Em um post publicado no blog da empresa Sophos,anuncia um malware do tipo worm que é capaz de danificar o computador da vítima, diferente da grande maioria dos outros worms que geralmente tem o objetivo de formar maquinas “zumbis”, o W32/Scar-H tem como objetivo danificar o funcionamento da maquina hospedeira.
Quando o W32/Scar-H é executado pela primeira vez, ele cria os seguintes arquivos:
\ Ntldr.exe (cópia dele mesmo)
\ Winnt.exe (cópia dele mesmo)
\ Autorun.inf
Quando alguma nova unidade é mapeada no windows ou seja, quando você coloca um novo dispositivo de armazenamento(pen-drives, cartões de memória e etc) na sua maquina, ele consegue infectar essa nova unidade copiando para ela dois arquivos ocultos:
\ Winnt.exe (cópia dele mesmo)
\ Autorun.inf
O arquivo Autorun.inf é para quando a unidade for acessada, o arquivo Winnt.exe seja executado.
Quando já instalado na maquina vítima, o w32/Scar-H começa a substituir todos os arquivos .exe do sistema(geralmente unidade c: ) começando pela pasta system.
O depurador padrão do windows é o arquivo Drwtsn32.exe que gera um .log de aplicativos que apresentam falhas e esse arquivo de log pode ser enviado para a microsoft. Imaginando que essas trocas de arquivos pelo nosso worm, possam gerar erros no sistema se o w32/scar-h já tiver substituído o Drwtsn32.exe e ocorrer uma falha de aplicativo o arquivo Drwtsn32.exe vai ser chamado novamente e assim criando mais um processo do w32/Scar-H e assim formando um loop, chegando uma hora onde a maquina irá rebootar e no reboot uma possível mensagem vai ser exibida:
“Windows não pôde iniciar porque o seguinte arquivo está ausente ou corrompido: <Windows root>
\ System32 \ ntoskrnl.exe
Por favor, re-instalar uma cópia do arquivo acima.”
Este arquivo da mensagem é o arquivo da imagem do kernel da familia do windows NT, significa que o nosso worm conseguiu o que queria, soluções possíveis para isso:
- Tente copiar de um outro lugar o arquivo ntoskrnl.exe
- Repare o sistema usando o cd do seu windows, utilizando o comando chkdsk /r
- Formate seu sistema.
Aff se vc não sabe fazer virus não faz, testei na maquina virtual e não fez bosta alguma !