dezembro

18

Eliminando vírus na rede III – Kht, Khu, Khv, Khw, W32/Chir.b@MM …

virus Um dos piores vírus de rede para usuários profissionais são aqueles que alteram os arquivos da máquina.

Virus como o Kido, Kht, W32/Chir.b@MM, KHW, KHX, Trojan.win32.autoit, rwympu.exe e outros é dor de cabeça na certa.

Vamos tratar dois casos nessa questão. A prevenção para se evitar a infecção e o tratamento para os computadores que já estão infectados.

PREVENÇÃO

Além dos avisos constantes e informes aos usuários dos terminais clientes de não utilizarem pen-drives e não clicar em nenhum link, nem baixar anexos proveniente de e-mail com contatos desconhecidos podemos verificar outra questão mais avançada relativo ao compartilhamento de pastas e permissões.

“Golpistas da internet dispararam, recentemente, e-mails fraudulentos em que oferecem um software para os internautas assistirem em seus computadores mais de cem canais com a qualidade da TV digital. A mensagem utilizada para o golpe, cheia de erros de português, chega à caixa de entrada com o título “Você foi escolhido para experimentar a TV DIGITAL”. Golpes desse tipo são chamados de phishing scam (entenda aqui como funciona). Com essa tática, piratas enviam e-mails sugerindo que os internautas baixem programas, cliquem em links ou visitem sites maliciosos. Quando seguem a sugestão, as vítimas em potencial infectam seus computadores com programas geralmente desenvolvidos para o roubo de informações financeiras.” <Globo.com>

Assim num ambiente servidor e clientes geralmente as pastas compartilhadas são o alvo o que mostram muitas vezes a fragilidade de certas configurações de rede em que o compartilhamento é feito de modo genérico para “Todos” os usuários com permissão total. Dessa forma o computador fica vulnerável a qualquer ataque, pois o próprio usuário permite acesso a suas pastas.

Compartilhamento Aberto a Todos

Compartilhamento Aberto a Todos

Num compartilhamento de pastas deve-se tomar o cuidado de configurar da forma correta, principalmente na questão de permissão. O ideal é somente selecionar os usuários que podem ter permissão ou apenas o Administrador do computador.

TRATAMENTO

Quando temos apenas um computador infectado o solução é mais simples. Pode rodar um utilitário de boot com antivírus, limpar o registro e se o dano já foi grande, até mesmo formatar. Mas e quando temos uma rede com pelo menos uns quinze computadores, servidor rodando aplicativo de banco de dados onde pensar em parar é ter prejuízo?

E muitas vezes esse tipo de vírus consegue parar sistemas avançados de banco de dados e software ERP de grandes empresas por justamente contaminarem arquivos “.exe”. O antivirus instalado irá limpá-lo ou removê-lo para quarentena parando o sistema.

E para complicar ainda mais, muitas vezes o suporte técnico é via acesso remoto ou por programas de acesso remoto. Dessa forma como proceder?

Chegando ao ponto crítico de contaminar o servidor presume-se que o sistema pare de funcionar. Portanto deve-se desligar todos os computadores da rede e começar a manutenção remoto no servidor para retirada do vírus. Uma auditoria no servidor deve ser iniciada nos principais pontos:

1- Verificar Firewall e todas as suas exceções se são verdadeiras. Muitos vírus se instalam automaticamente no Firewall.

2- Desabilitar as restaurações automáticas no Painel de Controle.

3- Configurar Windows Explorer para não ocultar arquivos do sistema.

Marcar para não ocultar arquivos do sistema

Marcar para não ocultar arquivos do sistema

4- Após a configuração acima verificar as pastas compartilhadas a presença de arquivos de vírus e suas configurações referente a permissões.

5- Verificar a configuração do Iniciar do Windows pelo Msconfig. Muitos vírus se auto-instalam para executarem sozinhos ao ligar o Windows.

6- Verificar o estado e a qualidade do antivírus instalado. Baixar o Kaspersky Removal Tool que verifica vírus independente do antivírus instalado na máquina.

