16 de maio de 2014

O roteador possuído...

Recentemente fui contatado por uma empresa para verificar um problema com vírus em algumas maquinas, ao abrir o Google uma página um pouco diferente aparecia, vejam a mensagem abaixo:



Alguns usuários, porém, haviam clicado na mensagem*... Sendo que alguns possuíam privilégios administrativos em suas estações **...
Uma dessas maquinas foi infectada e foi necessário a reinstalação dos sistema para ter certeza que estaria tudo bem ***,
enquanto preparava a instalação nova, com os programas padrões e com cuidado redobrado nas atualizações do Windows ****,
me pediram uma permissão de pasta em um servidor de arquivos, entrei no servidor, por algum motivo meu "sentido de aranha" fez com que abrisse o navegador, vamos para o Google e... Lá está a mensagem...
Então as coisas começaram a me intrigar:

  • Servidores não possuem usuários, uma fonte a menos de possibilidade de infecção.
  • Ao analisa-lo, fui com Sysinternals Autoruns, Procmon, Procexp, reza brava, choros de desespero... Nada de achar algo estranho no servidor...
  • O firewall da rede? Será? Não, tudo normal...

Nada que eu fizesse conseguia achar algo diferente no servidor.

Deixei um pouco de lado pois precisava instalar alguns programas na maquina,
costumo utilizar meu notebook para a transferência dos arquivos, para aumentar um pouco a segurança, bloqueio praticamente todas as portas no meu firewall, incluindo RPC, SMB e as padrões do Windows,
para a transferência utilizo FTP, para isso conto o Filezilla Server, os arquivos são somente leitura para evitar que eu ganhe "presentes" em redes desconhecidas.

Conectei na rede sem fio do local (que inclusive está "do lado de fora do firewall"), enquanto transferia alguns programas básicos como 7-zip, InfraRecorder e LibreOffice, percebi que ao abrir o navegador do meu notebook, a mensagem apareceu...

Epa! Peguei um malware no meu notebook simplesmente por conectar na rede, mesmo com minha super segurança imaginária?
Não, ainda não...

O local possuía um segundo roteador de internet parado,
me conectei em sua rede sem fio e... Tudo ok no Google,
voltei na rede sem fio da empresa e... Tudo errado no Google...

Conectei meu celular na rede sem fio e...
Notem o endereço do banner.

Mesmo endereço no roteador que estava normal:

Resolvido, o problema está no roteador!
QUE??!!



Ok, eu já ouvi falar que roteadores pudessem ser infectados (Aqui e aqui), mas foi a primeira vez que vi isso ao vivo.
Sinceramente fiquei emocionado, tirei uma foto ao lado do rotea... Não...

Agora era o momento de resolver o problema,
então eu chamei um padre para exorcizar o bicho liguei para a operadora:
- Vivo bom dia.
- Oi, sei que é estranho, mas tenho um roteador com vírus.
- TU TU TU TU TU

Segunda tentativa:
- Vivo bom dia.
- Oi, sei que é estranho, mas tenho um roteador com vírus.
- Ohh... Ok.
Testes, testes, testes, enviaram um técnico, trocaram o roteador, a mensagem sumiu.


Agora fico pensando, procurem na internet sobre o tema, vão perceber que muitas pessoas tem a convicção que roteadores não podem ser infectados,
porém quando o assunto é informática, não podemos ter nada como certo, se uma pessoa achar que o leitor de DVD pegou vírus, investigue primeiro,
imaginem quantos casos parecidos já aconteceram, e quantas pessoas foram cobradas para ter maquinas formatadas uma vez por semana por causa do vírus que volta?


Notas:
* Mensagem desconhecida? NÃO CLIQUE!!!! Ligue e encha o saco do seu técnico de confiança sem medo de ser feliz.
** Nunca use usuários administrativos, em suas maquinas,
um usuário administrativo a grosso modo são os que podem instalar programas,
use um usuário limitado para o dia a dia, pergunte ao seu técnico de confiança como fazer.
Bom, com a qualidade da maioria dos "técnicos" por ai, pode acontecer do mesmo também não saber disso... Bem... Boa sorte.
*** Em alguns casos mais graves, principalmente em maquinas importantes como do pessoal que cuida da parte financeira, sempre acho mais prudente re-instalar a maquina,
pois sinceramente não tenho ideia da imaginação do cara que criou o malware, e as modificações já foram feitas...
**** Atualizações do Windows são tão importantes quanto anti-vírus, ter anti-vírus é uma boa pratica, mas não ajuda se o seu Windows não estiver atualizado com as ultimas correções de segurança, dúvida? Veja esse link: https://technet.microsoft.com/library/security/ms11-071


Todo cuidado é pouco...

3 comentários:

Etienne Santos disse...

Realmente tudo é possível em informática.
Sobre o "Leitor de DVD com vírus":
Lembre-se o vírus é um programa instalado. Se alguém conseguir, por algum motivo, substituir o drive do DVD para algo que instala um vírus, seu PC estará infectado. Ah, lembre-se também que isso pode estar no firmware, então não há formatação que apague isso.

Unknown disse...

hauhauhauhauuaauhu nas suas ferramentas tenha agua benta agora!

Alexandre Lara disse...

Cara, depois do Roteador Possuído, criei coragem e vou desabafar.
Uma cliente tinha um MACBOOK antigo, de uns 6 anos, já Intel. Ele travava em menos de dois minutos quando conectado à rede sem fio do apto, coisa que não acontecia nem com o meu note Dell nem com esse mesmo MAC em outras redes wifi.
Pode parecer sacanagem, desativei o wifi do modem/roteador da Tim, instalei um roteador TP-Link que ela já possui e deu certo, nada mais de travar.
A sacanagem é que o MAC começava ficando lento, até que nada acontecia quando você clicava em algo, até travar, só desligando no botão.
Estupidamente ridículo, mas muito difícil de explicar para alguém, sabe o TU TU TU TU... Seria bem difícil explicar para a Tim isso...
Abraços.

Postar um comentário