O malware que explora o Autorun em computadores Windows não está a diminuir, o que revela que as técnicas de infecção “mais antigas” custam a desaparecer e as pendrives USB ainda podem ser meios eficazes para a disseminação de código malicioso nos computadores. As drives USB podem ser utilizadas para infectarem computadores que executam automaticamente ficheiros quando são introduzidos dispositivos externos no computador. Nas máquinas windows esta funcionalidade é conhecida por Autorun (ou Autoplay no Windows 7).
Na ESET classificamos os ficheiros autorun.inf maliciosos como INF/Autorun e esta é uma categoria de ameaças que normalmente se encontra nas primeiras posição do Top Mensal de Infecções.
Um worm que normalmente se espalha por dispositivos USB e que tem estado muito activo ultimamente é o worm detectado pela ESET como Win32/Pronny.xx. De acordo com os nossos técnicos, este malware tem aparecido com alguma incidência em redes empresariais e especialmente nos computadores onde o antivírus não se encontra devidamente actualizado ou configurado.
Este worm pode-se espalhar através de dispositivos amovíveis, como flash drives USB. Quando infecta um sistema tenta descarregar e executar diversos ficheiros a partir da Internet (e nenhum deles é bom).
Para além de ser malicioso, o INF/Autorun.AC também pode ser muito confuso para os utilizadores de máquinas infectadas. Isto porque o malware não só tenta utilizar as funções de Autorun, mas também porque esconde todos os ficheiros e pastas fidedignos numa partilha de rede, ao mesmo tempo que os substitui por ficheiros executáveis com o mesmo nome e ícone dos que lá se encontravam.
Deste modo, pode ver como é fácil criar confusão, já para não mencionar mais actividade maliciosa. Por exemplo, se tiver uma pasta chamada “Contabilidade”, a mesma será escondida e substituída por um ficheiro infectado com o mesmo nome e ícone. Isto irá “ajudar” a que os ficheiros executáveis infectados sejam corridos pelo utilizador.
Este malware tenta ainda atrair os utilizadores, com nomes de ficheiros executáveis muito sugestivos como Porn.exe; Sexy.exe; Secret.exe; Passwords.exe.
Para adicionar ainda mais confusão, se estiver infectado com o Win32/Pronny e o antivírus o estiver a remover, pode pensar que todos os ficheiros e pastas da partilha de rede foram apagados devido às alterações que o vírus faz aos atributos dos ficheiros. Para verificar que os ficheiros ainda lá estão, deverá activar a visualização de ficheiros e pastas escondidos e ainda ficheiros protegidos por sistema.
