A
falta de informação das pessoas aliada à falta de segurança do Windows traz
sérios riscos, não é de hoje. Um programa com código malicioso executado no
computador pode fazer coisas das mais terríveis. Tudo bem, isso já é do
conhecimento de todos, mas de qualquer forma as pessoas precisam usar seus
computadores, e estes devem estar livres de pragas.
Use antivírus. Use antispyware. Use firewall. Até
que ponto isso é verdadeiro? Muita gente se surpreende comigo quando digo: eu
não uso antivírus! Recuso-me até a morte (ou, quem sabe, até que um vírus me
prove o contrário :). E não recomendo, sinceramente. Tudo fica mais lento.
Mesmo em PCs atuais, sou meio contra a idéia de haver um programa tendo que
monitorar todos os dados no meu computador em tempo real, em busca de um código
malicioso. Isso é coisa para sistemas operacionais incompetentes.
O que não vem a ser totalmente o caso do Windows, pois
quem está diante do sistema é uma pessoa. É a pessoa que deveria saber o que
abrir, o que fazer e como agir. Ninguém nasce sabendo, então trago aqui
algumas noções importantes para detectar e eliminar boa
parte dos malwares que infectam o Windows. Além, é claro, de tentar
conscientizar um pouco sobre medidas de segurança que boa parte das pessoas
sabem – ou pelo menos já ouviram falar – mas não se dão ao trabalho de
cumpri-las.
Fui
infectado! E agora?
Esses dias entrou um malware no computador de uma amiga,
daqueles que ficam enviando mensagens pelo MSN. Eles detectam a janela de
conversa aberta e enviam comandos à mesma, fazendo com que um texto seja
enviado para a pessoa com a qual a outra esteja conversando – como se tivesse
sido digitada pela pessoa. Minha amiga estava com o nick “Tá enviando vírus,
não clique!”. E logo que abríamos a conversa normalmente vinham lá alguns
dizeres “Olha as fotos que eu tirei com não sei quem, veja aqui...” seguido de
um endereço de um site suspeito. Claro, clicando, mais uma pessoa seria
infectada. Além disso, vai saber o que esse programinha não fazia nos
bastidores. Hoje em dia roubar dados é a principal idéia dos malwares: senhas,
contatos, tudo o que foi digitado. Foi-se o tempo em que vírus destruía para se
exibir.
Numa seção de “exorcismo” virtual, ajudei essa amiga pelo
MSN mesmo, de uma forma simples. Ela estava passando desesperada o AVG e um
antispyware, e nada de eles detectarem a praga. Então lá fui eu. Pedi para ela
abrir o gerenciador de tarefas do Windows na aba “Processos”, e me enviar uma
imagem da tela. Com base nisso eu chutaria alguns processos e mandaria ela
fechar. E isso foi feito. O malware foi fechado. A segunda parte foi um pouco
mais complicada para ela, mas nada tão doloroso: abrir o MSConfig e desativar a
inicialização do maldito (eu procuraria diretamente no registro, mas ela iria
se perder). Depois de reiniciado o PC, esse pelo menos já era. AVG 0 x 1 Eu!
Os malwares são programas como outros quaisquer. Na grande
maioria das vezes, são programas que se configuram para iniciar junto com o
Windows. E ficam fazendo sua ação. Seja enviar spam (usando o seu IP e a sua
banda!) , usar seu computador como servidor de um software P2P qualquer ou
tentar capturar suas senhas.
Esses quase sempre podem ser removidos manualmente, usando
programas simples de monitoramento. A idéia é: eles estão abertos, vamos
fechá-los! E se eles se configuram para serem iniciados junto com o computador,
vamos remover essa configuração. Alguns casos mais graves podem ocorrer, onde
os vírus mais “poderosos” se infiltram dentro de arquivos do sistema,
corrompendo-os. Aí a coisa complica, seria tarefa mais para um antivírus (agora
sim, automatizada) mas normalmente dá para restaurar arquivos do sistema, caso
os arquivos infectados sejam os nativos do Windows. Bem, vamos por partes...
