Por Fabio Assolini
Os sites da Aliança dos Profissionais de Análise de Segurança (ASAP), rede voltada a ajudar o usuário final na remoção de malwares, estão inacessíveis nos computadores infectados pela praga digital TDSS. Entre os sites bloqueados está a Linha Defensiva, que participa da Aliança desde 2005.
O código malicioso é um rootkit e busca se esconder de softwares de segurança e do usuário utilizando técnicas avançadas de programação. Essa infecção era mais comum em países de língua inglesa, porém o número de computadores brasileiros infectados com ele tem crescido, com vários casos registrados no Fórum Linha Defensiva. O nome TDSS deriva das iniciais dos arquivos criados pela infecção.
As primeiras versões da praga impediam o acesso apenas aos sites de segurança mais conhecidos como o Bleeping Computer, Geeks to Go, e até ao CastleCops, cujas atividades foram encerradas no dia 23. No entanto, uma análise realizada pelo ARIS-LD, em uma versão mais nova do código malicioso, mostrou que esse bloqueio foi estendido a todos os sites membros da ASAP, inclusive à Linha Defensiva.
Além de bloquear o acesso, o TDSS também não permite o download das ferramentas usadas para removê-lo, como o Malwarebytes Antimalware e o Avenger.
Sinais de infecção
Para saber se um computador está infectado, um sintoma claro é a impossibilidade de acessar sites da ASAP e os outros citados nesta reportagem.
Uma das maneiras de contornar esse bloqueio é o uso de web proxys — serviços de redirecionamento oferecidos gratuitamente. Com isso será possível buscar ajuda para removê-lo. Uma lista de serviços desse tipo está disponível no endereço Privax.us.
Outro sinal de que o PC está infectado é a criação de arquivos com as iniciais “TDSS” na pasta System32. A praga possui muitas variantes, porém sempre irá criar arquivos com essas iniciais.
Remoção
Não é possível dar instruções gerais que servirão para todos os casos, porém é possível dar início ao processo de remoção e reativar o acesso aos sites bloqueados, que, como a Linha Defensiva, prestam auxílio gratuito às vítimas.
Para desativar o TDSS temporariamente, clique com o botão direito do mouse sobre o ícone Meu computador, escolha Propriedades. Em seguida, navegue a até a guia Hardware e clique no botão Gerenciador de Dispositivos.
Na caixa que abrir, vá até o menu Exibir e marque a opção Exibir Drivers Ocultos. Na lista que aparece será possível ver o driver do TDSS:
Desativar o driver de sistema TDSSserv.sys, instalado pelo TDSS, desbloqueia o acesso aos sites que poderão auxiliar o internauta a remover a praga
Clique com o botão direito do mouse sobre o driver e escolha Desativar. Após essa etapa, acesse a página com instruções para remoção de malware e siga o passo-a-passo. Crie seu log e poste-o para análise no Fórum Linha Defensiva. Depois, basta aguardar atendimento.
