Pesquisar este blog

sábado, 12 de maio de 2012

VIRUS DO WINDOWS USA LINUX PARA SE DISSEMINAR ATRAVÉS DO SAMBA, INSTALE O CLAMTK




O titulo acima não é uma estória, assim mesmo iniciada com a letra "e" por ser uma ficção, é verdadeira pois aconteceu comigo, e pode servir de alerta e dica para alguém com o mesmo problema.

É público e notório que não existem vírus para linux, não pelo fato não se querer desenvolver ou de ser difícil o seu desenvolvimento, muito pelo contrário boa parte dos servidores de grandes empresas são linux o que certamente desperta o interesse por este desenvolvimento, e a linguagem utilizada no linux também não dificulta muito o desenvolvimento destes pequenos programas malignos, entretanto o que torna muito difícil o desenvolvimentos de vírus para linux é a arquitetura do próprio sistema sempre preocupada com a segurança, o que não permite uma propagação das pragas em progressão geométrica como ocorre no windows e depois de algumas maquinas infectadas o nivel da infecção é sempre decrescente e o vírus morre, entretanto se você utiliza rede samba cuidado com alguns malwares do windows eles não vão propriamente se instalar na sua máquina mais podem utilizar o seu computador como fonte de disseminação da infecção pela rede.

Como está bem claro neste blog sou advogado e trabalho em algumas prefeituras, ao chegar em uma destas prefeituras que tem uma rede windows wifi, inclusive com compartilhamento de impressora, utilizei esta rede no meu notebook com ubuntu 12.04, inclusive instalando uma impressora do windows compartilhada pela mesma rede, logo depois esta instalação algo estranho ocorreu, todas as vezes que mandava imprimir algo o applet de impressão ficava retido em uma impressora sem nome ou identificação, por várias vezes tive que ir ao monitor do sistema para matar este processo, isso me deixou curioso pois tratava-se de uma coisa totalmente inesperada e fui investigar.

Depois de muito investigar este comportamento já estava pronto a acreditar em um bug do ubuntu 12.04 LTS, que tinha instalado há pouco tempo quando resolvi passar o antivirus clamav no sistema isso com o clamtk que me permitiu regular a verificação para verificar arquivos do samba, verificação de arquivos do sistema que iniciam por ponto e verificar todos os arquivos e diretorios dentro de um diretorio, para isso no clamtk basta clicar em preferências e marcar as opções, fiz uma verificação em / ou seja no diretorio raiz esta opção não está explicita no clamtk, mais basta na barra de ferramenta que no caso do unity fica fora do programa lá em cima da área de trabalho, e na opção escanear - diretorio posicione no raiz, e para minha surpresa tinha um malware do windows no arquivo, /usr/lib/libreoffice/share/gallery/sg36.sdv.

Vejam que se trata de um arquivo da galeria de imagens, que pode ter sido infectado pela malware pela rede samba e tratava-se do malware BC.Exploit.CVE_2012_0184 mais informações sobre o mesmo no link:


Neste link vamos encontrar que este malware explora uma vulnerabilidade do excel para execução de códigos, aqui no linux ele não vai se espalhar pelo sistema como no windows as vezes levando a ser reinstalado todo o sistema ficando de difícil remoção, no linux fica restrito ao arquivo, basta no caso do ubuntu, abrir o nautilus como usuários root digitando em um terminal sudo nautilus e deletar o arquivo que por ser da galeria de imagens não vai trazer nenhum efeito ao sistema, caso fosse outro arquivo que fosse alterar o sistema, basta deletar e copiar de outro ubuntu de mesmo arquitetura ou seja 32 ou 64 bits de mesma versão no caso 12.04 e pronto problema resolvido, no meu caso a cura foi imediata não houve mais impressora fantasma, ou qualquer outro comportamento inesperado.

Ora fica claro que este efeito deste vírus do windows sobre o ubuntu, deve-se a compatibilidade cada vez maior de programas linux com formatos nativos do windows, principalmente o libreoffice com o excel, mais que não leva a uma ameaça real ao sistema, apenas a situações de comportamento inesperado como descrito acima, e verificando os log de impressão verifiquei também que houve vários acesso a impressora remota que instalei pelo samba, onde claramente o malware busca se replicar pela rede que não estava mais ao seu alcance.

Dica para instalação do clamtk com o clamav antivirus, por isso deve iniciar baixando do repositório oficial pois acompanha todas as dependências.


para instalar basta abrir um terminal e digitar:

sudo apt-get install clamtk

clique em enter e depois da instalação digite

sudo freshclam

e será atualizado as definições de virus, demora um pouco depende da conexão, esta atualização seria automática e pouco a pouco entretanto este comando é para quem tem pressa de utilizar o antivirus, depois as atualizações diárias serão automáticas, sem que você sequer perceba.

A interface do clamtk do repositório oficial também está desatualizada após a instalação e atualização das definições de virus baixe o arquivo deb do link abaixo e clique duas vezes e vai abrir a central de programas do ubuntu com a opção atualizar.


após abrir o site clique na opção debian/ubuntu e vai iniciar o download do arquivo deb citado acima, e claro verificar no endereço depois de algum tempo para baixar novas atualizações da interface utilizando o mesmo método de cliquar no arquivo estas atualizações  ocorrem aproximadamente a cerca de sessenta dias, uma da outra

E claro verifique a rede windows com os meios disponíveis para o próprio sistema operacional windows, pois uma vez isso ocorrendo o malware estará presente e ativo na rede windows que gerou toda esta situação.

Um comentário:

Walter disse...

Parabéns,

Tão importante quanto suas descobertas, é o compartilhamento das mesmas.

Já instalei o antivírus.

Walter