Pular para o conteúdo

Hoje, no meu trabalho, um usuário relatou que o acesso a sites pela sua máquina estava muito lento. Verificando a máquina (um notebook), constatei a lentidão. Loguei na máquina roteadora local e, com o tcpdump apontado para o IP do referido usuário, liguei o note. Resultado:

17:00:29.928829 IP 172.20.6.101.2658 > 209.191.93.52.80: S 1594643053:1594643053(0) win 65535 <mss 1460,nop,nop,sackOK>
17:00:29.928993 IP 209.191.93.52.80 > 172.20.6.101.2658: S 316183073:316183073(0) ack 1594643054 win 5840 <mss 1460,nop,nop,sackOK>
17:00:29.929223 IP 172.20.6.101.2658 > 209.191.93.52.80: . ack 316183074 win 65535
17:00:29.940210 IP 172.20.6.101.2658 > 209.191.93.52.80: F 1594643054:1594643054(0) ack 316183074 win 65535
17:00:29.940480 IP 209.191.93.52.80 > 172.20.6.101.2658: F 316183074:316183074(0) ack 1594643055 win 5840
17:00:29.940711 IP 172.20.6.101.2658 > 209.191.93.52.80: . ack 316183075 win 65535
17:00:30.039752 IP 172.20.6.101.2660 > 209.191.93.52.80: S 3101095795:3101095795(0) win 65535 <mss 1460,nop,nop,sackOK>
17:00:30.039913 IP 209.191.93.52.80 > 172.20.6.101.2660: S 311045640:311045640(0) ack 3101095796 win 5840 <mss 1460,nop,nop,sackOK>
17:00:30.040127 IP 172.20.6.101.2660 > 209.191.93.52.80: . ack 311045641 win 65535
17:00:30.049620 IP 172.20.6.101.2660 > 209.191.93.52.80: F 3101095796:3101095796(0) ack 311045641 win 65535
17:00:30.049779 IP 209.191.93.52.80 > 172.20.6.101.2660: F 311045641:311045641(0) ack 3101095797 win 5840
17:00:30.049995 IP 172.20.6.101.2660 > 209.191.93.52.80: . ack 311045642 win 65535
17:00:30.144803 IP 172.20.6.101.2662 > 209.191.93.52.80: S 2211717516:2211717516(0) win 65535 <mss 1460,nop,nop,sackOK>
17:00:30.144964 IP 209.191.93.52.80 > 172.20.6.101.2662: S 313679525:313679525(0) ack 2211717517 win 5840 <mss 1460,nop,nop,sackOK>
17:00:30.145178 IP 172.20.6.101.2662 > 209.191.93.52.80: . ack 313679526 win 65535
17:00:30.155046 IP 172.20.6.101.2662 > 209.191.93.52.80: F 2211717517:2211717517(0) ack 313679526 win 65535
17:00:30.155207 IP 209.191.93.52.80 > 172.20.6.101.2662: . ack 2211717518 win 5840
17:00:30.171331 IP 209.191.93.52.80 > 172.20.6.101.2662: F 313679526:313679526(0) ack 2211717518 win 5840
17:00:30.171534 IP 172.20.6.101.2662 > 209.191.93.52.80: . ack 313679527 win 65535

Eram cerca de 7.000 pacotes por minuto. E 209.191.93.52 faz parte do range do Yahoo!.

Resolvi instalar o ZoneAlarm no notebook e o mesmo mostrou dois arquivos estranhos tentando acessar a Internet: avgexem.exe e avgexen.exe. Estes arquivos estavam localizados diretamente em C:\Program File. File sem “s” no fim. Quando bloqueados, o note operou normalmente. Depois de um reboot, ao permitir o acesso dos dois executáveis à Internet, tudo começou novamente.

Depois de detectar o worm e removê-lo (usei um Debian em um pendrive para apagar os arquivos), procurei algo no Google mas encontrei muito pouca coisa. A referência mais importante foi:

http://www.superantispyware.com/malwarefiles/AVGEXEM.EXE.html

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

oito − dois =