou pen USB.
    • Lê atentamente as instruções que te são apresentadas no ecrã para ativar esta opção. Nalguns casos, podes ter que premir uma tecla para iniciar a partir do CD, DVD ou pen USB ou pressionar um tecla específica, como F12.
    • Pressiona a tecla (normalmente, F12). É apresentada uma lista dos dispositivos disponíveis. Será apresentada uma entrada para cada disco rígido, uma para cada unidade de CD, DVD e uma para a pen USB.
    • Utiliza a tecla de seta para ir selecionar a unidade que tem o CD, DVD ou pen USB de arranque e carregar em [ENTER].
    • O computador irá iniciar a partir do CD, DVD ou pen USB do Windows Defender Offline.

Caso o computador não inicie automaticamente a partir do suporte de dados amovível com o WDO, experimenta efetuar o seguinte:

  • Durante o processo de arranque do computador, lê as instruções que te são apresentadas no ecrã e que explicam como interromper o arranque normal e aceder ao Utilitário de Configuração da BIOS. A maioria dos computadores utilizam a tecla F2, F10, ESC ou DEL para iniciar a aceder à BIOS;
  • Procura na BIOS um separador que tenha o nome "Sequência de Arranque", "Opções de Arranque" ou "Arranque". Segue as instruções apresentadas no ecrã e utiliza as teclas do cursor para ir para a Sequência de arranque;
  • Localiza o CD, DVD ou pen USB (que pode ter o nome Dispositivo Amovível) na lista de Arranque. Segue as instruções no ecrã, utiliza as teclas de seta para mover a unidade para cima de forma a que apareça em primeiro lugar na lista de Arranque;
  • Carrega em [ENTER] . A sequência de arranque é deste modo alterada para que o arranque seja efectuado a partir da unidade de CD, DVD ou pen USB;
  • Pressiona a tecla F10 para guardar as alterações e sair do Utilitário de Configuração da BIOS. Seleciona “Sim” na janela de confirmação para guardar as alterações.

 

 

Já utilizei o Windows Defender Offline anteriormente, posso reutilizar o CD ou DVD que criei?

Se tiveres criado um CD ou DVD, não deverás reutilizá-lo; o CD/DVD contém definições para ajudar a detectar software maligno. As definições são atualizadas frequentemente, pelo que os ficheiros de definições do CD ou DVD estarão desatualizados.

Se tiveres optado por criar uma pen USB, podes reutilizá-la. O Windows Defender Offline irá atualizar as definições quando voltares a executar o assistente.

 

 

Soluções para questões que podem ocorrer no uso do WDO:

No portal do Windows Defender Offline foram compiladas uma série de perguntas e respostas que podem ajudar o utilizador a ultrapassar possíveis problemas que vão desde o processo de criação do CD/DVD/Pen até ao arranque do computador por um destes dispositivos.

O endereço da página é o http://windows.microsoft.com/pt-PT/windows/windows-defender-offline-faq

 

 

Onde é que posso encontrar o WDO?

A versão 64 bit encontra-se disponível em http://go.microsoft.com/fwlink/?LinkID=234124

A versão 32 bit encontra-se disponível em http://go.microsoft.com/fwlink/?LinkID=234123

 

Recursos adicionais:

Artigo sobre Rootkits: https://ojmoura.wordpress.com/2011/06/13/rootkits/

Página oficial do Windows Defender Offline em Português: http://windows.microsoft.com/pt-PT/windows/what-is-windows-defender-offline

Anúncios

Rootkits

O termo rootkit é usado para descrever um mecanismo ou técnica usada por malware (vírus, spyware e troianos) para esconder a sua presença de bloqueadores de spyware, antivírus e até do próprio sistema operativo.

O termo rootkit deriva de dois termos técnicos: “root” e “kit”. A parte “root” está relacionado com o facto do nos sistema operativos *nix o utilizador “root” ter privilégios máximos e a parte “kit” porque o malware é criado através da montagem de múltiplas peças.

É possível classificar os rootkits tendo por base a forma de actuação e a capacidade de sobreviver (ou não) ao processo de arranque do computador.

