Não deixe de conferir as postagens antigas
nas sessões ao lado!!! --->


terça-feira, 3 de junho de 2014

Gbplugin apronta novamente?

Antes de começar vocês lembram do post Problema após atualização do Windows no dia 10/04/13? Foi um incidente com patch da Microsoft para Windows 7 32bits, um dos causadores deste foi devido a alguma incompatibilidade com o famoso plugin Gbplugin utilizado para acesso a maiorias dos websites de bancos brasileiros (por isso que praticamente só maquinas no Brasil foram afetadas)...

Bom, essa semana fiquei sabendo de um incidente envolvendo estações e notebooks Windows XP de diversos fabricantes, onde as mesmas travavam "aparentemente" logo após finalização da execução do POST da BIOS, ou seja, não aparecia nem o splash-screen.

Pessoal tentou scandisk (chkdsk), me senti um pouco velho agora kkkkk, bom..., tentaram chkdsk, fixmbr, fixboot, antivirus e nada, a máquina não inicializava nem em modo de segurança...

Após este cenário pareceu claro que era a concretização do boato que vi na Internet (começo deste ano) sobre lançamento em massa de malwares específicos para Windows XP após termino de seu suporte pela Microsoft neste ano. Tendo em vista que ainda há varias empresas com este SO em seus ambientes, como profissional da área de segurança da informação é evidente que a primeira recomendação seria a de troca de sistema operacional para um versão com suporte pelo fabricante. Até podemos pensar que poderia ser um bom momento para fazer este upgrade, mas sabemos que não é tão simples assim, no mundo corporativos precisamos vencer varias barreiras e quem trabalha na area de TI sabe como que é...

Nas maquinas afetadas que analisei, as mesmas paravam após carregamento do arquivo:

%SystemRoot%\System32\drivers\ntfs.sys

Primeira solução foi substituir arquivo ntfs.sys... Fiz e não deu certo, logo pensei, será que não pode ser um dos "prometidos" malwares que está corrompendo o "ntfs.sys", ou seja, será que ele não está ofuscado em outro arquivo anterior ao carregamento do "ntfs.sys"? Ou seja, por mais que eu troque o arquivo para uma versão correta o mesmo pode estar sendo substituído a cada boot por uma versão corrompida...  

Próximo passo foi ativar o log de boot do Windows em uma máquina que não foi afetada e percebi que após carregamento do "ntfs.sys" ele carregava um tal de "gbpkm.sys". Aí pensei será que o Windows não pode estar travando ao carregar este arquivo? Usei um liveCD para bootar uma das maquinas afetadas e procurar por este arquivo, quando vejo a pasta me deparo com o tal do "gbpkm.sys" lá, de cara percebo que ele tem ≅ 2,5GB... oloko!!! Logo abaixo dele havia um chamado "gbpkm.sys.off" na hora pensei que só podia em ser um malware, pois comparei o tamanho do "gbpkm.sys.off" da máquina afetada com o "gbpkm.sys" da máquina boa e vi que os dois tinham exatamente o mesmo tamanho em bytes, mas só me recordo do valor em KB que era 45.

Para solução do incidente foi renomeado o "gbpkm.sys" para "old_gbpkm.sys" e renomeado o "gbpkm.sys.off" para "gbpkm.sys" e reiniciado a máquina. Pronto, incidente resolvido! A máquina inicializou normalmente, como se nada tivesse acontecido...

Mas ainda me veio em mente sobre qual era a finalidade do "gbpkm.sys" para o sistema operacional (pois devido ao comportamento parecia claro se tratar de um possível malware), pesquisei na internet e percebi que este arquivo pertence ao plugin Gbplugin. Não teve como não pensar... Mas você de novo?

Bom, deve ser por isso que encontramos várias pessoas na Internet reclamando deste plugin...

NOTA: Uma boa ideia é apagar o arquivo "old_gbpkm.sys" (arquivo com 2,5GB).

Nenhum comentário:

Postar um comentário

 
BlogBlogs.Com.Br