Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
Seja um programa chato ou mesmo uma praga digital, um código precisa ser executado para entrar em operação. Mesmo depois que um vírus foi executado uma vez, ele precisa garantir que será executado pelo sistema novamente mais tarde. Há diversas maneiras para se fazer isso no Windows, e o sistema não possui uma ferramenta própria para gerenciar de maneira simples todas os programas que, em algum momento, são carregados de forma automática.
É aí que entra o Autoruns, uma ferramenta desenvolvida pela SysInternals, que hoje pertence à Microsoft.
O Autoruns é semelhante ao programa "Msconfig", que faz parte do Windows, mas é muito mais completo (no Windows 8, a função do Msconfig de gerenciar a inicialização de programas foi transferida para o Gerenciador de Tarefas). O Autoruns vasculha diversos locais do registro e mostra uma lista de programas carregados pelo sistema em diversas circunstâncias, inclusive ao navegar por pastas e ao executar vídeos (codecs).
Caso um programa seja indesejado, basta desmarcar a caixa de seleção e reiniciar o sistema. Ele não será mais executado automaticamente.
Faça o download do Autoruns aqui (link direto). Há uma versão em linha de comando dentro do arquivo (autorunsc), mas esta coluna irá apenas comentar sobre a versão gráfica.
Riscos
Alguns programas podem parar de funcionar se você desativá-los no Autoruns. O Autoruns permite que você clique com o botão direito e escolha "Delete" para apagar uma entrada definitivamente, porém não é preciso fazer isso. Se você simplesmente desmarcar a caixa de seleção, o Autoruns cria um backup, permitindo que a entrada apareça novamente quando você executar o Autoruns. Basta clicar na caixa para reativar a entrada e o programa deve voltar a funcionar.
Ocultando entradas
Para facilitar a análise do relatório do Autoruns, vá em Options e clique em "Filter". Marque "Verify code signatures" e "Hide Microsoft entries". Essa primeira opção adiciona um "(Verified)" ao lado de arquivos cuja origem foi autenticada, enquanto a segunda opção oculta as entradas do Windows e da Microsoft, o que reduz significativamente o tamanho do relatório e agiliza a análise.
Administrador
O Autoruns inicialmente permite que você gerencie apenas os programas do seu usuário, mas ele exibe um relatório completo do sistema. As entradas que começam com "HKLM" e as da categoria WMI só podem ser desativadas caso o Autoruns seja executado como administrador (File > Run as Administrator).
Procurando por pragas digitais
Para tentar identificar vírus que estão sendo carregados pelo sistema, observe as colunas "Publisher" e "Image path". "Publisher" é o nome do desenvolvedor do programa, enquanto "Image path" é o nome do arquivo que contém o programa que está sendo carregado. Não deixe que a palavra "image" confunda você – essa coluna nada tem a ver com figuras.
O nome do arquivo e a pasta em que ele está são bons pontos de partida para realizar pesquisas na web para saber do que se trata o programa que está sendo carregado.
Já a coluna "Publisher" tem o nome do desenvolvedor. Caso você tenha marcado a opção "Verify code signatures", como recomendado acima, cada entrada terá um "(Verified)" o ou um "(Not verified)" ao lado do nome do desenvolvedor. As entradas com "(Verified)" são menos perigosas, porque foram verificadas com assinatura digital, mas há casos em que vírus também usam assinaturas. Porém, um "(Verified)" junto de um nome conhecido como Microsoft ou Adobe normalmente indica que a entrada é segura.
Não existe receita para saber se uma entrada foi adicionada por um vírus. Mesmo empresas grandes às vezes não protegem seus arquivos com assinaturas digitais. Essas informações, porém, ajudam você a identificar os primeiros programas suspeitos caso seu computador esteja com algum problema.
Você também pode enviar os arquivos mais suspeitos para o site VirusTotal, que analisa o arquivo em diversos antivírus.