Identificando
e removendo um programa indesejado
Como no caso da minha amiga, usei uma idéia básica. Mas para
isso, eu precisaria tentar chutar o programa a ser fechado, pelo nome do
executável. Como saber? O Windows por si só carrega diversos programas em
execução (processos) próprios, para uso do sistema. Cada programa aberto também
será considerado um processo, e listado, portanto, no gerenciador de tarefas e
os malwares também ficarão por ali.
A idéia é listar ou decorar os nomes dos programas do
Windows que sempre se iniciam, mais aqueles que você usa e que se iniciam
automaticamente também (como seu antivírus, o firewall, etc). Com base nisso,
você pode ir tentando fechar os malwares. Na dúvida, uma dica é copiar o nome
do programa e jogar no Google. Se for um malware conhecido, provavelmente você
irá encontrar páginas (normalmente de fóruns) relatando-o. Aí não resta dúvida,
basta fechá-lo.
Acontece que
o gerenciador de tarefas do Windows pode ser facilmente corrompido ou
modificado, e é possível que um programa nem apareça nele. Além disso, alguns
malwares bloqueiam o gerenciador de tarefas (usando recursos do próprio
Windows, por incrível que possa parecer!). Para uma pescagem mais profunda,
vamos usar outro gerenciador de tarefas.
Um muito bom
é o Process Explorer NT. Ele é da SysInternals, que foi comprada pela
Microsoft. Eu pensava que seria descontinuado depois da compra, mas pelo
contrário, foi até atualizado para trabalhar melhor no Windows Vista.
Baixe
em: http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx
Ele lista todos os processos abertos e permite visualizar
muitas informações sobre os mesmos. A listagem é hierárquica, ele mostra os
processos e os processos que os originaram (o programa que abriu outro
programa, numa linguagem mais clara). Clicando com o botão direito num item,
pode-se matar o processo correspondente, fechando bruscamente o programa.
O fechamento dessa forma é essencial. Uma que os malwares
normalmente não exibem janelas, não tem onde você clicar para fechar. Outra
que, mesmo se exibissem, é diferente o comando que o sistema operacional envia
ao programa para fechá-lo. Ao clicar no botão com o X numa janela, o Windows
não necessariamente fecha o programa; ele diz ao programa que é para ser
fechado. O programa pode fazer o que quiser, inclusive decidir se vai mesmo ser
fechado ou não.
É isso que permite a um programa tomar a dianteira e exibir
uma janela perguntando se você quer salvar um arquivo antes de fechá-lo, dando
a opção de mantê-lo aberto, por exemplo. Se ele fosse fechado diretamente ao
clicar no X, você perderia qualquer arquivo não salvo.
Aqui, o objetivo é justamente o contrário: fechar o programa
“à força”, “matar o processo”, como se diz. O sistema operacional finaliza o
programa e libera os recursos usados por ele (como a memória) sem notificá-lo.
Algumas vezes complica um pouco, pois malwares mais elaborados podem manter
duas instâncias de si mesmo, e se uma for fechada logo a outra detecta e a reabre.
Mas com um pouco de paciência e prática, dá para se virar e tomar o controle.
Afinal, o computador é seu, não do malware.
Esse Process Explorer NT permite até mesmo “pausar” um
determinado programa, e continuá-lo depois. Estando “pausado”, o programa continua
aberto mas parece morto; por exemplo, esse que envia mensagens pelo MSN, não
enviaria enquanto estivesse pausado. Essas ações são feitas ao clicar com o
botão direito no processo, dentro do Process Explorer NT.
Pode ocorrer de você fechar um programa inofensivo
realmente, por desconhecer o nome dele. Normalmente isso não lhe trará problema
algum, bastará reabrir o programa que foi fechado depois. Tome o cuidado de não
manter arquivos abertos ou documentos não salvos enquanto fecha os programas
suspeitos, e também evite fazer isso conectado à Internet. Simples: você pode
fechar seu firewall sem querer e continuar por horas navegando – sem perceber
que abriu as portas do seu computador para o mundo.
