Nota Importante
Tradução autorizada para o Português do Brasil de “The CoolWebSearch Chronicles”. O tradutor deste documento não possui qualquer direito sobre o conteúdo do documento original. Todos os direitos autorais pertencem à Trend Micro, Inc, a companhia que faz o antivírus PC-Cillin e adquiriu a InterMute, antiga proprietária deste documento.
Você pode ver o artigo original, em inglês, The CoolWebSearch Chronicles. Existe também uma versão antiga do documento que pode ser encontrada no site de Merijn. A tradução foi baseada na versão antiga, mantida por Merijn, pois contém informações mais detalhadas e é mais bem-humorada que a versão mantida pela Trend Micro.
Introdução
Este é um artigo que detalha as variantes do hijacker de navegador CoolWebSearch, conhecido como CWS. Nos últimos meses, as pessoas por trás desse nome conseguiram, na minha opinião, se tornar um problema ainda maior do que o conhecido Lop.com
A dificuldade para se remover uma variante do CWS cresceu de
simples até quase impossível nas variantes mais novas. Algumas das variantes usam até mesmo técnicas para se esconder que nunca foram usadas antes em qualquer spyware.
A ordem cronológica do aparecimento de cada variante está aqui, junto com datas aproximadas quando elas apareceram online pela primeira vez. Porém, como os programadores malvados por trás do CoolWebSearch lançaram mais de duas dúzias de variantes do hijacker em um período muito curto, é bem provável que este documento esteja desatualizado.
A ferramenta CWShredder[1] para remover o CoolWebSearchestará sempre atualizada quando novas variantes aparecerem.
Conteúdo
Mais informações
- Como eu me livro do CoolWebSearch?
- Como ele entrou no meu sistema?
- O que eu faço para que ele não me infecte novamente?
CWS.Datanotary
V1: Introdução à Destruição
| Encontrado | 27 de Maio de 2003 |
|---|---|
| Sintomas | Lentidão extrema no Internet Explorer, especialmente enquanto digita em campos de formulário |
| Inteligência | 9/10 |
| Remoção Manual | Fácil se você souber onde procurar |
Entradas no HijackThis
A primeira variante do CoolWebSearch nem era identificada como tal. Só havia alguns usuários dizendo que o Internet Explorer ficava muito lento se eles digitassem mensagens em campos de texto. Alguns usuários disseram que demorava mais de um minuto para que o texto aparecesse depois de digitado, além de redirecionamentospara http://www.datanotary.com
A solução para o problema demorou um pouco para aparecer, mas depois de algumas semanas (o que é muito) alguém disse que o problema desaparecia se você fosse até as Opções do Internet Explorer, indo em Acessibilidade e desmarcasse o botão “Formatar documento usando minha folha de estilos”. Depois disso, a folha de estilos falsa poderia ser deletada.
O hijacker instalava uma folha de estilos em cascata que explorava uma falha no Internet Explorer que permitia que um arquivo .css executasse códigos JavaScript. O código no arquivo estava encriptado e criava um pop up fora da tela que redirecionava o usuário. Porém, essa rotina era chamada quando você fazia qualquer coisa no IE — isso se tornava mais óbvio enquanto digitava textos.
CWS.Bootconf
V2: Evolução
| Encontrado | 6 de Julho de 2003 |
|---|---|
| Sintomas | Internet Explorer lento e endereços ilegíveis na configuração da página inicial, redirecionamentos ao digitar um endereço incorretamente, página inicial modificada ao reiniciar |
| Inteligência | 8/10 |
| Remoção Manual | Um pouco de edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,SearchURL = http://www.jetseeker.com/ie/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.coolwwwsearch.com/z/c/x1.cgi?100 (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.coolwwwsearch.com/z/a/x1.cgi?100 (obfuscated)
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.searchv.com/
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://www.jetseeker.com/ffeed.php?term=%s
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://search.xrenoder.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = http://search.xrenoder.com
A segunda variante se parecia com a primeira somente em um aspecto: ela usava o mesmo arquivo .css. Mas ela levou o hijacker um passo à frente, não por trocar a página inicial e a página de busca, mas trocando esses valores para lixo hexadecimal ilegível.
