Em outro artigo anterior, vimos um pequeno truque para ocultar arquivos dentro de uma foto com a extensão .jpg.
Nesse caso, tudo o que foi feito foi criar um arquivo winrar dentro do arquivo de imagem com o que você quiser dentro.
Claramente, o tamanho desse arquivo .jpg se torna maior, dependendo de quantos arquivos estão nele e, para abri-lo, basta "Abrir com .." e escolher Winrar.
Mas os vírus não se escondem assim, não apenas seria fácil encontrá-lo, mas um arquivo .rar é completamente inofensivo, não abre nada na memória e não ativa nenhum processo.
Eles são chamados ADS ( Alternate Data Stream ), aqueles arquivos que estão ocultos em outro arquivo, sem alterar seu tamanho e permanecendo completamente ocultos da exibição do Windows .
Quando você abre e executa um arquivo que contém um ADS, ele ativa o ADS e inicia o programa sob ele.
Neste artigo, vemos como você pode criar facilmente um ADS com seu PC e ocultar qualquer arquivo dentro de outro, para que, quando você executa o ADS, ele seja ativado em seu lugar.
1) Abra o Windows Explorer, vá para o disco C: e crie uma nova pasta para a qual podemos chamar de "Anúncios".
2) Dentro, para testar o experimento, crie um novo arquivo de texto e chame-o de "test.txt" e copie qualquer foto ou imagem que esteja no computador e que possa ser renomeada para immagine_test.jpg.
3) Abra o prompt de comando encontrado em Star -> Programas -> Acessórios ou vá em Iniciar -> Executar -> e escreva " cmd "
4) Agora escreva cd \ ads para entrar, via Dos, na pasta criada anteriormente.
5) Para criar um ADS elementar e começar a entender o que são, você pode escrever " eco Ciao bello> test.txt: testonascosto.txt "; você pode perceber que nenhum arquivo foi adicionado à pasta de anúncios.
6) Escreva no prompt " notepad test.txt: testonascosto.txt " e como se por mágica o bloco de notas fosse aberto com o texto escrito antes; de fato, foi ocultado algo escrito que permanece invisível no computador, exceto pela execução desse tipo de comando.
Se a curiosidade começar a agradar o espírito hacker que existe em cada um de nós, vamos em frente e ver o que mais pode ser feito.
7) Se ocultar um texto só pode ser usado por espiões da CIA, um hacker pode pensar em usar essa técnica para ocultar um arquivo ruim dentro de um bom.
Para fazer um experimento prático, você pode copiar o arquivo calc.exe na pasta Anúncios, localizada na pasta do sistema Windows e usada para abrir a calculadora normal.
Para copiar o arquivo para a pasta Anúncios, basta escrever " copiar C: \ windows \ system32 \ calc.exe c: \ ads " no prompt de comando.
8) Agora você pode inserir o arquivo image_test.jpg que tiramos anteriormente e que ainda deve estar dentro da pasta Anúncios, dentro do arquivo calc.exe.
Para fazer essa infiltração, você deve escrever na janela preta do DOS que até agora nunca fechamos: " digite immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultado: se você iniciar o arquivo calc.exe, nada de estranho acontece; se você iniciar do calc o arquivo calc.exe, escrevendo assim: start ./calc.exe : immagine_test.jpg ou inicie C: \ ads \ calc.exe: immagine_test.jpg (sempre usa todo o caminho), ele abre 'imagem escolhida antes e não a calculadora; se você excluir o arquivo image_test da pasta Anúncios, o resultado não será alterado.
Isso significa que o arquivo jpg foi oculto dentro do arquivo calc.exe, não é mais visível, o tamanho do calc.exe permaneceu inalterado e não há nada que sinalize a presença do fluxo de dados.
Diferentemente do método usado com o Winrar, desta vez, não há arquivamento e o arquivo oculto é ativado e é executado quando o host é iniciado, clicando no arquivo calc.exe da pasta aberta, o arquivo a imagem não aparece.
Você também pode ocultar arquivos dentro de uma pasta que parecerá estar vazia por engano.
10) Você pode criar uma nova pasta dentro do Ads e chamá-la de Ads2 e, a partir do Dos, escreva o cd Ads2 e digite o comando " type c: \ ads \ calc.exe>: pippo.exe "; o arquivo calc.exe está na pasta Ads2, mas você não pode vê-lo, nem com o comando " dir " que mostra os arquivos nos diretórios nem explorando recursos com a interface gráfica normal.