7- Remover os vírus:

  • Caso não consiga remover deve investigar os vírus detectados para localizá-lo no Registro e no computador para retirada manual. Mesmo se o antivírus delete o vírus é necessário apagá-lo no registro com um programa de limpeza de registro (abaixo).
  • Instalar um programa de limpeza de registro e limpar o registro. Sugiro o programa AML Free Registry Cleaner < http://www.amltools.com/ > . Esse software possui ferramentas de localização de arquivos no registro e limpeza eficiente.
  • Os arquivos KHW e KHX estão certamente ligados ao vírus chamado rwympu.exe e rdvixc.exe que produzem novos arquivos para retornarem caso seja excluídos através da restauração do sistema em arquivos do tipo A0121133.exe por exemplo.
  • Antivírus atuais como o ESET eliminam-o parcialmente, pois os arquivos sinalizadores KHW e KHX localizados em pastas compartilhadas não são removidos. Assim para total remoção, após a exclusão dos .exe pelo antivírus, devemos eliminar todos esses arquivos manualmente e rodar novamente um limpador de registro (AML).

8- Verificar a segurança de acesso as pastas compartilhadas. O computador deve ter senha cadastrada e nas permissões das pastas liberar somente para computadores confiáveis.

9- Verificar se o Windows está atualizado e habilitar atualizações automáticas. Atualize-o.

10- Desligar e ligar novamente o computador. Verificar se o vírus retorna.

11- Agora já pode reinstalar os programas avariados pelo vírus. Em sistemas ERP profissionais é sempre interessante manter backup dos arquivos do sistema também, além do banco de dados para casos como esse.

11- Se o compartilhamento estiver liberado para “Todos os usuários” agora terá que entrar em cliente por cliente para autorizar o acesso.

12- Nos clientes verificar a existência de vírus e pastas compartilhadas também com o mesmo processo acima descrito. Ir ligando cliente por cliente para retirada de vírus, configuração de pastas e limpeza.

As chances do vírus retornar apesar de serem grandes é reduzida bruscamente com uma configuração correta da rede e suas permissões. Para servidores recomendo a utilização do antivírus Kaspersk para Server.

http://www.softpedia.com/get/Antivirus/Kaspersky-Anti-Virus-for-Windows-Server-Enterprise-Edition.shtml

Caso não se queira gastar muito e correr mais riscos existe um antivírus da Mcafee que se bem configurado consegue manter um servidor seguro:

http://www.google.com.br/search?hl=pt-BR&client=firefox-a&hs=mA6&rls=org.mozilla%3Apt-BR%3Aofficial&q=mcafeevse.rar&btnG=Pesquisar&meta=lr%3D&aq=f&aqi=&aql=&oq=&gs_rfai=

Artigos Relacionadas:

Related Posts with Thumbnails
RSS Feed

« | »

A Arte da Guerra - Sun Tzu Abertura de Empresa Buscar Emprego via Internet Combatendo Vírus na Rede Como configurar acesso a câmeras via internet Como criar um blog profissional com renda Como Evitar vírus de e-mail e cliques Como Pesquisar no Google e Achar Tudo Compartilhar internet móvel 3G Configurar Roteador com Internet Controle a renda do blog nessa planilha Eliminando vírus da rede II Eliminando vírus remotamente Escolher a melhor placa mãe Formatação Limpa Ganhando Dinheiro e Emprego na Internet Gerenciamento de Risco de Perícia Contábil Gerenciamento do Projeto de Aeromodelo de Isopor Gerenciamento e Controle de Projetos Implantação da Nota Fiscal Eletrônica Jogo Stock em delphi - download exe e fonte Lucro Presumido ou Lucro Real ? Manutenção em computadores via internet Maximizando pesquisas na Internet Melhor Ferramenta de Boot Monografia Montando Computador para Estação de Câmera de Segurança Montando um Aeromodelo de Isopor My Playlist para violão My Programlist - Softwares básicos para instalar computador formatado Placa mãe Asus P5N Preparando soft de câmera Programas free de Backup Qual a melhor Opçao: Lucro Real ou Presumido. Recuperando sistema atacado por vírus Rediscagem e conexão automática de internet móvel Reparar o Skype corrompido e o perdão Resumo dos Tipos Societários Segredo da boa seleção de gerentes Segurança da Informação Soft gratuitos de projeto Soluções para gerar Arquivo MFD Virus na rede Vírus Vampiro sugando internet Windows Mobile - Melhores programas free e guia