Bem, fechado o programa, você pode excluir o arquivo correspondente
a ele. Tome cuidado aqui, para não excluir um arquivo errado, do sistema ou de
outro programa bom que você use. Antes de excluir é bom pesquisar na Internet
pelo nome do executável, ou então movê-lo para uma outra pasta, ou mesmo
renomeá-lo com outra extensão (por exemplo, “coisax.exe” viraria “coisax.123”).
Para excluir, você deverá saber
onde se encontra o arquivo. A maioria dos spywares são instalados na pasta
“system32” (creio que escolhem essa por ser uma pasta de sistema, que ainda por
cima contém muitos arquivos), assim fica difícil encontrar “suspeitos” apenas
olhando lá dentro. Uma dica é usar a pesquisa do sistema operacional, aquele
“Pesquisar” do Iniciar, jogando o nome do arquivo desejado. Nessa tarefa,
algumas configurações do Windows acabam atrapalhando. Para ficar mais seguro
para você, altere estas opções:
Na guia “Modos
de exibição” das opções de pasta (menu “Ferramentas > Opções de pasta”, do
Windows Explorer), marque o item “Mostrar todos os arquivos” na categoria
“Arquivos ocultos”. E desmarque o “Ocultar arquivos protegidos do sistema
operacional”. Ainda ali, desmarque a opção que oculta as extensões dos
arquivos. Depois disso, basta tomar cuidado ao renomear seus arquivos, onde
você deverá digitar o nome junto com a extensão, e não apague alguns arquivos
que “aparecerão” na unidade C:, como boot.ini, ntldr, etc. Esses arquivos são
do sistema e ficam ocultos por padrão. Pedi para exibi-los pois assim ele não
ocultará os outros arquivos, facilitando a localização dos malwares, inclusive
usando o “Pesquisar”.
O “Pesquisar”
do Windows XP veio para facilitar para usuários iniciantes. Para pesquisar
arquivos ocultos em pastas do sistema, usando regras de pesquisa (máscaras) e
opções avançadas, é terrível, ficou muito ruim. O ideal é voltar para a
pesquisa clássica, igual à do Windows 2000/Me. Veja como fazer isso aqui:
http://janelasepinguins.blogspot.com/2005/12/deixando-o-pesquisar-do-windows-xp2003.html
( envolve edição do registro )
Pronto.
Agora ficou mais fácil localizar o arquivo no disco e excluí-lo. Quase sempre
os spywares estarão dentro da pasta
system32, ou pelo menos na pasta
do Windows. Mande pesquisar na pasta “C:\windows” incluindo subpastas; caso não
o encontre ali, mande buscar então em todos os discos rígidos locais.
Pesquisando apenas na pasta do Windows a pesquisa será mais rápida, já que o
buscador não terá que vasculhar todo o seu HD :)
Fechado o programa, excluído o
arquivo, agora falta remover o ponto de entrada de inicialização, que faz com
que o programa seja carregado durante o boot do sistema. Os programas que se
iniciam junto com o computador podem ficar configurados em alguns lugares
diferentes no Windows. Uma forma básica de ver isso é usar o MSConfig,
programinha que já vem com o Windows (exceto NT e 2000) e que lista os
programas abertos. Clique no “Iniciar > Executar”, digite msconfig e tecle
enter. Na aba “Inicializar”, localize os itens desejados e desmarque o suposto
malware. Depois de desmarcado, clique em Aplicar > OK. Ele pedirá para
reiniciar o computador, fica a seu critério reiniciar no momento ou depois.
Dica: desativando outros itens
desnecessários pelo MSConfig também, fará com que o computador inicie um pouco
mais rápido e use menos memória; mas cuidado para não desativar programas
importantes, como o firewall, antivírus ( se você usar), etc.
Importante: sempre remova a
entrada de inicialização do programa com ele fechado. Se você não fizer isso,
alguns programas ficam regravando as chaves no registro enquanto estão abertos,
justamente para que se você remova, logo eles regravam e serão inicializados
depois, na maior cara de pau. Com eles fechados, simplesmente não têm como
regravar.