 

Rootkit persistentes

Um rootkit persistente está associado a um malware que se activa cada vez que o sistema é iniciado. Normalmente para se conseguir iniciar automaticamente (sem intervenção do utilizador), o malware tem de armazenar de forma persistente o código que vai ser despoletado no processo de arranque do sistema operativo ou no processo de início de sessão. Tipicamente são usados simples ficheiros e/ou entradas no Registro.

 

Rootkits residentes em memória

São malwares que se alojam unicamente na memória RAM e como tal não conseguem sobreviver ao processo de arranque do computador, ou seja, não são persistentes.

 

Rootkits baseados no User-Mode

Na arquitectura Windows uma aplicação pode ser executada em dois contextos: o contexto do utilizador (user-mode), onde a aplicação tem acesso à camada superior dos dispositivos e herda as permissões do utilizador; e o contexto do núcleo (kernel-mode), tipicamente reservado a operações do sistema operativo.

Os rootkits que correm no contexto do utilizador recorrem frequentemente a uma técnica “clássica” para se passarem por despercebidos: interceptar as chamadas da API do Windows que enumeram os ficheiros e pastas existentes num determinado local (FindFisrtFile e FindNextFile) e alteram o resultado, excluindo-se dessa listagem. Apesar de simples, é brilhante pois este pequeno truque consegue de facto tornar o malware invisível ao utilizador final e às aplicações de antivírus.

 

Rootkits baseados no Kernel-Mode

Os rootkits desta espécie são ainda mais poderosos uma vez que conseguem interceptar todas as chamadas nativas à API do núcleo e conseguem acesso directo para manipular a estrutura de dados.

O método “clássico” usado por esta categoria de rootkits é remover o processo do malware da lista de processos. Uma vez que a gestão das APIs se baseiam na lista de processos, o malware fica invisível a ferramentas como o Gestor de Tarefas ou o Process Explorer… uma vez mais, simplesmente brilhante!

Uma vez infiltrado é impossível saber-se através do sistema operativo que o computador se encontra infectado.

 

Então como é que se detecta que um determinado computador se encontra infectado por um rootkit?

A Microsoft disponibiliza duas ferramentas, gratuitas, que têm a capacidade de efectuar a detecção deste tipo de malware: Rootkit Revealer e Microsoft Standalone System Sweeper .

O Rootkit Revealer é um utilitário que neste momento se encontra na versão 1.71 e funciona correctamente em sistema operativos 32 bit até à versão Windows XP.

O Microsoft Standalone System Sweeper encontra-se neste momento em versão Beta e funciona em sistema operativos 32 e 64 bit até à versão Windows 7/ Windows 2008 R2. Ao contrário do Rootkit Revealer que é possível executar de imediato na máquina suspeita, o Microsoft Standalone System Sweeper requer que o arranque da máquina seja efectuada através de uma versão reduzida e disponibilizada para este efeito do Windows. As opções de arranque são um CD/DVD ou um drive USB.

blog027

 

 

Recursos adicionais:

Hiperligação para descarregar o Rootkit Revealer:

http://technet.microsoft.com/pt-pt/sysinternals/bb897445

Hiperligação para descarregar o Microsoft Standalone System Sweeper:

https://connect.microsoft.com/systemsweeper

Hiperligação para descarregar o Process Explorer:

http://technet.microsoft.com/en-us/sysinternals/bb896653

Breve análise de um malware

Estava à procura de um conversor gratuito de formatos de vídeo quando encontrei num fórum Português uma referência à aplicação MediaCoder.

Tal como faço com todo o software que não conheço, decidi descarregar e experimentar o mesmo num ambiente isolado, isto é, num ambiente em que caso me arrependesse de ter descarregado e instalado a aplicação, a mesma não iria por em risco os restantes dados. Para o efeito de isolamento recorri a uma máquina virtual com Windows XP SP3 no idioma Inglês.