Somente quando esse lixo hexadecimal foi decifrado é que ficou claro que a CoolWebSearch é que estava por trás de tudo. É como se eles tivessem deixado a Datanotary fazer um test drive com o exploit da folhade estilos antesdeles usarem.
O hijack também mudava o erro “Servidor não encontrado” para a página principal do portal CoolWebSearch, usando o arquivo HOSTS e recarregando todo o hijacker quando o sistema reiniciasse usando o arquivo
bootconf.exe que inicia com o Windows.
Nós também começamos a ver alguns afiliados do CoolWebSearch, pois todos os links se direcionavam para http://www.coolwebsearch.com.
CWS.OSLogo
V3: Mande os afiliados
| Encontrado | 10 de Julho de 2003 |
|---|---|
| Sintomas | Extrema lentidão ao usar o Internet Explorer |
| Inteligência | 2/10 |
| Remoção Manual | Um pouco de edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.coolwwwsearch.com/z/a/ x1.cgi?656387 (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.coolwwwsearch.com/z/b/ x1.cgi?656387 (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://stopxxxpics.com
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://www.coolwwwsearch.com/z/a/ x1.cgi?656387 (obfuscated)
O1 – Hosts: 1123694712 auto.search.msn.com
O4 – HKLM..Run: [sysPnP] C:WINNTSystem32bootconf.exe
O15 – Trusted Zone: *.coolwwwsearch.com
O15 – Trusted Zone: *.msn.com
O19 – User stylesheet: C:WINDOWSWeboslogo.bmp
Depois que o HijackThis foi atualizado para alguns truques do CWS, uma nova variante apareceu que mostrou que o CWS estava apenas começando. O nome do arquivo da folha de estilos mudou para um nome que nem parecia uma folha de estilos por fora, mas foi aceito pelo IE mesmo assim. Dois novos domínios foram adicionados nos “Sites confiáveis” do Internet Explorer para que o CWS pudesse fazer seu trabalho sujo e instalar novas atualizações se elas se tornassem disponíveis.
Mas além disso, a página inicial e de busca do IE foram modificadas para dezenas de sites diferentes que eram sites dos afiliados do CWS. Parecianão haver um fim ao número de domínios diferentes que os usuários eram redirecionados. Enquanto escrevo isso, mais de 80 domínios são de afiliados conhecidos do CWS — e todos eles apareceram nos logs dos usuários.
CWS.Vrape
V4: Misture e mexa
| Encontrado | 20 de Julho de 2003 |
|---|---|
| Sintomas | Redirecionamentos para vrape.hardloved.com quando se faz qualquer coisa no IE e também redirecionamentos para sites pornográficos, discadores, etc |
| Inteligência | 5/10 |
| Remoção Manual | Muita edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet Explorer,Search Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http:// vrape.hardloved.com/top/search.php?id=2&s=
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http:// vrape.hardloved.com/top/search.php?id=2&s=
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
O1 – Hosts: 65.77.83.222 thehun.com
O1 – Hosts: 65.77.83.222 thehun.net
O1 – Hosts: 65.77.83.222 madthumbs.com
O1 – Hosts: 65.77.83.222 worldsex.com
O1 – Hosts: 65.77.83.222 teeniefiles.com
O1 – Hosts: 65.77.83.222 al4a.com
O1 – Hosts: 65.77.83.222 sublimedirectory.com
O1 – Hosts: 65.77.83.222 thumbzilla.com
O1 – Hosts: 65.77.83.222 sexocean.com
O1 – Hosts: 65.77.83.222 easypic.com
O1 – Hosts: 65.77.83.222 absolut-series.com
O1 – Hosts: 65.77.83.222 jpeg4free.com
O1 – Hosts: 65.77.83.222 thumbnailpost.com
O13 – DefaultPrefix: http://vrape.hardloved.com/top/search.php?id=2&s=
O13 – WWW Prefix: http://vrape.hardloved.com/top/search.php?id=2&s=
Provavelmente a variante mais comum do CWS, esta foi um pesadelo para o usuário comum. Ela combina muitos métodos de hijacking, junto com redirecionamentos aleatórios para sites de pornografia, portais e discadores.
