Quando o antivírus está infectado: o caso do ComboFix

Ícone do ComboFix

Talvez você não conheça o ComboFix. Se esse for o caso, sorte a sua. O software é um preferido dos técnicos de informática na hora de lidar com sistemas infectados, servindo como uma ferramenta de remoção que é específica e ao mesmo tempo não é, porque remove muitas pragas, mas que no entanto compartilham a característica de serem de difícil remoção.

Daí o nome “ComboFix”, porque conserta (fix) uma “combinação” de coisas.

Nesta terça-feira (29/01), o download do ComboFix no Bleeping Computer, um dos pontos oficiais de distribuição, foi retirado do ar. O motivo é que o programa estava infectado com o vírus Sality.

O autor do software, que é simplesmente conhecido como “sUBs”, ainda não se pronunciou publicamente -e talvez nem o faça. O ComboFix já teve diversos problemas antes, alguns causados por pragas que atacaram especificamente o ComboFix, e seu autor atribuiu isso ao vazamento de informações que ele considera “privilegiadas”. Por esse motivo, muitas das informações de uso do ComboFix não são públicas[1. sUBs reclamou até mesmo da página do ComboFix na Wikipedia, que foi então removida.].

De qualquer forma, o software é popular, e é inclusive usado por alguns assistentes aqui na Linha Defensiva. Já até conheci gente que pensa que desenvolvemos o ComboFix; não é o caso: nossa ferramenta se chama BankerFix e remove apenas vírus brasileiros.

Embora seja um caso triste, não é o primeiro e nem será o último em que um vírus contaminou uma fonte confiável de distribuição de softwares. Na época em que revistas de informática distribuíam CD-ROMs, já acontecia de, eventualmente, alguns programas estarem infectados. E isso, na época, era suficiente para criar epidemias de proporções que não seriam superadas até os vírus de rápida propagação pela internet.

Mas o problema maior e mais triste, e que se trata de uma falha total da indústria, é que ninguém mais se surpreende quando um antivírus detecta vírus em outra ferramenta antivírus. Ora, o próprio BankerFix é detectado como “vírus” por 7 dos 46 softwares do VirusTotal. Isso está totalmente equivocado, mas já não causa surpresa: desde sempre dizemos que dois antivírus não trabalham bem juntos e são incompatíveis[2. É bom deixar claro que o ComboFix e o BankerFix não são antivírus no sentido comum da palavra — não são softwares que detectam qualquer tipo de praga digital, e nem criam uma proteção em tempo real. Apesar disso, o uso dessas ferramentas em conjunto com um antivírus pode resultar em incompatibilidade, da mesma forma que qualquer outra ferramenta de remoção ou proteção contra vírus.].

Como um usuário sabe quando de fato acreditar em seu antivírus e quando ignorá-lo para executar a ferramenta? Essa questão é ainda mais infeliz quando lembramos que, em um mundo ideal, jamais seria preciso executar uma segunda ferramenta antivírus.

Cada dia faz menos sentido permanecer no modelo atual que busca apenas bloquear os programas ruins. É uma conta que já se perdeu, mas que se sabe estar na casa dos milhões. Vou apostar com você: não tem milhões de softwares que você vai executar na sua vida e não deveria haver dificuldade alguma em fazer uma lista e liberar apenas os softwares que você quer.

Mas seu antivírus está aí, neste minuto, procurando pela presença de milhões de softwares que você não quer em seu PC. É um esforço em sua maior parte inútil, porque você também não vai pegar milhões de vírus. O antivírus só precisa detectar o vírus que atinge seu PC. O resto — inclusive aquela estatística de “99,9%” dos testes antivírus – é irrelevante.