Nem sempre será fácil remover programas indesejados dessa
forma, mas boa parte deles podem ser removidos assim, por incrível que possa
parecer :)
Outra dica é iniciar o
computador limpo, sem spywares, e anotar os nomes dos programas que se iniciam
automaticamente
(seja pelo Process Explorer NT ou pelo próprio gerenciador
de tarefas). Boa sorte :)
Outras
formas de detectar programas que se iniciam automaticamente
Há
diversas formas. As mais comuns são pelas chaves do registro:
HKEY_LOCAL_MACHINE
> Software > Microsoft > Windows > CurrentVersion > Run
HKEY_LOCAL_MACHINE
> Software > Microsoft > Windows > CurrentVersion > RunOnce
HKEY_CURRENT_USER
> Software > Microsoft > Windows >
CurrentVersion > Run
HKEY_CURRENT_USER
> Software > Microsoft > Windows >
CurrentVersion > RunOnce
Mas há também a pasta
“Inicializar” no menu “Iniciar > Programas”. Alguns programas criam entradas
ali, para esta é mais fácil: basta excluir o atalho. Clique em “Iniciar >
Programas > Inicializar”; depois, clique com o botão direito no item
desejado ( se houver) e mande excluir.
Para as chaves do registro... Se
você não mexe muito com o registro, cuidado: não saia fuçando em tudo. Exclua
apenas entradas que você tenha certeza que podem ser excluídas, pois editar
incorretamente o registro pode fazer com que o Windows nem seja iniciado –
claro que isso poderá ser corrigido, mas poderá não ser tão fácil.
Nota: o “registro”, caso você não
saiba, é um banco de dados de configurações usado pelo Windows e por diversos
programas. O “editor do registro”, programa “regedit”, é uma interface que vem
com o Windows que permite modificar as configurações gravadas no registro. O
termo “registro” aqui não tem nada a ver com cadastro ou pagamento :p
Abra o editor do registro
(“Iniciar > Executar” > digite regedit e dê OK). Ele tem o visual
parecido com o do Windows Explorer, tratando as chaves do registro como se
fossem “pastinhas”. À esquerda, localize as chaves e subchaves conforme indicam
as setas nos caminhos indicados mais acima, até chegar na “Run” ou “RunOnce”. À
direita são listadas as entradas referentes à chave selecionada à esquerda, que
no caso, correspondem aos programas que se iniciam automaticamente com o
computador. Selecione o do malware e delete, usando a tecla Del mesmo do
teclado. Como falei, cuidado ao fazer isso; se não se sentir seguro, prefira
usar o MSConfig ou esse outro programa que indicarei agora.
Também da SysInternals (agora
Microsoft) um bom software é o AutoRuns. Ele lista praticamente tudo o que se
inicializa com o Windows, incluindo muitos itens não exibidos pelo MSConfig.
Veja:
Baixe-o
em: http://www.microsoft.com/technet/sysinternals/Utilities/AutoRuns.mspx
Ele é composto por várias abas de
categorias. Com ele você pode desmarcar os itens e remarcá-los depois, caso se
arrependa. Mas ainda assim, tome o cuidado de não desmarcar itens à toa, pois
vários, “muitos” na verdade, correspondem a componentes essenciais do Windows.
Por meio dele pode-se desativar extensões do Explorer, do logon, do IE, drivers
de dispositivos e outros componentes. Ele é muito importante, deveria vir de
fábrica com o Windows.
Comentário: é
possível desativar também aquele WGA, que exibia notificações em Windows não
originais; bastando desmarcar o ponto que carregava o WGA, no processo de logon
do Windows, e a seguir deletando os arquivos do WGA do HD.
Tanto o
Process Explorer como o AutoRuns são gratuitos e não precisam ser instalados,
eles rodam diretamente, sendo muito
úteis para fazer parte da mala de ferramentas dos técnicos
Windows.
Windows
bloqueado?
Alguns spywares e malwares em geral desativam componentes do
Windows, usando recursos do próprio sistema.
