Ir direto para o menu
Ir direto para o conteúdo
Redação Linha Defensiva | 12/04/2006 - 14h02
Um novo worm brasileiro está se espalhando pela rede do comunicador instantâneo MSN. Como as demais pragas do gênero, o vírus envia mensagens automatizadas, dessa vez prometendo um vídeo do “sapo motoqueiro” ou do “Michal Jackson”. Quando o usuário executar, será infectado pelo worm, que então enviará mensagens para sua lista de contatos e roubará senhas de banco.
A mensagem enviada pelo worm é a seguinte:
Da uma olhada nesse link é um video do sapo motoqueiro, é muito legal.
http://[removido]/sapo_motoqueiro.cmd
Confirmamos também outra variante do vírus que utiliza uma mensagem falando de um vídeo do Michael Jackson:
Olha q video doido. é um video das mil e uma faces do Michael Jackson http://[removido]/michael_jackson.cmd
A tática de enganação usada pelo worm é levada um passo adiante quando o vídeo do Crazy Frog (ou do Michael Jackson) é realmente exibido após a sua execução. O worm carrega uma animação do site VideosLegais.com.br e a exibe no sistema do usuário, enquanto a praga termina de se instalar no sistema. Note que o vídeo do site está limpo — o worm só carrega o vídeo para que o usuário pense que realmente baixou o vídeo e não um vírus.
Vídeo carregado pela Versão “Sapo Motoqueiro”
É interessante também notar que o worm utiliza a extensão .cmd para se espalhar que, apesar de ser tratada com uma extensão executável qualquer, é raramente utilizada para isso.
Após instalada, a praga envia a mensagem espalhando o vírus quando o usuário abrir uma janela de contato no MSN. O usuário pode claramente ver que a mensagem foi enviada, o que significa que a tática de enganação do worm se torna inútil.
Além de espalhar, a praga é um clássico trojan “Banker”, pois monitora o título da janela do Internet Explorer e, caso a mesma possua certas palavras relacionadas à sites de bancos, o worm inicia um outro programa, que por sua vez configura um terceiro, que fica encarregado de roubar as senhas do usuário que utilizar os serviços de Internet Banking.
A Linha Defensiva está disponibilizando uma ferramenta de remoção para o worm, que pode ser baixada em:
http://linhadefensiva.uol.com.br/dl/msn-sapo
Apenas rode a ferramenta e confirme sua execução. Ela deverá remover o worm com sucesso.
Não, o vídeo é apenas carregado pelo vírus para enganar o usuário e fazê-lo pensar que o arquivo era realmente um vídeo e não um vírus. O vídeo original está limpo e não possui qualquer código malicioso.
Sim, o vírus é exatamente o mesmo. Apenas a mensagem foi modificada.
Configure o Windows para ver todos os arquivos. Depois procure pela existência dos seguintes arquivos:
C:\WINDOWS\system\taskmam.exe (não confunda com o taskman.exe)
C:\WINDOWS\system\msnmsgr.cmd
Se existir um desses arquivos, você está infectado.
Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.
Para evitar surpresas, recomendamos que troque a sua senha de MSN depois de ser infectado. Em nossos testes, no entanto, não confirmamos o roubo da senha do MSN.
Você apenas será infectado caso clique no link. Para não se infectar, basta não clicar no link. O worm não explora nenhum tipo de falha no MSN Messenger.
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague os dois arquivos mencionados acima. O computador será desinfectado por completo.
Se ainda tiver problemas, a Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Você pode saber como utilizá-lo nessa página. Não peça ajuda nos comentários.
Se você tem problemas para iniciar o computador no Modo de Segurança, veja o documento da Symantec para usar o MSConfig. Se você ainda tem problemas, consulte o nosso fórum de acordo com essas instruções.