Função Compare
O Autoruns permite que você salve o relatório (File > Save). Esse relatório pode depois ser comparado (File > Compare) e, com isso, você pode identificar o que foi alterado desde a última execução. Por exemplo, você pode fazer um relatório antes de instalar um programa e depois compará-lo com um relatório depois da instalação, o que permitirá que você identifique imediatamente o que foi acrescentado pelo programa.
Modo Seguro
Para desativar um vírus, o ideal é iniciar o computador em Modo Seguro. Ligue ou reinicie o computador e pressione F8 repetidamente até que um menu apareça. Escolha "Modo Seguro". Observe que algumas entradas identificadas pelo Autoruns são executadas mesmo em Modo Seguro e, portanto, um vírus poderá impedir que sua entrada seja desativada mesmo nesse modo. Nesse caso, use um CD de boot do Linux e renomeie o arquivo suspeito (veja aqui como criar um CD ou USB com Linux). No caso de problemas para iniciar o computador, renomeie o arquivo para nome original e procure um especialista.
Categorias de inicialização
Saiba, resumidamente, o que indica cada aba do Autoruns:
Everything: inclui todas as informações coletadas pelo Autoruns.
Logon: são programas executados após o login no Windows. É o método mais comum para iniciar programas de todo tipo. Atenção especial para as entradas "Userinit" e "Shell", que raramente são usadas por programas legítimos, exceto pelo próprio Windows.
Explorer: códigos carregados pelo Windows Explorer, que é o programa usado para navegar em pastas e arquivos e para criar a barra do menu "Iniciar" do Windows. As entradas "ShellServiceObjectDelayLoad", e "SharedTaskScheduler" são as mais usadas por vírus, mas é raro.
Internet Explorer: plug-ins e barras de ferramentas do Internet Explorer. Se o seu navegador está cheio de barras indesejadas, é aqui que elas devem aparecer.
Scheduled Tasks: programas executados pelo Agendador de Tarefas do Windows.
Services: são programas executados antes mesmo do login no Windows e são executados com permissões próprias. Usado por vírus mais sofisticados.
Drivers: drivers são programas executados com mais permissões que programas comuns, normalmente para interagir com o hardware do computador. Usam a extensão ".sys". Nas versões de 64 bits do Windows, drivers precisam de assinatura digital, o que dificultou seu uso por vírus. Tenha muito cuidado ao realizar alterações nesta categoria.
Codecs: programas executados automaticamente para reproduzir áudio e vídeo. São normalmente inofensivos. Modificações nesta categoria podem interferir com a capacidade do sistema de abrir arquivos de vídeo.
Boot Execute: programas executados como parte do processo de inicialização do Windows. Esta categoria está normalmente vazia caso você tenha escolhido ocultar as entradas do Windows e da Microsoft.
Image hijacks: essas entradas permitem que um programa secundário seja executado junto de outro programa. São altamente suspeitas.
Appinit: um arquivo DLL configurado como "AppInit" será carregado junto de quase todos os outros programas no sistema. É às vezes usado por vírus e é chato de remover, pois é executado mesmo em Modo Seguro.
KnownDLLs: esses arquivos são registrados para uso por diversos programas. Em geral, são arquivos comuns do Windows que são carregados pelos programas para interagir e chamar funções do sistema, como rede ou interação com arquivos. Um vírus pode alterar uma dessas entradas para carregar um arquivo modificado e contaminado. Tenha cuidado ao fazer modificações nesta categoria.
Winlogon: programas referentes ao login do Windows. Usado para carregar opções especiais de login, como leitores biométricos.
Winsock Providers / LSA Providers / Network Providers: são programas que interagem com as operações de rede e internet do Windows. Usado por programas antivírus para checar arquivos em download e também por gerenciadores de download ou outros programas de otimização e serviços de rede. Pode ser usado por vírus para capturar dados em transmissão.
Print Monitors: serviços de impressão. Raramente utilizado por vírus.
WMI: também raramente utilizado por vírus.
Sidebar Gadgets: são os gadgets da área de trabalho do Windows. Se você não reconhece alguns dos gadgets, normalmente é seguro desativar.
http://g1.globo.com/tecnologia/blog/seguranca-digital/1.html
Nenhum comentário:
Postar um comentário