O hijack monitorava quase tudo do IE e o usuário ficava apenas sentado olhando tudo que ele fizesse resultando em um redirecionamento para vrape.hardloved.com. Uma coisa estranha sobre esse hijacker é que ele trabalhava sozinho sem usar qualquer afiliado, além de redirecionar outros sites pornográficos para ele mesmo. Ele só foi ligado ao CWS porque ele apareceu junto com ele em vários logs.
A coisa boa sobre essa variante é que o domínio vrape.hardloved.com está offline por mais de 4 dias enquanto escrevo isso. Não se sabe se isso é porque o site não resistiu ao número gigante de usuários sendo redirecionados, ataques de Denial of Service dos usuários nervosos ou terminação da conta de hospedagem por violação dos termos de serviço, ou outra razão.
CWS.Msspi
V5: Vamos nos tornar perigosos
| Encontrado | 28 de Julho de 2003 |
|---|---|
| Sintomas | Popups com “Resultados Melhores” nas buscas do Google, Yahoo! e Altavista |
| Inteligência | 9/10 |
| Remoção Manual | Suicida[3] |
Entradas no HijackThis
O10 – Unknown file in Winsock LSP: c:windowssystem32msspi.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32msspi.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32msspi.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32msspi.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32msspi.dll
Quando essa variante apareceu, era a mais difícil para se remover. Os usuários começaram a dizer que quando eles visitavam o Google, Yahoo! ou Altavista para procurar alguma coisa, popups apareciam, na maioria das vezes, falando sobre “Resultados Melhores” (Enhanced Results). Esse é o único sintoma.
Depois de olhar no log foi fácil concluir que o msspi.dll era o culpado. Um especialista analisou o arquivo e achou certos endereços que eram monitorados e ao mudar esses endereços para endereços inexistentes os popups desapareciam.
Porém, o arquivo se ligava na corrente LSP do Winsock do Windows, que é localizada no interior do sistema do Windows e é uma das partes mais difíceis para se manipular. Somente alguns poucos spywares usam este método de infecção e remover incorretamente faz com que o computador quebre sua conexão com a Internet, de tal modo que nem uma reinstalação do Windows resolve o problema.
Felizmente existe uma ou duas ferramentas que podem consertar um computadorcom uma conexão quebrada com a Internet devido ao problema.
LSPFix foi o mais usado, pois permite edição direta da corrente LSP.
CWS.Oemsyspnp
V6: Puro gênio
| Encontrado | 29 de Julho de 2003 |
|---|---|
| Sintomas | Páginas inicial e busca modificadas para allhyperlinks.com e activexupdate.com nos “Sites Confiáveis” do IE. Hijacking retorna em algumas reinicializações |
| Inteligência | 10/10 |
| Remoção Manual | Um pouco de edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.adulthyperlinks.com/favorites/8
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
O4 – HKLM..Run: [SysPnP] rundll32 setupapi,InstallHinfSection OemVideoPnP 128 oemsyspnp.inf
Essa variante foi vista por quase pura sorte, pois usava o mesmo valor de inicialização que a variante CWS.Bootconf, ‘SysPnP’. Esse é um hijacker muito inteligente que se disfarçava de uma atualização de driver. Quando o computador era iniciado, havia uma chance de uma em cinco que o hijacker fosse reinstalado e mudasse as páginas inicial e de busca para allhyperlinks.com.
Quando o hijacker foi identificado ficou muito fácil pará-lo: só o arquivo oemsyspnp.inf devia ser desabilitado da inicialização usando o MSConfig e então ele poderia ser seguramente deletado.
- CWS.Oemsyspnp.2
-
Existe uma mutação dessa variante que usa o arquivo
keymgr3.inf e a chave keymgrldr no registro. - CWS.Oemsyspnp.3
-
Existe uma outra mutação dessa variante que usa o arquivo
drvupd.inf e a chave drvupd no registro
CWS.Svchost32
V7: Evitando ser detectado
| Encontrado | 3 de Agosto de 2003 |
|---|---|
| Sintomas | Redirecionamentos para slawsearch.com ao buscar no Google e no Yahoo ou ao digitar incorretamente o endereço de um site |
| Inteligência | 10/10 |
| Remoção Manual | Necessita um finalizador de processos (Proccess Killer) |
Entradas no HijackThis
O4 – HKLM..Run: [svchost.exe] “C:WINDOWSSYSTEMsvchost32.exe”
Esta variante do CWS tinha como objetivo apenas evitar que fosse detectada com as ferramentas existentes. O que era visível no log do HijackThis não era nem perto de tudo que ela tinha. O hijacker instala dúzias de redirecionamentos de domínios internacionais dos serviços de busca do Google, MSN e Yahoo para um servidor web rodando localmente no sistema da vítima. O servidor web tinha até mesmo um nome pouco suspeito de svchost32.exe para se parecer com o arquivo de sistema svchost.exe. Sempre que o usuário acessava o Google, usasse a busca do Yahoo ou errase ao digitar uma URL, ele era direcionado para slawsearch.com.
Para consertar o hijack é necessário uma ferramenta para matar o processo do webserver e editar o arquivo HOSTS para remover os redirecionamentos do Google, Yahoo e MSN.
CWS.Dnsrelay
V8: Hei.. isso não estava aqui antes!
| Encontrado | 7 de Agosto de 2003 |
|---|---|
| Sintomas | Redirecionamento para allhyperlinks.com se você omitir “www” de uma URL |
| Inteligência | 8/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
Um hijacker muito inteligente que usa um método que nunca tinha sido usado antes por outros hijackers, essa variante monitora todas as URLs colocadas na barra de Endereço do IE e redireciona qualquer URLs que não tem o “www” no início para allhyperlinks.com. Esse hijacker não é muito comum e é difícil de ser notado. Por sorte, para retirá-lo é necessário apenas deletar um arquivo e um valor no registro.
- CWS.Dnsrelay.2
-
Existe uma mutação dessa variante que usa o nome
ASTCTL32.OCX para o arquivo. - CWS.Dnsrelay.3
-
Existe uma mutação dessa variante que usa o nome
mswsc10.dll para o arquivo, que é localizado em C:Program FilesCommon FilesWeb Folders[2]. O IE é redirecionado para payfortraffic.net. Essa mutação também adiciona uma folha de estilos (como
CWS.Bootconf), localizada em C:Program FilesInternet ExplorerReadme.txt[2] (este arquivo não existe em sistemas que não estão infectados). A mutação usa o nome nvstart para o valor no registro que será usado para registrar mswsc10.dll novamente após a reinicialização. - CWS.Dnsrelay.4
-
Existe uma mutação que é igual a
CWS.Dnsrelay.3, mas usa
mswsc20.dll como o nome do arquivo, localizado no mesmo lugar. Essa mutação redireciona o IE para gofreegalleries.com, usando a mesma folha de estilos e usando o arquivo HOSTS para redirecionar vários sites para allhyperlinks.com.
