Detecção e Remoção do vírus Win32/Alman

Encontrei recentemente uma rede infectada com este Vírus chamado Win32/Alman.a. Ele é um vírus relativamente antigo pois já existe desde 2007, e o nível de propagação dele, pelo menos nesta rede onde o encontrei, foi relativamente baixo pois, as máquinas estão com vários anti vírus instalados aleatoriamente. Algumas estão com o AVG, outras com o Avast, algumas com o Nod32 e ainda existem algumas com o PC Tools.

Os Micros que estão com o Avast e o NOD32  Não foram afetadas pelo vírus. Os anti vírus destes micros detectaram a ação do Alman tentando invadir o sistema e ele foi barrado. O PC Tools conseguiu detectar o vírus mas, não conseguiu evitar que ele criasse uma copia de si mesmo dentro do sistema.

Já o Avast, detectou e barrou o vírus em quase todas as maquinas. Um dos micros estava com o Avast instalado e com a versão do programa e a base de dados de vírus atualizados, porem, mesmo assim foi infectado e não ao houve qualquer alerta por parte do anti vírus sobre a invasão ou presença do vírus. Portanto, pelo fato da engine do e da base de dados dele estarem, não conseguimos entender o motivo pelo qual este vírus conseguiu entrar nesta maquina e muito menos como.

Descobri que o Vírus teve acesso a esta rede através de um PenDrive que foi trazido de fora da empresa e continha os arquivos de instalação do Alman. Este PenDrive Foi utilizado pela primeira vez no micro citado onde o anti vírus não detectou a presença do Alman mesmo estando com o programa e a base de dados atualizados. Após uma rápida pesquisa, descobri que o processo de remoção dele é relativamente fácil e pode ser realizado manualmente ou automaticamente. Eu decidi executar os dois processos para testar a eficácia de cada um. A remoção manual exige muita pesquisa varrendo o HD a procura de arquivos específicos e limpeza do registro do windows, o que demanda uma certa cautela. Então vamos ao trabalho, mãos a obra…

Veja a seguir o que eu descobri sobre o “Win32/Alman.a”

Fragmento do vírus em um dos arquivos afetados .:

( Clique para Ampliar )

Informações sobre o Vírus " Win32/Alman "

Tipo .: Parasita Polimórfico infector de arquivos executáveis.
Instalação .: Uma vez executado, este vírus cria uma biblioteca própria chamada "linkinfo.dll" na pasta principal do sistema operacional ( C:\Windows ) e a utiliza para se propagar pela rede.

Propagação .: Ele se propaga pela rede utilizando acessos a pastas compartilhadas em computadores vulneráveis. Ele usa senhas falsas de Administrador ( Micro Local ) e de usuários fantasmas para obter acesso a pastas e se auto-copiar. Ele também utiliza comumente dispositivos removíveis como Pendrives, Cartões de memória e outros dispositivos para se propagar criando os arquivos " boot.exe " e " autorun.inf ", utilizados para auto-executar o arquivo de instalação do vírus no micro onde o dispositivo foi conectado.

Procedimento Manual de Remoção

Procurar no micro infectado os arquivos .:

c0nime.exe
c_126.nls
cmdbcs.exe
css.jpg
ctmontv.exe
deamon.dll
DKIS6.sys
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
linkinfo.dll
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
RioDrvs.sys
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
vmini.sys
wdfmgr32.exe
wow.jpg

• Procurar especialmente os arquivos .:

C:\Windows\drivers\DKIS6.sys 
C:\Windows\drivers\RioDrvs.sys 
C:\Windows\linkinfo.dll

Localizar e remover as seguintes entradas do Registro do Windows .:

"HKEY_CLASSES_ROOT\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RioDrvs" que possui as entradas .: 
"DisplayName" = "RioDrvs Usb Driver" 
"ImagePath" = "system32\Drivers\RioDrvs.sys"

"HKLM\SYSTEM\CurrentControlSet\Services\vmini"  que possui as entradas .:

"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"="system32\drivers vmini.sys"
"DisplayName"="nvmini"
"AutorunsDisabled"=dword:00000001

Nota .: Estes procedimentos devem ser realizados com o sistema rodando no “Modo de Segurança”.

! ! ! A T E N Ç Ã O ! ! ! O registro é uma das partes cruciais do Windows. Se você modificar propriedades colocando nelas valores incorretos poderá fazer com que o seu Windows não inicie corretamente. Portanto, tome cuidado ao fazer qualquer modificação no Registro do Windows. Na dúvida, faça sempre uma cópia de segurança.

Procedimento Automático ( Via Software )

Faça o download destes arquivos .: rmalman.exe e rmalman.nt

Copie para o micro infectado os arquivos "rmalman.exe" e "rmalman.nt" e Executar o rmalman.exe

Se o vírus estiver em execução na memória, o micro devera ser reiniciado para que o programa possa realizar uma varredura antes da inicialização do sistema.

Fontes de pesquisa .: AVG  -  VirusList.Com  -  F-Secure.Com 

( Este é um Artigo Original do Grupo KtecNet.Com ® )