Isso é possível porque o Windows
foi projetado para suportar diretivas de empresas e grupos, onde os
funcionários podem usar os computadores, mas não alterar configurações. Alguns
spywares dão uma de “administradores” no seu sistema, bloqueando diversas
coisas. Entre as mais visadas estão o bloqueio da página inicial do Internet
Explorer, a edição do registro pelo regedit, de forma que você não consegue
abri-lo nem usar os arquivos “.reg”, e em alguns casos, bloqueiam até o gerenciador
de tarefas, para evitar que sejam fechados (aqui usar o Process Explorer NT
normalmente resolve).
Esses bloqueios são feitos pelo
registro, e caso você não possa abrir o regedit, e/ou se quiser remover
diversos bloqueios de uma vez, recomendo um software meu mesmo: o AntiPolicy.
Basta abri-lo, clicar na aba “AntiPolicy” e então no botão “Remover
bloqueios...”.
Quase todos esses bloqueios serão
liberados de imediato, alguns só no recarregamento do Explorer (no próximo
logon, por exemplo). Vale a dica: primeiro, feche os malwares e certifique-se
de que não estejam marcados para inicializar depois, pois eles poderão
restaurar os bloqueios se forem abertos.
Download do AntiPolicy: http://www.mephost.com/software/antipolicy.htm
Esse programa ainda permite
fechar bruscamente processos também, servindo como um gerenciador de processos
alternativo. Enquanto que o gerenciador de tarefas do Windows e o Process
Explorer NT listam os processos pelo nome do executável, o AntiPolicy lista
pelos nomes das classes de janelas. A maioria dos spywares não têm janelas
visíveis, mas têm janelas ou pelo menos controles que não ficam visíveis mas
são listados. No AntiPolicy, você pode fechar qualquer programa, pela aba
“Visíveis” (os que estão rodando na barra de tarefas ou em uma janela) ou
“Ocultos” (os que rodam sem ser exibidos, que vem a ser o caso da maioria dos
malwares). Vale o cuidado de testar e ficar atento, pois você poderá fechar
programas bons sem saber o nome da classe.
Diversos spywares usam nomes com
XXX alguma coisa (referentes à pornografia), hk (da palavra “hacker”), ou
somente números. Mas não há regras, você terá que caçar um pouco, e qualquer
coisa, o Google está à disposição para nos ajudar ( bem indiretamente, claro ).
O Windows é
seguro?
Até aqui vimos como tentar
remover pragas que já foram instaladas. Mas... O melhor é prevenir, não
remediar, não é? É melhor andar pela sombra do que ficar com dor de cabeça, é
melhor usar blusa e guarda chuva do que pegar um resfriado. Vamos a algumas
dicas então, que a maioria acha que todo mundo já está careca de saber (mas
infelizmente, não é bem assim).
Use conta limitada (não de administrador) no dia-a-dia se
puder, e mantenha o HD formatado em NTFS. Mais informações sobre o NTFS e a
segurança aos arquivos podem ser vistas neste outro texto meu aqui no GdH:
http://www.guiadohardware.net/dicas/sistema-ntfs.html
Usar o Windows
com conta limitada em partições NTFS é muito mais seguro, apesar de não ser
agradável para o uso de alguns programas. Navegando assim, os malwares não
poderão se instalar em pastas do sistema (como a system32, dentro da pasta do
Windows) e não afetarão as outras contas de usuário, caso haja outros perfis no
mesmo PC. É possível também rodar o IE (ou outro programa qualquer) como
administrador, porém, sem direitos administrativos. Veja como no final desse
outro texto: http://www.guiadohardware.net/artigos/reparando-ie/
Use um firewall. O do Windows XP
SP2 é muito ruim (que me perdoe a Microsoft). De que adianta o sistema vir com
um firewall se você deve desativá-lo e instalar outro, para mais proteção? Isso
porque é um fato, o do XP SP2 protege contra invasões vindas da Internet, ou
seja, protege contra acessos entrantes. Se um programa no seu PC tentar enviar
um comando ou arquivo para a Internet, ele deixa (só bloqueia e alerta caso o
programa tente ficar aberto em determinada porta, como um servidor, à espera de
conexões entrantes).
