Papavírus de Pendrive

Colaboração: Fabiano Caixeta Duarte

Data de Publicação: 07 de Outubro de 2009

Dispositivos USB de armazenamento de massa (pendrives), amplamente utilizados nos computadores pessoais e corporativos, são frequentemente infectados por vírus executáveis em sistemas operacionais da Microsoft.

No meu contexto de trabalho, atendi a diversas solicitações de remoção de vírus por utilizar computador cujo sistema operacional é o GNU Linux, tendo em vista sua imunidade. Entretanto, com o aumento da demanda, percebi que precisava de uma solução com a qual pudesse atender meus usuários sem intervenção.

Temos disponíveis quiosques com Linux cuja finalidade é tão somente possibilitar a navegação em sites da Internet. Percebi que poderia implementar uma solução para estender a funcionalidade destes quiosques sem prejuízo à sua finalidade original.

A solução

Até onde pude observar, os vírus de pendrive se aproveitam do mecanismo de execução automática (AutoRun/AutoPlay) presente em sistemas operacionais da Microsoft. Este mecanismo utiliza um arquivo chamado autorun.inf que é lido no momento em que uma mídia removível é montada pelo sistema operacional.

Uma das informações constantes do arquivo autorun.inf é a localização absoluta do arquivo infectado dentro do pendrive.

O Papavírus identifica o arquivo infectado e o remove, bem como remove o arquivo autorun.inf. Além disto, para evitar que o pendrive seja infectado novamente, o papavírus aplica um simulacro de vacina que consiste na criação de um diretório autorun.inf que recebe os atributos oculto e somente leitura. A existência deste diretório impede que um vírus crie um arquivo com o mesmo nome, proporcionando uma espécie de imunização.

O Papavírus possui os requisitos a saber:

• Computador com conector USB fêmea padrão A
• Uso dedicado das portas USB para o papavírus
• Sistema operacional Linux com suporte a
• Sistema de arquivos VFAT
• Dispositivos de armazenamento de massa USB
• Xserver com Xdialog (para interação com o usuário)
• Usbmount (para montagem do pendrive)
• Mtools (para "imunização" do pendrive)

Implementando

O Papavírus em si consiste no script listado ao final desta seção, que deve ser chamado pelo gerenciador de dispositivos como resposta ao evento de conexão de um dispositivo USB.

Em nossa implementação, utilizamos quiosques com Debian 4.0, cujo gerenciador de dispositivos é o udev. Para fazer com que o udev chame o Papavirus, foi necessario alterar o conteúdo do arquivo /etc/udev/rules.d/z60_usbmount.rules:

  # Rules for USBmount
  
  #KERNEL=="sd*", BUS=="usb", ACTION=="add",    RUN+="/usr/share/usbmount/usbmount add"
  KERNEL=="sd*", BUS=="usb", ACTION=="add",    RUN+="/usr/local/scripts/papavirus.sh"
  KERNEL=="ub*", BUS=="usb", ACTION=="add",    RUN+="/usr/share/usbmount/usbmount add"
  KERNEL=="sd*",             ACTION=="remove", RUN+="/usr/share/usbmount/usbmount remove"
  KERNEL=="ub*",             ACTION=="remove", RUN+="/usr/share/usbmount/usbmount remove"
  

Para que o usbmount interaja com sistemas de arquivos vfat, é necessário que isto esteja previsto na variável FILESYSTEMS do arquivo /etc/usbmount/usbmount.conf.

Eis, agora, o script "Papavírus de Pendrive":

  #!/bin/bash
  
  # #######
  #
  # Papavirus de Pendrive
  #
  # Autor: Fabiano Caixeta Duarte
  # Data:  22/07/2009
  #
  # Remove virus de pendrive e o imuniza
  #
  # Dependencias: udev usbmount xdialog mtools
  #
  # #######
  
  /usr/share/usbmount/usbmount add
  
  PENDRIVE=$(df |grep sdb|awk '{print $NF}')
  
  if [ -n "$PENDRIVE" ]; then
  
    /bin/su - kiosk -c 'export DISPLAY=:0.0;/usr/bin/Xdialog --title \
    Papa-Virus --infobox "Aguarde enquanto procuro por virus" 7 50 5000'
  
    AUTORUN=$(find $PENDRIVE -type f -iname autorun.inf -maxdepth 1)
  
    if [ -f "$AUTORUN" ]; then
            OPENLINE=$(grep -i ^open $AUTORUN)
            VIRUS=${OPENLINE:5}
            VIRUS=$(find $PENDRIVE -name $(basename ${VIRUS//\\//}))
            chmod +w $VIRUS
            rm $VIRUS 2>/dev/null || (chmod +w $(dirname $VIRUS); rm $VIRUS)
            chmod +w $AUTORUN
            rm $AUTORUN
            sync
            MSG="Virus removido. Pode remover seu pendrive"
    else
            MSG="Nenhum virus foi encontrado. Pode remover seu pendrive"
    fi
  
    # Mesmo sem autorun.inf, o pendrive pode ter um diretorio recycler com binario infectado
    RECYCLER=$(find $PENDRIVE -iname recycler 2>/dev/null) && (chmod -R +w $RECYCLER; rm -R $RECYCLER)
  
    # Imunizar pen-drive
    mkdir $PENDRIVE/autorun.inf
    mcd p:
    mattrib +r +h autorun.inf
  
    /bin/su - kiosk -c "export DISPLAY=:0.0;/usr/bin/Xdialog --title Papa-Virus --infobox \"$MSG\" 7 60 60000"
  fi

Observação: o xdialog precisa ser executado pelo dono da sessão X (kiosk, no nosso contexto) em execução nos quiosques.

Conclusão

Virus para sistemas operacionais da Microsoft não deveriam, a princípio, preocupar usuários de sistemas operacionais livres. Na verdade, não preocupam. Nos preocupamos com os colegas que por uma razão ou por outra, utilizam aqueles sistemas e ficam vulneráveis a certos problemas.

Esta dica mostrou mais uma situação em que o software livre se revela uma ferramenta eficiente para solucionar problemas do dia-a-dia.

Ficarei feliz em receber sugestões de melhoria.

Complemento um pouco off-topic

Fui informado de que a Microsoft lançou uma atualização para seus sistemas que serve para modificar o funcionamento do mecanismo Autorun/Autoplay. Trata-se da atualização KB971029, que faz com que o mecanismo seja aplicável apenas para CDs e DVDs.

Fabiano Caixeta Duarte é Especialista em Redes de Computadores, com foco no gerenciamento de serviços de rede em sistems operacionais Unix-like e desenvolvimento de soluções em shell-script e perl.