Removendo vírus por NFS

Os vírus estão cada vez mais inteligentes, ele se disfarçam de arquivos que o usuário usa seguidamente como por exemplo: relatório.doc.exe. Os usuários atucanados de serviço acabam clicando e contaminado cada vez mais a máquina. Se os arquivos contaminados tiverem os mesmos nomes de arquivos protegidos do windows, não será possível removê-los, como por exemplo o arquivo c:\windows\system\scanreg.exe.

Uma solução boa que encontrei para resolver este problema é escanear a máquina infectada (windows), através do linux, o qual possui um excelente antivírus o CLAMAV, que também possui uma versão para windows o CLAWIN. Este antivírus é muito eficiente e remove até adwares.

Nesse pequeno tutorial mostrarei como escanear uma maquina windows infectada com vírus através do linux com o NFS(Network FileSystem).

O primeiro passo é iniciar a máquina windows com um cd do Kurumin 2007, eu prefiro utilizar como opção de boot knoppix 2, a qual inicia em modo texto, tornando mais rápido a inicialização.

Após inicializado o devemos desmontar o /dev/hda1 mas antes a swap deve ser desabilitada com o comando abaixo:

 swapoff -a
 umount /dev/hda1

Se a partição do windows for fat32, deve ser montada com o seguinte comando:

mount /dev/hda1 /mnt/hda1 -oumask=0,dmask=0

Com umask=0 e dmask=0 todos os usuários tem permissão de leitura e escrita.

Se a partição for ntfs

ntfs-3g -oumask=0,silent,locale=pt_BR.iso88591 /dev/hda1 /mnt/hda1

Agora devemos configurar o nfs informando o diretório que será exportado e o ip da máquina que pode montar remotamente este diretório.

vim /etc/exports
#diretório ipremoto(opções)
#exemplo
#exporta o diretório /mnt/hda1 para toda a rede 192.168.1.0 com permissão de leitura e escrita
/mnt/hda1 192.168.1.*(rw)

Após o exports configurado podemos iniciar o servidor nfs

nfs-server-ativar

Esta máquina pega o ip através de dhcp então devemos descobrir o ip que a maquina recebeu com o comando:

ifconfig eth0

Neste exemplo o ip é 192.168.1.200, iremos utiliza-lo para montar o diretório.

Agora o nfs estará exportando o diretório /mnt/hda1 devemos montá-lo na máquina que possui o clamav instalado e atualizado.

Opto por esta solução devido a minha maquina estar sempre com o clamav atualizado não utilizando os recursos da rede para baixar atualizações.

Caso você não possui o clamav instalado mostro um exemplo de como instalar no gentoo:

emerge -av clamav

Atualizar o antivirus

freshclam

Na máquina com o clamav devemos rodar os seguintes comandos:

mkdir /mnt/tmp
mount 192.168.1.200:/mnt/hda1 /mnt/tmp

Você também pode usar sshfs para montar o diretório remoto conforme mostrado neste post Montando SSHFS

Passar o antivírus em modo recursivo, informar quando encontrar um vírus e removê-lo

clamscan -ri --remove --unzip=/usr/bin/unzip /mnt/temp

Estou usando esta solução quando o antivírus instalado na maquina não resolve o problema, o clamav encontra e remove uma grande quantidade de vírus, sendo uma ótima solução de antivírus gratuito.

Comente!!Incentivem !!!