Esses truques são bastante antigos, mas muitos são desconhecidos também porque, de fato, eles não têm utilidade real, pelo menos para usuários normais; eles são os maus hackers que os exploram e, no passado, causaram muitos danos usando o Data Streams.
De fato, imaginar que, no exemplo acima, no ponto 8, em vez de um arquivo de imagem normal e inofensivo, ele tivesse escondido dentro da calculadora, um vírus real, seria uma dor.
Se o vírus real se chamar, por exemplo, svchost.exe, que está presente várias vezes no gerenciador de tarefas, seria muito difícil encontrá-lo.
Ele não termina aqui, porque um hacker especialista sabe que programas como a calculadora ou o bloco de notas estão sempre no caminho C: \ Windows \ System32; portanto, potencialmente, ele pode corromper esse arquivo, sem ter que criar nada novo.
Ainda assim, sem incomodar os vírus, você pode ocultar um arquivo de 10 GB dentro de um 10 Kbyte e, sem entender o porquê, pode se encontrar com o PC bloqueado e sem mais espaço.
Felizmente, esses problemas de segurança são amplamente superados, os antivírus encontram vírus ocultos em tempo real e é muito improvável que sofram esse ataque se você estiver protegido.
A única recomendação que tenho a fazer é que, dada a facilidade com que você pode criar um arquivo malicioso dessa maneira, seria o caso de não aceitar nenhum arquivo de estranhos, talvez enviado via MSN ou por correio, mesmo que fossem fotos, imagens, música, arquivos de texto ou qualquer outra coisa.
Para o registro, o ADS funciona apenas em partições de disco NTFS e não no FAT32. Portanto, para excluir um arquivo ADS, você pode excluir aquele que o hospeda, excluindo-o ou movendo-o para uma partição FAT32.
Existem ferramentas que podem identificar os Data Streams, e o melhor é o famoso Hijackthis que já encontramos várias vezes neste blog.
No Hijackthis, ao abrir as "Ferramentas diversas", você encontrará um utilitário chamado "ADS Spy", que varre os Streams e, se você deseja removê-los, mas, honestamente, seria um zelo excessivo pela segurança também porque muitos ADS são úteis para o Windows e você correria o risco de causar danos.
Nesse caso, tudo o que foi feito foi criar um arquivo winrar dentro do arquivo de imagem com o que você quiser dentro.
Claramente, o tamanho desse arquivo .jpg se torna maior, dependendo de quantos arquivos estão nele e, para abri-lo, basta "Abrir com .." e escolher Winrar.
Mas os vírus não se escondem assim, não apenas seria fácil encontrá-lo, mas um arquivo .rar é completamente inofensivo, não abre nada na memória e não ativa nenhum processo.
Eles são chamados ADS ( Alternate Data Stream ), aqueles arquivos que estão ocultos em outro arquivo, sem alterar seu tamanho e permanecendo completamente ocultos da exibição do Windows .
Quando você abre e executa um arquivo que contém um ADS, ele ativa o ADS e inicia o programa sob ele.
Neste artigo, vemos como você pode criar facilmente um ADS com seu PC e ocultar qualquer arquivo dentro de outro, para que, quando você executa o ADS, ele seja ativado em seu lugar.
1) Abra o Windows Explorer, vá para o disco C: e crie uma nova pasta para a qual podemos chamar de "Anúncios".
2) Dentro, para testar o experimento, crie um novo arquivo de texto e chame-o de "test.txt" e copie qualquer foto ou imagem que esteja no computador e que possa ser renomeada para immagine_test.jpg.
3) Abra o prompt de comando encontrado em Star -> Programas -> Acessórios ou vá em Iniciar -> Executar -> e escreva " cmd "
4) Agora escreva cd \ ads para entrar, via Dos, na pasta criada anteriormente.
5) Para criar um ADS elementar e começar a entender o que são, você pode escrever " eco Ciao bello> test.txt: testonascosto.txt "; você pode perceber que nenhum arquivo foi adicionado à pasta de anúncios.
6) Escreva no prompt " notepad test.txt: testonascosto.txt " e como se por mágica o bloco de notas fosse aberto com o texto escrito antes; de fato, foi ocultado algo escrito que permanece invisível no computador, exceto pela execução desse tipo de comando.
Se a curiosidade começar a agradar o espírito hacker que existe em cada um de nós, vamos em frente e ver o que mais pode ser feito.
