Ir direto para o menu
Ir direto para o conteúdo
Redação Linha Defensiva | 11/12/2005 - 01h03
Depois que o worm brasileiro conhecido como a “Baratinha” se espalhou em setembro, os programadores de vírus nacionais lançaram outros worms do mesmo tipo na rede. O mais novo deles envia mensagens para todos os contatos no MSN com o link para o arquivo malicioso fotoimagem.exe.
A mensagem enviada pelo worm é a seguinte:
Olha minha foto >>>>http://[removido]/fotoimagem.exe
Ao clicar no link o usuário é infectado e começará a enviar a mesma mensagem para todos os contatos em sua lista do MSN, exatamente como era o caso com a Baratinha. Nos testes da Linha Defensiva, a execução do arquivo resultou em um erro fatal, mas alguns componentes ainda foram instalados mesmo assim.
O arquivo fotoimagem.exe possui pouco mais de 30KB de tamanho, o que torna o download do programa rápido até mesmo em uma conexão discada. Ao ser executado, ele fará o download dos outros cavalos-de-tróia, inclusive um possível componente para roubar senhas de banco (de acordo com as companhias antivírus).
Esses componentes serão salvos em uma pasta chamada “service” dentro da pasta de sistema (system32) e uma entrada no registro chamada “services” será criada para executar o worm automaticamente toda vez que o sistema for iniciado.
A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A ferramenta de remoção possui pouco mais de 2KB e é um arquivo de scripting BAT. Ela foi testada em Windows 2000/XP, mas também deve funcionar em Windows 98/ME. O segundo link é a versão ZIP para quem tiver problemas para fazer o download do .bat (alguns sistemas possuem extensões como EXE e BAT bloqueadas):
http://linhadefensiva.uol.com.br/files/bat/msn-olhafoto.bat
http://linhadefensiva.uol.com.br/files/zip/msn-olhafoto.zip
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C:\ ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
Diversas perguntas foram lançadas nos comentários. Como os comentários não devem ser usados para retirar dúvidas, a Linha Defensiva não aprovou esses comentários. Ao invés disso, colocaremos aqui a resposta de algumas das perguntas enviadas.
Configure o Windows para ver todos os arquivos. Depois procure pela existência das seguintes pastas:
C:\WINDOWS\system32\service\ ou
C:\WINDOWS\system\service\
Se existir uma dessas pastas e ainda tiverem arquivos dentro dela, você está infectado. Note que o arquivo:
C:\WINDOWS\system32\services.exe
É legítimo e não deve ser removido. Embora o arquivo services.exe dentro da pasta system32 seja legítimo, a pasta “service” é maliciosa e o services.exe dentro dessa pasta também é malicioso.
Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.
O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar a pasta “service” sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).
Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague a pasta mencionada acima. O computador será desinfectado por completo.
Estamos investigando o motivo que faz com que o script não consiga apagar a pasta em alguns casos para consertar o problema assim que conseguirmos mais detalhes.
A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.
Sim, a maioria dos antivírus já identificam essa praga como Banload, Banker ou Trojan-Downloader.
A Linha Defensiva reforça o pedido de que não sejam enviadas dúvidas através dos comentários. Isso inclui qualquer problema com a ferramenta, dúvidas sobre o Modo de Segurança ou qualquer tópico relacionado. O Fórum deve ser usado para isso.
