Estava eu navegando tranqüilamente na Internet, com o Internet Explorer, quando de repente aparece uma mensagem de alerta do meu antivirus, o
avast! 4.7 home, dizendo que havia sinais de um vírus chamado "CVE-2007-0038" em um arquivo .ani presente no site em que estava (não lembro qual). Segui as recomendações do antivirus, que disse apenas para interromper a conexão com o site para impedir que o arquivo fosse baixado.
Fiquei preocupado e escaneei o meu C:\. O antivirus não acusou nenhum arquivo infectado. Depois fui tentar fazer um escaneamento de boot mas o antivirus não conseguiu fazê-lo. Quando vai começar o teste de boot aparece uma mensagem muito rapidamente, tanto que nem dá para ler direito, que fala sobre uma "exceção fatal" e algo sobre a memória.
Uma segunda coisa que me preocupa é que as barras de rolagem das janelas dão, de vez em quando, umas deslizadinhas sem meu comando.
Procurei algo no Google sobre o "CVE-2007-0038" e achei isto:
Todo sobre la vulnerabilidad en cursores animados
http://www.vsantivirus.com/vul-cve-2007-0038.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Microsoft ha confirmado una vulnerabilidad que afecta a diversas versiones de Windows, y que puede ser explotada a través de archivos .ANI.
La extensión .ANI corresponde a los cursores e iconos animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes).
La vulnerabilidad se produce por un desbordamiento de pila, cuando Windows procesa archivos .ANI mal formados, en los cuáles la información de referencia en sus cabezales ha sido alterada.
Un atacante puede provocar un fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico, de modo tal que el kernel de Windows calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando la ejecución de código.
Se han detectado exploits activos, que descargan y ejecutan diferentes troyanos desde Internet. Los exploits reportados hasta el momento, son interceptados por NOD32, e identificados como Win32/TrojanDownloader.Ani.G o Win32/TrojanDownloader.Ani.Gen.
Microsoft ha publicado un aviso de seguridad (Microsoft Security Advisory), identificado como 935423, donde confirma la existencia del exploit, y se refiere al problema que causa esta vulnerabilidad.
La ejecución de código mediante este exploit, se realiza con los mismos privilegios del usuario actual.
La vulnerabilidad afecta a las siguientes versiones de sistemas operativos soportados actualmente por Microsoft:
[...]
Microsoft Windows XP Service Pack 2
[...]
http://www.vsantivirus.com/vul-cve-2007-0038.htmVisto isso tudo não resta nenhuma dúvida de que fui infectado, mas o antivirus não detecta nenhum arquivo infectado quando faz o escaneamento!
Alguém pode me dar mais dicas sobre este problema e até me recomendar um antivirus bom que poderia detectar e remover esta praga do meu PC?
(Antes que me perguntem, sim, já baixei e comecei a usar o Firefox)
Tópico: Creio que fui infectado por um vírus... (Lida 581 vezes)