Notícias » Alertas Redação Linha Defensiva | 12/04/2006 - 14:02
Um novo worm brasileiro está se espalhando pela rede do comunicador instantâneo MSN. Como as demais pragas do gênero, o vírus envia mensagens automatizadas, dessa vez prometendo um vídeo do “sapo motoqueiro”. Quando o usuário executar, será infectado pelo worm, que então enviará mensagens para sua lista de contatos e roubará senhas de banco.
A mensagem enviada pelo worm é a seguinte:
Da uma olhada nesse link é um video do sapo motoqueiro, é muito legal.
http://[removido]/sapo_motoqueiro.cmd
A tática de enganação usada pelo worm é levada um passo adiante quando o vídeo do Sapo Motoqueiro é realmente exibido após a sua execução. O worm carrega uma animação do site VideosLegais.com.br chamada “sapo_motoqueiro.wmv” e a exibe no sistema do usuário, enquanto a praga termina de se instalar no sistema.
Worm carrega animação para enganar usuário
É interessante também notar que o worm utiliza a extensão .cmd para se espalhar que, apesar de ser tratada com uma extensão executável qualquer, é raramente utilizada para isso.
Após instalada, a praga envia a mensagem espalhando o vírus quando o usuário abrir uma janela de contato no MSN. O usuário pode claramente ver que a mensagem foi enviada, o que significa que a tática de enganação do worm se torna inútil.
Além de espalhar, a praga é um clássico trojan “Banker”, pois monitora o título da janela do Internet Explorer e, caso a mesma possua certas palavras relacionadas à sites de bancos, o worm inicia um outro programa, que por sua vez configura um terceiro, que fica encarregado de roubar as senhas do usuário.
Ferramenta de Remoção
A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A praga instala diversos arquivos no computador, mas somente dois precisam ser removidos para que o worm seja completamente desabilitado.
http://linhadefensiva.uol.com.br/files/bat/msn-sapo.bat
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C:\ ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
CUIDADO AI COM O QUE VOCÊS ACEITAM NO MSN HEIN CABEÇÕESFAQ
Como sei que estou infectado? Como sei se a ferramenta funcionou?
Configure o Windows para ver todos os arquivos. Depois procure pela existência dos seguintes arquivos:
C:\WINDOWS\system\taskmam.exe (não confunda com o taskman.exe)
C:\WINDOWS\system\msnmsgr.cmd
Se existir um desses arquivos, você está infectado.
Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.
Por que preciso do Modo de Segurança? O que fazer lá?
O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar tudo sem a interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (opcionalmente, você pode limpar os arquivos temporários com as instruções dadas pela própria ferramenta no fim).
Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança manualmente e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.
A ferramenta de remoção diz que ocorreu um erro…
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague os dois arquivos mencionados acima. O computador será desinfectado por completo.
Tenho outros vírus/ainda não consegui me livrar da praga
A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Você pode saber como utilizá-lo nessa página.
Os antivírus identificam essa praga?
Poucos antivírus estão detectando a praga até o momento, geralmente com identificações genéricas.
O vídeo está com vírus?
Não, o vídeo é apenas carregado pelo vírus.
