Resumo

Tipo Trojan [Hijacker] [Spyware]
Aliases
  • Backdoor.Agent (Symantec, Kaspersky)
  • Trojan.StartPage (Symantec, Panda)
  • JS.StartPage – VBS.StartPage (Kaspersky)
  • Troj_Agent – Troj_StartPage (TrendMicro)
  • Troj/Agent – Troj/StartPage (Sophos)
  • TrojanDownloader.Win32.Agent
  • TrojanDownloader.Win32.Winshow
Sistemas Afetados
  • Windows 95
  • Windows 98
  • Windows ME
  • Windows NT4
  • Windows 2000
  • Windows XP
  • Windows Server 2003
Dano Médio
Tamanho Variável
Remoção A dificuldade de remoção pode ser de Média a
Quase Impossível
Notas Nome genérico usado neste site para várias famílias de trojan que fazem a mesma coisa. O nome “StartPage” foi escolhido porque a maioria das companhias de anti-vírus o aceitam como sendo o causador inicial dos casos de hijacking.

Descrição

StartPage é uma extensa família de trojans que possuem funcionalidades para espionar as ações feitas no computador infectado e, principalmente, alterar as páginas inicial e de busca do
Internet Explorer.

Ele também é conhecido pelo nome de Agent e a maioria dos anti-vírus não conseguem removê-lo com eficiência. Por outro lado, ele é detectado por programas para remoção de Spyware, como Spybot-S&D e
Ad-Aware.

Infecção

A infecção ocorre através de falhas do Internet Explorer. Websites maliciosos podem incluir o código para explorar essa falha e instalar o trojan. Entre as vulnerabilidades usadas encontram-se falhas antigas do Microsoft Java Virtual Machine e falhas mais novas, algumas delas sem correção disponível.

Quando o usuário visita um site usando uma versão do Internet Explorer desatualizada o código malicioso do site é executado, fazendo com que o próprio Internet Explorer instale e rode o Trojan.

Os nomes dos arquivos que ele usa para se instalar são muitos e na maioria das vezes gerados aleatoriamente.

Detalhes Técnicos

A infecção ocorre usando-se várias vulnerabilidades do Internet Explorer, como a vulnerabilidade do MHTML, Download.Ject, ByteVerify (MSVM) ou ActiveX.

O trojan altera no registro os valores StartPage e SearchHook para monitorar a página inicial e as buscas feitas usando o Internet Explorer. Adicionalmente o trojan pode monitorar o MIME text/html para modificar os resultados de busca do Google e mostrar Pop-Ups.

Algumas variantes usam chaves do registro que não foram documentadas para rodarem automaticamente ao iniciar o Windows e outras usam métodos raros como Serviços do Windows NT e arquivos em ADS.

StartPage é composto por hijackers feitos pelas companhias C2Media (lop.com), CoolWebSearch e outros.

Carga Maliciosa

StartPage vai modificar a página inicial do Internet Explorer e as páginas de busca, de modo que a cada vez que o usuário errar ao digitar o endereço de uma página seja mostrada uma página gerada pelo trojan. Também podem ser mostrados pop-ups dizendo que você está infectado com Adware/Spyware que, ao clicados, podem instalar mais trojans no computador.

O trojan também monitora suas buscas em sites como o Google, muitas vezes alterando o resultado das buscas que você faz usando-o. Dependendo da variante, também será notado uma significativa lentidão ao digitar texto em campos de formulário.

Em algumas raras ocasiões nos Windows 95/98/ME o Painel de Controle pode ser trocado pelo Trojan, fazendo com que ele não funcione mais. Nesse caso será necessário recuperar o arquivo control.exe de um CD de instalação do Windows. Outros arquivos, como o SDHelper.dll do
Spybot-S&D, o shell.dll e até o Bloco de Notas (notepad.exe) são trocados pelo trojan em outras variantes.

Em alguns sistemas, o Windows Media Player é usado como porta para a entrada do trojan e, nesses casos, o arquivo wmplayer.exe deve ser deletado e trocado com uma cópia legítima.

Recomendações

É recomendado instalar todas as atualizações para o Internet Explorer usando o Windows Update. Porém ainda é preferível usar um navegador alternativo ao Internet Explorer, como Mozilla ou
Opera, se tal troca for viável.

Alertas

Algumas vulnerabilidades usadas para esse trojan foram somente corrigidas no Service Pack 2 do Windows XP. Além disso, a Microsoft anunciu que não irá mais atualizar o Internet Explorer nas versões do Windows mais antigas que o XP, o que pode criar uma porta de entrada impossível de fechar.

Remoção

Ferramentas de Remoção

Symantec

A ferramenta da Symantec remove o trojan Backdoor.Agent.B, também conhecido por Trojan.Agent.AC e Trojan.StartPage.FH. Para usá-la, siga estes passos:

  1. Baixe a ferramenta
  2. Feche todos os programas, inclusive seu navegador
  3. Desabilite a Restauração do Sistema no Windows ME/XP
  4. Rode a ferramenta.
  5. Espere ela terminar de examinar seu computador. Ao terminar, reinicie o Windows
  6. Rode mais uma vez a ferramenta
  7. Reabilite a Restauração do Sistema no Windows ME/XP
  8. Reinicie o computador

Remoção Manual

Para remover o StartPage é recomendado que você use programas contra Spyware como
Spybot-S&D e o Ad-Aware. Anti-Vírus possuem pouca eficiência para remover estes trojans.

A remoção manual é quase impossível pelo fato de você precisar “adivinhar” os valores que ele insere e modifica no registro. Também é possível usar o HijackThis para auxiliar na remoção, embora seja necessário um bom conhecimento sobre o registro e softwares do Windows.

No nosso fórum você pode obter ajuda com logs do HijackThis para remover esse trojan.

Avatar de Desconhecido

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts