Outro dia no meu serviço, tivemos um pequeno problema com um vírus na rede, este vírus mandava a impressora imprimir um monte de lixo, pois a impressora estava ligada na rede.
Para descobrir de onde estava vindo este vírus criei uma pasta compartilhada no Ubuntu, e liberei a mesma para acesso total. Mas antes disto liguei um Sniffer(Wireshark) para saber qual PC que estava colocando esse vírus no meu PC. Resumindo, quando esse vírus se distribuia pela rede ele era impresso pela impressora. Dessa maneira consigo capturar ele na rede e saber de que máquina ele vem.
O nome do vírus que estava na minha pasta compartilhada era "lyqdkx.exe", utilizei o site VirusTotal para verificar se era realmente um vírus. Veja o relatório que foi gerado pelo VirusTotal.
Segundo este relatório o Kaspersky 7.0.0.125 detectou como sendo um Trojan, e a Microsoft detectou como um Worm.
Quando o vírus foi copiado para dentro da pasta compartilhada, parei o Wireshark e verifiquei o relatório em busca do nome "lyqdkx.exe". E lá estava o ip do PC contaminado.
Veja o relatório do Wireshark:
Cada linha do primeiro campo(em amarelo), de cima para baixo, é um pacote capturado na rede. Observe a coluna Source, contém o ip de origem do pacote, esse é o PC que gravou o arquivo na minha pasta compartilhada.No campo do meio tem o conteúdo do pacote, a variavel QUERY_PATH_INFO Parameters, que está em SMB (Server Message Block Protocol), e guarda o nome do arquivo em File name. Neste campo também temos o nome do PC que gravou em SMB (Server Message Block Protocol)->SMB Header->User ID: 100 (NOMEDOPC\nomedousuario) .
O terceiro campo é apenas o conteúdo em hexadecimal.
Para gerar este relatório, depois que o arquivo foi gravado na pasta, no Wireshark clique em Edit->Find Packet... e em Find By marque String, no campo Filter digite o nome do arquivo, no meu caso "lyqdkx.exe".
Resolvendo o problema: Como tinhamos o ip e nome da máquina que estava ploriferando vírus na rede, ficou fácil de achar o computador. O computador era um notebook particular com Windows XP e antivírus desatualizado. O dono do notebook para se redimir instalou o Ubuntu e viveu feliz para sempre!
