Rootkits são assustadores e vem se tornando uma ameaça cada vez maior aos nossos computadores todos os dias. No passado se os nossos computadores estavam infectados com um malware, simplesmente removíamos e limpávamos a infecção, agora que os rootkits são comumente empacotados com outros tipos de malwares, este processo de limpeza se tornou ainda mais difícil de fazer. Este tutorial irá abordar como utilizar o
F-Secure Blacklight para examinar seu computador em busca dos rootkits e ajudá-lo a removê-los.
Usando o Blacklight para remover rootkits de seu computadorO primeiro passo é baixar o Blacklight. Você pode fazer o download diretamente do site da F-Secure neste link abaixo.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]Depois de clicar no link acima, você será presenteado com um prompt perguntando o que você gostaria de fazer com o arquivo. Sugiro que você salve o arquivo diretamente em seu desktop onde vamos executá-lo de lá. Depois que o arquivo terminou de baixar você vai ver um ícone similar ao da figura abaixo.
Para iniciar o programa simplesmente dê um duplo clique no ícone
blbeta.exe e você será presenteado com o contrato de licença, como mostrado na figura abaixo.
Para começar a scanear o seu computador em busca dos possíveis rootkits, pressione o botão Scan. O Blacklight vai agora iniciar o escaneamento no seu computador em busca de arquivos ou processos ocultos.Enquanto analisa os processos e arquivos ele irá atualizar o seu status para mostrar o que está verificando e se encontrar ítens ocultos ele vai listá-los, como mostrado na figura abaixo.
Quando a análise é feita, o botão Avançar ficará disponível e você deve clicar sobre ele. Se o Blacklight não encontrar nenhum iten escondido, você verá uma tela mostrando que itens ocultos não foram encontrados. Você pode então pressionar o botão Sair para sair do programa. Se, por outro lado,o Blacklight encontrar itens escondidos, você será presenteado com uma tela semelhante a figura abaixo que mostra uma lista de processos e arquivos ocultos no seu computador.
Na tela de itens ocultos, como mostra a figura acima, você verá uma lista dos processos e programas que estão escondidos no seu computador. Ao lado de cada arquivo há um ícone que designa o tipo de item que é. Estes tipos são explicados na tabela abaixo.
Tabela: diferentes tipos de itens encontrados pelo Blacklight: - Este ícone representa um arquivo que está sendo escondido.
- Este ícone representa um processo que está sendo escondido.
- Este ícone representa um processo e seu arquivo associado que está sendo escondido.
A fim de marcar um determinado arquivo ou processo que você gostaria de limpar, você deve clicar com o botão esquerdo do mouse uma vez em uma entrada para que ele possa ser destacada e depois pressionar o botão Renomear. Quando você fizer isso, a ação será alterada de Nenhum para Mudar o nome. Depois de definir um arquivo para mudar o nome, você pode desmarcá-lo pressionando o botão None(nenhum) para que nenhuma ação seja executada sobre este item específico.
Se você quiser mais informações sobre a entrada, você pode dar um duplo clique sobre ela com o mouse. Isso fará com que se abra uma pequena tela mostrando-lhe informações mais detalhadas sobre o arquivo ou processo, como a localização do arquivo, as informações de descrição e as informações da empresa. É comum a descrição e informações sobre a empresa estar em branco por isso não se preocupe se não houver nada listado lá.
É importante notar que os rootkits podem ocultar processos e arquivos legítimos . Por exemplo, o rootkit na tela acima está escondendo Explorer.EXE Winlogon.exe e ambos são arquivos e processos legítimos do Microsoft Windows. Assim, quando selecionar os arquivos que você gostaria de mudar o nome, por favor, verifique se você está renomeando apenas arquivos malware, se renomear os arquivos errados poderá causar sérios problemas com a instalação do Windows.
Depois de ter seleccionado todos os arquivos que você gostaria de mudar o nome, você deve pressionar o botão Next(próximo). Uma tela de aviso informando que renomear arquivos legítimos pode fazer com que o Windows pare de funcionar corretamente. Se você ainda quiser continuar renomeando os arquivos, coloque uma marca na caixa de seleção que entendeu o aviso e desejo continuar e, em seguida, pressione o botão OK. Você deve então pressionar reiniciar agora e clicar no botão OK novamente para reiniciar seu computador e renomear os arquivos selecionados.
Para usuários avançados:Quando Blacklight renomeia um arquivo, ele faz isso adicionando-o para a seguinte chave do Registro:
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager] "PendingFileRenameOperations" Quando o Windows é iniciado ele verifica este valor do Registro e exclui ou renomea os arquivos listados neste valor com base nas instruções dadas. Infelizmente existem alguns malwares que conhecem esse valor, e quando encontram todos os dados dele, limpam esse valor para que o Windows não consiga realizar a operação desejada no arranque. Quando isso acontece, você pode precisar de usar métodos alternativos de remoção do rootkit como o processo de remoção de um boot cd ou outro offline.
Quando o computador é reiniciado ele vai renomear os arquivos com
extensão. Ren. Porque esses arquivos não serão mais carregados no arranque, e agora irão se tornar visíveis para que você possa eliminá-los. Por exemplo, se nós tivéssemos mudado os arquivos:
klgcptini.dat
fux87.ini Eles agora se chamarão: klgcptini.dat.ren
fux87.ini.renCaso esses arquivos sejam confirmados como sendo malwares, então você pode excluí-los do seu computador. Após o scan o Blacklight irá criar um log na mesma pasta que você executou o programa. Se você seguiu os passos deste tutorial, a pasta será criada no seu Desktop. O nome do arquivo de log irá começar com fsbl-seguido pelos dados e alguns outros números. Um exemplo é
fsbl-20060518203951.log.Após a eliminação dos Rootkits, é aconselhável que você examine o seu computador com um antivírus e um software anti-spyware para remover quaisquer arquivos restantes.