gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Spirale Windowszeira
Contribuído por Xmal em 11-01-01 17:37
do departamento pica-miolos
perguntas Ontem fui atacado por um vírus/trojan de Windows que me colocava uma espiral no centro do ecrãn. Hoje, com um pouco de hacking, consegui dar-lhe uma machada, mas o que me intriga é não conseguir encontrar informação sobre ele na rede. Quem não tiver mais nada que fazer pode continuar a ler a minha experiência.
Confesso que mantenho um windows em casa (num dual boot) para jogar jogos e navegar na web. Como não sou o único que usa a máquina torna-se um pouco difícil impôr uma erradicação, mas um dia destes quando o próximo virús me fizer perder a cabeça ...

Ontem, provavelmente ao usar um Netscape 6, surge-me a malfadada espiral a impedir o uso da parte central do ecrãn. Como no Windows sou particularmente inepto vi logo que tinha festa para umas horas. As primeiras tentativas, Ctr+Alt+Del + EndTask, falharam óbvia e redundamente.

Passei a procurar penosamente os últimos ficheiros modificados e lá me apercebi que (entre outros) o win.ini tinha sido modificado. Infelizmente não sei de cabeça qual a configuração sã do dito ficheiro. Passado um pouco lá consegui ver que a dita espiral dava pelo nome de "Spirale", uma vez que após matar alguns processos ela dignava-se a anunciar o nome na barra de baixo. Ok, vi que as coisas talvez não estivessem afinal muito más pois o nome poderia estar em claro no ficheiro correspondente. Nesse momento parei pois tinha trabalho sério a fazer e não podia perder mais tempo com o assunto.

Hoje retomei a linha e fiz um find do conteúdo "Spirale" tendo encontrado um NomeNome.exe. Ou seja, um ficheiro cujo nome varia (quando se re-instala) mas que repete sempre as 4 letras iniciais. Visto isto, toca a tentar apagar, mas o menino tinha instrumentado o sistema para impedir esse tipo de acção. Felizmente tinha o linux no dual boot e foi limpinho tirar uma cópia do executável e apagar no filesystem windows a partir de um mount linux. Já agora o ficheiro está no \windows\system.

Neste momento sei que ainda estou infectado pois ao correr de novo o Netscape 6 o ficheiro foi re-instalado. O que me intriga é que não consigo encontrar nenhuma infirmação na rede sobre o "Spirale".

Se isto for uma coisa nova e alguem padecer do mesmo mal então espero que a minha modesta investigação possa ser útil. Se é coisa conhecida agradeço que me mandem um apontador sobre o tema.

Richard Stallman foi nomeado CEO da Free Developer | Votação electrónica  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Netscape
  • Mais acerca perguntas
  • Também por Xmal
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Google (Pontos:1)
    por Storm em 11-01-01 18:20 GMT (#1)
    (Utilizador Info)
    Uma simples procura no google (ou no konqueror "gg:spirale virus" :) :

    http://www.canada-av.com/sensible/home.nsf/adaa5c5ed383cbbd85256894005ff0dc/306dd635495679 3985256996007e7776?OpenDocument

    O que tu tens e o W32/Hybris.gen@M. Uma worm. Vem por email. Eu por sinal ja recebi varios desses emails, mas como nao tenho windoze por aki (excepto na vmware - e nao vejo mail ai), nunca fui infectado.

    Esta no site como remover a worm.
    Re:Google (Pontos:2)
    por Xmal em 12-01-01 0:28 GMT (#9)
    (Utilizador Info) http://gsd.di.uminho.pt/cbm
    De facto já tinha passado por essa página, mas nem sem bem porquê não fiquei logo convencido de que era esse. Thanks pela referência.
    Branca de neve pornô (Pontos:1)
    por MacLeod em 11-01-01 18:39 GMT (#2)
    (Utilizador Info)
    Esse é o virus que vem com este tão sugestivo subject. O sender é hahaha@sexyfun.net. Isso anda aí a infestar montes de emails (eu já recebi essa mensagem 2 vezes no mail em cada conta de mail). O que está na tal página que o Storm disse, é a versão inglesa do tal virus. O que tem andado por aí é uma versão brasileira.

    Mas a "industria" de virus tem andado a melhorar os seus dotes literários... antes apenas dizia que eram umas loveletters, agora já é quase um conto. *g* O que será que o futuro nos reserva?

    Re:Branca de neve pornô (Pontos:2)
    por chbm em 11-01-01 19:04 GMT (#3)
    (Utilizador Info) http://chbm.nu/
    >O que será que o futuro nos reserva?

    As estórias secretas do big breda.
    Re:Branca de neve pornô (Pontos:2)
    por buffer em 11-01-01 20:09 GMT (#4)
    (Utilizador Info) http://www.coders-pt.org
    Não Não.. isso só tens acesso se comprares o DVD ..

    -- what was my problem with man You ask? No.. I ask you what was man's problem with me..
    spirale bad!! $$ good!! (Pontos:0)
    por Anonimo Cobarde em 11-01-01 21:33 GMT (#5)
    depois passado umas horas correstes pa editora de livros mais proxima e tentastes vender a copia do livro "como eu removi um virus sem anti virus do meu pc em windows" *g*
    -lucipher
    Re:spirale bad!! $$ good!! (Pontos:2)
    por Xmal em 12-01-01 0:26 GMT (#8)
    (Utilizador Info) http://gsd.di.uminho.pt/cbm
    Então, vá lá, uma histórinha para adormecer não faz mal a ninguem ... Eu até pus um disclamer no resumo.
    Re:spirale bad!! $$ good!! (Pontos:0)
    por Anonimo Cobarde em 12-01-01 13:29 GMT (#11)
    Então, a isso podes lhe chamar o prefácio :-)
    A melhor maneira (Pontos:1)
    por MavicX em 11-01-01 22:11 GMT (#6)
    (Utilizador Info)
    Há uma maneira mais simples de remover virus em Windows é só fazer deltree \windows ou melhor ainda format c: tá resolvido.
    Re:A melhor maneira (Pontos:1)
    por monge em 11-01-01 23:33 GMT (#7)
    (Utilizador Info) http://go.to/monk
    Olha! Essa maneira e' muito boa, porque para alem de apagares o tal worm spirale, apagas tambem esse o grande virus "windos"! =)
    It doesn't matter who made it... It matters who got the idea (monk)
    Re:A melhor maneira (Pontos:1)
    por Lamego em 12-01-01 12:12 GMT (#10)
    (Utilizador Info)
    Muita piada mas pouco conhecimento, se o virús se alojar no MBR, nao vai ser nem o deltree nem o format que o vai apagar, talvez um lilo ou um fdisk /MBR :)
    Re:A melhor maneira (Pontos:1)
    por MavicX em 12-01-01 14:18 GMT (#12)
    (Utilizador Info)
    e que tal

    grub
    grub> root (hd0,0) #ou se não tiveres a certeza mete um grub> find /boot/grub/stage1#
    grub> setup (hd0)

    muito melhor que lilo :-)


    Re:A melhor maneira (Pontos:0)
    por Anonimo Cobarde em 12-01-01 18:36 GMT (#14)
    ou talvez dd if=0 of=/dev/hda
    Re:A melhor maneira (Pontos:0)
    por Anonimo Cobarde em 12-01-01 20:26 GMT (#15)
    dd if=/dev/null of=/dev/hda[x]
    Re:A melhor maneira (Pontos:0)
    por Anonimo Cobarde em 13-01-01 10:17 GMT (#19)
    ou mesmo dd if=/dev/random of=/dev/hda
    Re:A melhor maneira (Pontos:1)
    por ruibarreiros em 14-01-01 6:05 GMT (#20)
    (Utilizador Info)
    atirar o disco abaixo de 5 andares ?
    Re:A melhor maneira (Pontos:0)
    por Anonimo Cobarde em 12-01-01 18:35 GMT (#13)
    Eu apanhei um virus na MBR e só mesmo assim é que consegui eliminar a praga sem danificar os dados informáticos: fdisk/MBR ...simples não é :)
    Windows? (Pontos:0)
    por Anonimo Cobarde em 12-01-01 20:28 GMT (#16)
    Eu não uso Windows, nem o Outlook para ver mail. Nunca tive problemas com o meu mutt. Sempre que vejo um mail destes, basta um delete e já estou a pensar em fazer um filtro no maildrop que mande este lixo para /dev/null. Não sei qual é a piada de andar a discutir esta treta dos Virus. Get a life.
    espiral de solidariedade (Pontos:2)
    por Sub em 12-01-01 20:50 GMT (#17)
    (Utilizador Info)
    também eu tenho um windows em casa para uso geral do agregado familiar. e é muito habitual chegar a casa às tantas da manhã e deparar com post-its no espelho da casa de banho a dizer "o computador deixou de fazer isto e aquilo e não consigo blá-blá-blá". a primeira suspeita é vírus e o acto reflexo é restaurar o disco a partir de um norton ghost. no entanto, as actividades de prevenção são preferíveis. escolhe um bom anti-vírus. O InoculateIt da Computer Associates (link) é grátis para uso pessoal, leve, simples (nada de muitos botões e de opções maradas) e actualizado semanalmente...
    eze (Pontos:0)
    por Anonimo Cobarde em 12-01-01 21:26 GMT (#18)
    Ca para mim tens e o screensaver activo e depois estas aqui armado em l33t a dizer q hackasteseilaoque

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]