Alguns usuários, porém, haviam clicado na mensagem*... Sendo que alguns possuíam privilégios administrativos em suas estações **...
Uma dessas maquinas foi infectada e foi necessário a reinstalação dos sistema para ter certeza que estaria tudo bem ***,
enquanto preparava a instalação nova, com os programas padrões e com cuidado redobrado nas atualizações do Windows ****,
me pediram uma permissão de pasta em um servidor de arquivos, entrei no servidor, por algum motivo meu "sentido de aranha" fez com que abrisse o navegador, vamos para o Google e... Lá está a mensagem...
Então as coisas começaram a me intrigar:
- Servidores não possuem usuários, uma fonte a menos de possibilidade de infecção.
- Ao analisa-lo, fui com Sysinternals Autoruns, Procmon, Procexp, reza brava, choros de desespero... Nada de achar algo estranho no servidor...
- O firewall da rede? Será? Não, tudo normal...
Nada que eu fizesse conseguia achar algo diferente no servidor.
Deixei um pouco de lado pois precisava instalar alguns programas na maquina,
costumo utilizar meu notebook para a transferência dos arquivos, para aumentar um pouco a segurança, bloqueio praticamente todas as portas no meu firewall, incluindo RPC, SMB e as padrões do Windows,
para a transferência utilizo FTP, para isso conto o Filezilla Server, os arquivos são somente leitura para evitar que eu ganhe "presentes" em redes desconhecidas.
Conectei na rede sem fio do local (que inclusive está "do lado de fora do firewall"), enquanto transferia alguns programas básicos como 7-zip, InfraRecorder e LibreOffice, percebi que ao abrir o navegador do meu notebook, a mensagem apareceu...
Epa! Peguei um malware no meu notebook simplesmente por conectar na rede, mesmo com minha super segurança imaginária?
Não, ainda não...
O local possuía um segundo roteador de internet parado,
me conectei em sua rede sem fio e... Tudo ok no Google,
voltei na rede sem fio da empresa e... Tudo errado no Google...
Conectei meu celular na rede sem fio e...
Notem o endereço do banner.
Mesmo endereço no roteador que estava normal:
Resolvido, o problema está no roteador!
QUE??!!
Ok, eu já ouvi falar que roteadores pudessem ser infectados (Aqui e aqui), mas foi a primeira vez que vi isso ao vivo.
Sinceramente fiquei emocionado, tirei uma foto ao lado do rotea... Não...
Agora era o momento de resolver o problema,
então eu
- Vivo bom dia.
- Oi, sei que é estranho, mas tenho um roteador com vírus.
- TU TU TU TU TU
Segunda tentativa:
- Vivo bom dia.
- Oi, sei que é estranho, mas tenho um roteador com vírus.
- Ohh... Ok.
Testes, testes, testes, enviaram um técnico, trocaram o roteador, a mensagem sumiu.
Agora fico pensando, procurem na internet sobre o tema, vão perceber que muitas pessoas tem a convicção que roteadores não podem ser infectados,
porém quando o assunto é informática, não podemos ter nada como certo, se uma pessoa achar que o leitor de DVD pegou vírus, investigue primeiro,
imaginem quantos casos parecidos já aconteceram, e quantas pessoas foram cobradas para ter maquinas formatadas uma vez por semana por causa do vírus que volta?
Notas:
* Mensagem desconhecida? NÃO CLIQUE!!!! Ligue e encha o saco do seu técnico de confiança sem medo de ser feliz.
** Nunca use usuários administrativos, em suas maquinas,
um usuário administrativo a grosso modo são os que podem instalar programas,
use um usuário limitado para o dia a dia, pergunte ao seu técnico de confiança como fazer.
Bom, com a qualidade da maioria dos "técnicos" por ai, pode acontecer do mesmo também não saber disso... Bem... Boa sorte.
*** Em alguns casos mais graves, principalmente em maquinas importantes como do pessoal que cuida da parte financeira, sempre acho mais prudente re-instalar a maquina,
pois sinceramente não tenho ideia da imaginação do cara que criou o malware, e as modificações já foram feitas...
**** Atualizações do Windows são tão importantes quanto anti-vírus, ter anti-vírus é uma boa pratica, mas não ajuda se o seu Windows não estiver atualizado com as ultimas correções de segurança, dúvida? Veja esse link: https://technet.microsoft.com/library/security/ms11-071
Todo cuidado é pouco...