Isso é ruim no caso de spywares:
eles podem enviar dados (seus dados, suas senhas capturadas, por exemplo) sem
que você tome conhecimento. O ideal é instalar um firewall de terceiros, que
proteja o computador tanto de conexões de entrada como de saída, dando a
possibilidade de você decidir se elas devem ser liberadas ou não. Um que tem
versão gratuita e é muito usado é o ZoneAlarm. O Comodo também é bom e possui
versão gratuita.
Como saber se o sistema está infectado? Se aparentemente seu
computador funciona normal, e você quer saber se ele está infectado, pode valer
a pena rodar um anti-spyware (como o SpyBot) ou até mesmo um antivírus,
mandando fazer uma varredura completa. Aqui usamos os programas para aproveitar
o tempo de processamento do computador, sua agilidade em comparar informações,
em varrer vários arquivos e chaves do registro em busca de spywares conhecidos,
etc. Usar um antivírus residente é o que eu não recomendo, pelo menos não uso,
por ser definitivamente um item inútil (desde que você tome todos os devidos
cuidados e outros). Não é para seguir uma receita, são um conjunto de atitudes
que podem mudar isso. Se você se sentir mais seguro, fique com seu antivírus.
Além de usar programas de
detecção, vale curiar no gerenciador de tarefas de tempos em tempos (dica: use
o Process Explorer NT, que é bem melhor), no MSConfig, e ver se nada de
estranho ou novo aparece por ali, sem que você tenha instalado.
Quer segurança? Cuide-se você. Eu
não uso antivírus, continuo batendo o pé. Se você for firme nos seus atos,
poderá não usar também. Basta manter o Windows atualizado, um firewall ativo
(isso é essencial!) e o principal: não sair executando qualquer porcaria que
chegue por email, não instalar controles Active-X no IE de sites suspeitos, não
instalar qualquer barra de ferramentas no IE (elas atuam como programas,
podendo fazer o que quiser!), não baixar anexos de emails suspeitos, sempre
confirmar com quem lhe enviou antes de abrir um link de algum arquivo executável
para baixar (principalmente se for de extensão .exe, .com, .bat, .cmd, .scr,
.pif), etc.
Na sugestão de configuração mais
acima, pedi para mostrar todas as extensões. Isso pode parecer ruim num
primeiro momento para usuários básicos, mas permite que você identifique melhor
o arquivo. Alguns mal intencionados colocam duas extensões nos arquivos, por
exemplo, foto.jpg.exe. A última é a que vale: “foto.jpg.exe” é um programa, não
uma imagem. Se as extensões não fossem mostradas, o Windows exibiria apenas
“foto.jpg”, e os mais inocentes poderiam abrir, rodando o malware. Com elas
sendo mostradas você sempre verá a extensão real. Se você der um duplo clique
num malware ou vírus, estará autorizando a execução dele no computador, estará
fazendo justamente o que o autor dele quis.
Não é que o Windows seja inseguro (mas claro que não é a
melhor coisa em termos de segurança também, está muito longe disso ;), é a
falta de informação e conhecimento dos usuários que o torna assim.
O Windows Vista não tem grandes
mudanças estruturais com relação ao XP. Vendo-o e acompanhando a história do
Windows, às vezes penso: “Puxa vida, estragaram o NT...”. O que mais se destaca
no Vista em termos de segurança – e que ao mesmo tempo mais irrita os usuários,
tanto é que boa parte opta por desativar – são as confirmações pedidas ao
usuário para diversas tarefas e ações.
Você é o dono do seu computador,
você decide o que quer rodar nele. Se você rodar porcaria, o Windows não tem
culpa, ele irá executar a porcaria que você autorizou! O Vista pede muita
confirmação, tudo bem, com isso você pode ver que se o usuário desse menos
mole, teria seu Windows funcionando por muito mais tempo. Não estamos falando
aqui de falhas do sistema (que quase todo software possui), mas sim de
programas do mal em geral.
De nada adianta você ter saúde e andar seguro se
alguém lhe assaltar na rua e te jogar no chão. Você vai cair, não vai? Quando
programas do mal tentam invadir o Windows, a maior brecha está no usuário, não
no sistema. Cuide-se! (Eu continuo sem antivírus ;)
0 comentários:
Postar um comentário