Durante o processo de descarregamento surgiu a seguinte janela:

MediaCoderSpyware01

Texto completo:

blog024

Análise do URL
HCP é o protocolo usado pelo sistema de ajuda e suporte do Windows XP;
Está a ser efectuada uma pesquisa pelo termo "anything" na categoria "Informação de ‘O meu computador" (sysinfomain.htm);
Ao endereço "normal" foram adicionados 285 caracteres ("%A%%A%%…) que vão provocar a reescrita do endereço de retorno que vai permitir a execução de código;
O código vai ser executado recorrendo ao motor de scripting do navegador com a etiqueta "DEFER". Esta etiqueta ordena ao navegador que o mesmo não espere que o script termine o carregamento e que dê continuidade ao processamento da página;
O código que vai ser executado está escrito em ASCII;

Convertendo ASCII em texto simples, obtemos o seguinte:

blog026

O código é executado através da linha de comandos (cmd) com o argumento “/C” que indica que no final da execução o processo deve ser terminado;
No processo de execução do comando é descarregado através do protocolo HTTP o ficheiro "l.vbs" que se encontra em "http://modirdred.cx.cc/l.php?a=QQkFBwQGDQMGBwYAEkcJBQcEAQECDQAGAQ==" para a pasta temporária do Windows (%TEMP%), é executado o ficheiro "l.vbs" e é terminado abruptamente o processo “helpctr.exe” que corresponde à janela de ajuda e suporte do Windows XP. O objectivo de terminar abruptamente o processo é para substituir a janela de ajuda do Windows por uma outra idêntica que vai induzir o utilizador final a executar comandos.

 

 

Análise do ficheiro "l.vbs"
O ficheiro contem o seguinte:

blog025

Na análise do URL vimos que o autor recorreu ao ASCII para disfarçar o código e agora no VB script o autor recorre à escrita reversa, ou seja, os comandos "principais" estão escritos de trás para a frente, por exemplo, "tcejbOmetsySeliF.gnitpircS" é a mesma coisa que "Scripting.FileSystemObject";
É efectuada uma chamada ao endereço "http://modirdred.cx.cc/out.php?a=&p=3" e se o mesmo devolver um "OK" (código de resposta HTTP 200) é descarregado e executado da pasta temporária do Windows o ficheiro "exe.exe" que contem aquilo que o autor deste malware quiser; Se a resposta do endereço for diferente de 200, é terminado abruptamente o processo Windows Media Player (“wmplayer.exe”) e o ficheiro “exe.exe” é eliminado.

 

Este malware recorre a duas falhas conhecidas:

Help Center URL Validation Vulnerability CVE-2010-1885 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885)

Windows Media Format ASX Parsing Vulneability CVE-2006-69134 (http://www.microsoft.com/technet/security/bulletin/ms06-078.mspx)

 

 

Como evitar/eliminar este malware:

1 – A máquina virtual não ficou infectada pois a mesma encontrava-se atualizada, por isso, uma das medidas preventivas é manter atualizado o sistema operativo e aplicações instaladas.

2 – Neste caso bastava no Internet Explorer clicar em “Negar” a execução daquele URL estranho para a ameaça não ser executada…

3 – Não instalar todo o software que lhe aparece pela frente. Se o tiveres que o fazer, perde mais uns minutos e executa-o num ambiente isolado.

4 – Lista de antivírus que detectam e eliminam a ameaça:

Microsoft Security Essentials

Microsoft Safety Scanner

Kasperky

Trend Micro

Norton

CA eTrust

5– Uma vez que o malware pode descarregar e executar o código que bem lhe apetecer, não vou recomendar aqui num método para eliminar o vírus “manualmente” pois os passos de remoção podem mudar a qualquer momento. O ideal neste caso é efetuar uma análise exaustiva a todos os ficheiros através de um antivírus.

 

 

Mais informações sobre esta ameaça:

No portal da Microsoft: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=TrojanDownloader%3aVBS%2fSmall.AW

http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-help-vulnerability-disclosure.aspx

No portal da Kaspersky:

http://www.securelist.com/en/find?words=Trojan-Downloader.VBS.Small.iz