Limpar seu dispositivo é considerado a opção “full nuclear” quando se trata de lidar com malware. Você limpa todos os dados em seu drive infectado com a teoria de que o malware não consegue sobreviver ao processo.
Exceto quando possível.
Por que limpar seu disco rígido nem sempre remove malware
Malware persistente é um dos piores que existem. A maioria dos malwares é efetivamente removida com uma restauração do sistema ou, pior ainda, uma limpeza completa da unidade. Mas em ambos os casos, certos tipos de malware permanecem ativos, mesmo se você achar que destruiu qualquer sinal de vida na unidade.
Na verdade, é um problema de duas partes.
Primeiro, restaurar um ponto de restauração do sistema é frequentemente recomendado como uma boa maneira de remover malware. Faz sentido; você está retornando o computador a uma configuração boa conhecida anteriormente e, esperançosamente, evitando perda considerável de dados no processo.
No entanto, pontos de restauração do sistema não são uma solução mágica. Você tem que torcer para ter feito um ponto de restauração do sistema antes de pegar o malware. Além disso, alguns tipos de malware podem se esconder em arquivos e diretórios que permanecerão inalterados após o processo de restauração do sistema, enquanto outros tipos de malware existem completamente fora da estrutura tradicional de arquivos. Alguns malwares podem até mesmo excluir seus pontos de restauração do sistema, dificultando o retorno a uma boa configuração.
Isso me leva ao ponto número dois: rootkits e bootkits. Esses tipos de malware absolutamente diabólicos se escondem fora do seu disco rígido e, em vez disso, infectam o firmware do seu disco rígido, BIOS/UEFI, registro mestre de inicialização (MBR) ou tabela de partição GUID (GPT). Como esses elementos não existem no seu disco rígido, eles podem escapar de um ponto de restauração do sistema ou de uma limpeza completa do disco e reinfectar seu computador assim que você achar que está tudo bem.
Rootkits e Bootkits são diferentes? Como verificar se há malware persistente
Como você provavelmente percebeu, malware persistente, como rootkit, bootkit ou outros, é particularmente desagradável. No entanto, há diferenças entre rootkit e bootkit, e como você se livra desse malware também difere.
| Rootkits | Kits de inicialização | |
|---|---|---|
| Localização da infecção | Alvo do kernel do SO, aplicativos ou componentes do espaço do usuário. Incorpore dentro de arquivos ou processos do sistema. | Visa especificamente o processo de inicialização, infectando áreas como o MBR, GPT ou firmware BIOS/UEFI. |
| Estágio de Controle | Obtenha controle após o sistema operacional ser iniciado, geralmente conectando-se a processos ou drivers do sistema. | Execute código malicioso durante a sequência de inicialização, permitindo o controle antes do carregamento do sistema operacional. |
| Mecanismos de Persistência | Use técnicas avançadas para permanecer oculto dentro do sistema operacional; às vezes, é possível removê-lo com ferramentas de remoção de rootkit. | Mais difíceis de remover, pois podem sobreviver a reinicializações e reinstalações de sistemas operacionais, especialmente se incorporados no BIOS/UEFI. |
| Complexidade e Detecção | Muitas vezes, podem ser detectados por ferramentas de segurança que verificam a memória e os arquivos do sistema, embora escapem dessas ferramentas. | Mais difícil de detectar devido à operação fora do alcance do antivírus baseado no sistema operacional; a remoção pode exigir uma verificação no nível de inicialização. |
Não importa como você analise a situação, detectar malware persistente é difícil, mas existem algumas opções.
Primeiro, considere como seu computador funciona. Se você notar problemas incomuns de inicialização ou desempenho significativamente degradado, você pode ter malware. Pode não ser malware persistente, mas se você concluir uma varredura regular de malware e limpar seu sistema, mas o malware continuar voltando, isso pode indicar um problema mais significativo.
Se for esse o caso, você tem algumas opções:
- Detecção de rootkit : scanners especializados em rootkit, como o Malwarebytes Rootkit Scanner ou o Kaspersky TDSSKiller (ainda funciona nos EUA no momento em que este artigo foi escrito), são projetados para verificar processos, arquivos e ganchos ocultos usados por rootkits.
- Bootkit Detection : Existem também scanners de bootkit especializados que escaneiam fora do Windows em busca de ameaças. Isso inclui o Bitdefender Rescue Environment (leitores dos EUA devem usar isso) e o Kaspersky Rescue Disk ( não funciona mais nos EUA desde o banimento da Kaspersky em 2024 ).
- Verificações de firmware BIOS/UEFI : a ESET tem um verificador de firmware UEFI integrado que pode detectar malware no nível do firmware.
Você também deve considerar verificar se há atualizações de firmware no fabricante da placa-mãe, pois eles podem ter corrigido vulnerabilidades exploradas por bootkits.
Malware persistente é uma experiência horrível. Quando eu era mais novo, baixei o que pensei ser um jogo e acabei com uma infecção de rootkit no computador da minha família. É justo dizer que eu estava longe de ser o sabor do mês, mas depois de algum tempo e experimentação, consegui removê-lo. No entanto, a melhor proteção é evitar a infecção para começar, e isso significa evitar downloads duvidosos, conteúdo pirateado e similares, e certificar-se de ter um antivírus ou conjunto antimalware decente instalado para começar.