Philipe Cardoso Com 33 anos de idade, sou um carioca apaixonado por tecnologia e fotografia. Além de ser o criador do Portal Zoom Digital, que preserva sua essência desde os tempos em que era um blog, também sou um verdadeiro entusiasta e amante de todas as formas de tecnologia. Através do Portal, compartilho minha paixão pela tecnologia e trago as últimas novidades e tendências para os leitores. Também sou fascinado pelo mundo da fotografia, explorando o poder das imagens para capturar momentos únicos e transmitir histórias cativantes.

Novo vírus destrói sistemas windows

1 min read

Em um post publicado no blog da empresa Sophos,anuncia um malware do tipo worm que é capaz de danificar o computador da vítima, diferente da grande maioria dos outros worms que geralmente tem o objetivo de formar maquinas “zumbis”, o W32/Scar-H tem como objetivo danificar o funcionamento da maquina hospedeira.

Quando o W32/Scar-H é executado pela primeira vez, ele cria os seguintes arquivos:

\ Ntldr.exe (cópia dele mesmo)
\ Winnt.exe (cópia dele mesmo)
\ Autorun.inf

Quando alguma nova unidade é mapeada no windows ou seja, quando você coloca um novo dispositivo de armazenamento(pen-drives, cartões de memória e etc) na sua maquina, ele consegue infectar essa nova unidade copiando para ela dois arquivos ocultos:

\ Winnt.exe (cópia dele mesmo)
\ Autorun.inf

O arquivo Autorun.inf é para quando a unidade for acessada, o arquivo Winnt.exe seja executado.
Quando já instalado na maquina vítima, o w32/Scar-H começa a substituir todos os arquivos .exe do sistema(geralmente unidade c: ) começando pela pasta system.

O depurador padrão do windows é o arquivo Drwtsn32.exe que gera um .log de aplicativos que apresentam falhas e esse arquivo de log pode ser enviado para a microsoft. Imaginando que essas trocas de arquivos pelo nosso worm, possam gerar erros no sistema se o w32/scar-h já tiver substituído o Drwtsn32.exe e ocorrer uma falha de aplicativo o arquivo Drwtsn32.exe vai ser chamado novamente e assim criando mais um processo do w32/Scar-H e assim formando um loop, chegando uma hora onde a maquina irá rebootar e no reboot uma possível mensagem vai ser exibida:

Windows não pôde iniciar porque o seguinte arquivo está ausente ou corrompido: <Windows root>
\ System32 \ ntoskrnl.exe
Por favor, re-instalar uma cópia do arquivo acima.

Este arquivo da mensagem é o arquivo da imagem do kernel da familia do windows NT, significa que o nosso worm conseguiu o que queria, soluções possíveis para isso:

  • Tente copiar de um outro lugar o arquivo ntoskrnl.exe
  • Repare o sistema usando o cd do seu windows, utilizando o comando chkdsk /r
  • Formate seu sistema.
Philipe Cardoso Com 33 anos de idade, sou um carioca apaixonado por tecnologia e fotografia. Além de ser o criador do Portal Zoom Digital, que preserva sua essência desde os tempos em que era um blog, também sou um verdadeiro entusiasta e amante de todas as formas de tecnologia. Através do Portal, compartilho minha paixão pela tecnologia e trago as últimas novidades e tendências para os leitores. Também sou fascinado pelo mundo da fotografia, explorando o poder das imagens para capturar momentos únicos e transmitir histórias cativantes.

One Reply to “Novo vírus destrói sistemas windows”

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *