2 de agosto de 2006

Powershell, vírus e o worm MSH/Cibyz

http://news.com.com/Hackers+try+to+crack+Windows+PowerShell/2100-1002_3-6101106.html Essa foi a notícia do dia, segundo o serviço de alertas do Google. Mas não pra todo mundo... só pra mim, que programei ele pra ficar fazendo buscas por tudo que for relacionado à string "Powershell". E como isso saiu na imprensa, por aí, ele me avisou prontamente... Eu, como MVP em Scripting e conhecedor de um pouquinho de Powershell, me senti na obrigação de esclarecer que, mais uma vez, a imprensa e os sites que noticiaram o fato dessa maneira, erraram. E erraram por desconhecer a ferramenta e computação como um todo. O fato é que, pelo que eu vi, o Powershell com as configurações padrão é imune. O vírus vem via Kazaa, disfarçado com nomes comuns. O usuário baixa pensando se tratar de outra coisa e executa... a partir daí, o vírus, como qualquer outro script, passa a ter controle do micro para poder fazer coisas como sobrescrever arquivos com determinada extensão, alterar a barra de título do Internet Explorer e tudo mais. Só tem alguns detalhes que usuários comuns e repórteres desinformados não conhecem:

  • Os scripts do Powershell não vão ser executados por padrão quando houver um clique duplo em cima do ícone deles. Ao invés disso, o bloco de notas irá mostrar o código. Obviamente, esse comportamento pode ser alterado por um usuário mais experiente.
  • O Powershell também não executará scripts não assinados de fontes desconhecidas. E das conhecidas, ele vai pedir uma confirmação antes. Mais uma vez, esse é o comportamento padrão, mas pode ser alterado também.
  • Tudo que o "virus" faz pode ser feito com qualquer outro script, não precisava nem ser Powershell. Usando o Windows Script Host fica até mais bonitinho. Não há nenhuma técnica nova, e o script não explora nenhuma falha do Powershell. Logo, o "proof-of-concept" que colocaram em vários lugares é, no mínimo, engraçado. Tudo que ele faz é alterar o sistema e criar cópias dele com nomes engraçados na pasta de compartilhamento do Kazaa. Alterar arquivos e criar cópias deles se aprende nas primeiras aulas de qualquer cursinho de informática.
A propósito, eu gostaria de receber o código desse "vírus", por curiosidade mesmo. Talvez eu consiga fazer algumas outras versões dele em C, C++, Ruby e qualquer outra linguagem... Mais detalhes do pseudovirus aqui. E não fui só eu quem achou o "vírus" uma piada. Tem mais gente aqui e aqui. Bom, é isso. E se você tiver o código dele, pode me enviar. Ficarei muito agradecido e publicarei aqui, criarei um artigo e tudo mais explicando como fazer aquelas "tarefas avançadas" no Powershell.

Escrito por Vinicius Canto em 20:57. Novo comentário (Nenhum comentário). Link permanente.

Categorias dessa postagem:

Comentários

Postar um comentário

Postagem mais recente - Página inicial - Postagem mais antiga