7) Se ocultar um texto só pode ser usado por espiões da CIA, um hacker pode pensar em usar essa técnica para ocultar um arquivo ruim dentro de um bom.
Para fazer um experimento prático, você pode copiar o arquivo calc.exe na pasta Anúncios, localizada na pasta do sistema Windows e usada para abrir a calculadora normal.
Para copiar o arquivo para a pasta Anúncios, basta escrever " copiar C: \ windows \ system32 \ calc.exe c: \ ads " no prompt de comando.
8) Agora você pode inserir o arquivo image_test.jpg que tiramos anteriormente e que ainda deve estar dentro da pasta Anúncios, dentro do arquivo calc.exe.
Para fazer essa infiltração, você deve escrever na janela preta do DOS que até agora nunca fechamos: " digite immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultado: se você iniciar o arquivo calc.exe, nada de estranho acontece; se você iniciar do calc o arquivo calc.exe, escrevendo assim: start ./calc.exe : immagine_test.jpg ou inicie C: \ ads \ calc.exe: immagine_test.jpg (sempre usa todo o caminho), ele abre 'imagem escolhida antes e não a calculadora; se você excluir o arquivo image_test da pasta Anúncios, o resultado não será alterado.
Isso significa que o arquivo jpg foi oculto dentro do arquivo calc.exe, não é mais visível, o tamanho do calc.exe permaneceu inalterado e não há nada que sinalize a presença do fluxo de dados.
Diferentemente do método usado com o Winrar, desta vez, não há arquivamento e o arquivo oculto é ativado e é executado quando o host é iniciado, clicando no arquivo calc.exe da pasta aberta, o arquivo a imagem não aparece.
Você também pode ocultar arquivos dentro de uma pasta que parecerá estar vazia por engano.
10) Você pode criar uma nova pasta dentro do Ads e chamá-la de Ads2 e, a partir do Dos, escreva o cd Ads2 e digite o comando " type c: \ ads \ calc.exe>: pippo.exe "; o arquivo calc.exe está na pasta Ads2, mas você não pode vê-lo, nem com o comando " dir " que mostra os arquivos nos diretórios nem explorando recursos com a interface gráfica normal.
Esses truques são bastante antigos, mas muitos são desconhecidos também porque, de fato, eles não têm utilidade real, pelo menos para usuários normais; eles são os maus hackers que os exploram e, no passado, causaram muitos danos usando o Data Streams.
De fato, imaginar que, no exemplo acima, no ponto 8, em vez de um arquivo de imagem normal e inofensivo, ele tivesse escondido dentro da calculadora, um vírus real, seria uma dor.
Se o vírus real se chamar, por exemplo, svchost.exe, que está presente várias vezes no gerenciador de tarefas, seria muito difícil encontrá-lo.
Ele não termina aqui, porque um hacker especialista sabe que programas como a calculadora ou o bloco de notas estão sempre no caminho C: \ Windows \ System32; portanto, potencialmente, ele pode corromper esse arquivo, sem ter que criar nada novo.
Ainda assim, sem incomodar os vírus, você pode ocultar um arquivo de 10 GB dentro de um 10 Kbyte e, sem entender o porquê, pode se encontrar com o PC bloqueado e sem mais espaço.
Felizmente, esses problemas de segurança são amplamente superados, os antivírus encontram vírus ocultos em tempo real e é muito improvável que sofram esse ataque se você estiver protegido.
A única recomendação que tenho a fazer é que, dada a facilidade com que você pode criar um arquivo malicioso dessa maneira, seria o caso de não aceitar nenhum arquivo de estranhos, talvez enviado via MSN ou por correio, mesmo que fossem fotos, imagens, música, arquivos de texto ou qualquer outra coisa.
Para o registro, o ADS funciona apenas em partições de disco NTFS e não no FAT32. Portanto, para excluir um arquivo ADS, você pode excluir aquele que o hospeda, excluindo-o ou movendo-o para uma partição FAT32.
Existem ferramentas que podem identificar os Data Streams, e o melhor é o famoso Hijackthis que já encontramos várias vezes neste blog.
No Hijackthis, ao abrir as "Ferramentas diversas", você encontrará um utilitário chamado "ADS Spy", que varre os Streams e, se você deseja removê-los, mas, honestamente, seria um zelo excessivo pela segurança também porque muitos ADS são úteis para o Windows e você correria o risco de causar danos.