CWS.Msinfo
V9: Ficando sem idéias
| Encontrado | 22 de Agosto de 2003 |
|---|---|
| Sintomas | Redirecionamentos para Global-Finder.com, hijack voltando ao reinicializar e erros dizendo que “Não é possível encontrar msinfo.exe” |
| Inteligência | 6/10 |
| Remoção Manual | Edição do registro e arquivos .ini |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://out.true-counter.com/a/?101 (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://out.true-counter.com/b/?101 (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://out.true-counter.com/c/?101 (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://out.true-counter.com/b/?101 (obfuscated)
F1 – win.ini: run=C:WINDOWS..PROGRA~1COMMON~1MICROS~1MSINFOmsinfo.exe
F1 – win.ini: run=msinfo.exe
O4 – HKLM..Run: [Internat Conf] bootconf.exe
Essa variante que usa o arquivo chamado msinfo.exe para reinstalar o hijack ao reinicializar parece possuir várias mutações. A primeira parecia travar várias vezes, onde o hijack nem se quer era instalado, mas a referência para ele era. A segunda versão provavelmente corrigiu isso alguns dias depois, já que algumas pessoas começaram a aparecer contaminadas por essa variante. A última versão apareceu junto com uma mutação da segunda variante (CWS.Bootconf — bootconf.exe).
O arquivo msinfo.exe é instalado na pasta Windows onde também existe o arquivo legítimo msinfo32.exe. Ele é iniciado pelo win.ini, um método raramente usado atualmente. Ele configura quase todas as páginas iniciais e de busca para URLs em out.true-counter.com e se reinstala toda vez que o sistema for reiniciado. Para remover essa variante é necessário resetar os valores modificados do IE no registro, remover os valores de inicialização no win.ini e no registro e deletar os dois arquivos.
CWS.Svcinit
V10: Pequeno e esperto companheiro
| Encontrado | 10 de Setembro de 2003 |
|---|---|
| Sintomas | Página inicial modifcada para xwebsearch.biz e “http:///”, hijack voltando ao reinicializar ou até mesmo antes |
| Inteligência | 9/10 |
| Remoção Manual | Edição no registro e arquivos .ini, necessita um finalizador de processos (Proccess Killer) |
Entradas no HijackThis
C:WINDOWSSystem32SVCINIT.EXE
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:///
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http:///
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http:////
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://xwebsearch.biz
F1 – win.ini: run=C:WINDOWSsvcinit.exe
O4 – HKLM..RunServices: [SVC Service] C:WINDOWSSYSTEMsvcinit.exe
O4 – HKLM..Run: [mssys] C:WINDOWSmssys.exe
Entradas no StartupList
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon]
UserInit=C:WINNTSystem32userinit.exe,C:WINNTSystem32svcinit.exe
Essa variante foi um pouco surpreendente, pois corrigir todosos itens no log do HijackThis não a removia completamente — ela voltava depois da reinicialização no Windows 2000 e XP. Só depois que um usuário postou um log do StartupList é que ficou claro que esse hijacker usava outro método para se inicializar junto com o sistema, além das duas entradas já visíveis no log do HijackThis. Terminar o processo e deletar os três métodos de inicialização corrige o problema. Além disso, mssys.exe está possivelmente envolvido nesse hijack.
- CWS.Svcinit.2
-
Existe uma mutação dessa variante que usa
svcpack.exe para o nome do arquivo. Redireciona o usuário para http:/// e usa os mesmos métodos de inicialização que a primeira versão. Também cria o arquivo SVCHOST.OLD para fins desconhecidos. - CWS.Svcinit.3
- Existe uma mutação dessa variante que redireciona o usuário para xwebsearch.biz e http:///, além de instalar um arquivo HOSTS que redireciona vários sites de diallers (discadores) para searchmeup.com.
- CWS.Svcinit.4
-
Existe uma mutação dessa variante que redireciona o IE para sex.free4porno.net e adiciona links de sites pornográficos aos favoritos no IE e na área de trabalho. Ele se reinstala através do arquivo
c:windowssvchost.exe (note que o arquivo legítimo do Windows fica na pasta system32) que roda na inicialização com o nome de
Online Service. Ela também usa o trojan msin32.dll para objetivos desconhecidos.
CWS.Tapicfg
V11: MSInfo Parte II
| Encontrado | 21 de Setembro de 2003 |
|---|---|
| Sintomas | Barra de rolagem lenta no IE, redirecionamentos para luckysearch.net e erros relacionados a info32.exe |
| Inteligência | 8/10 |
| Remoção Manual | Edição no registro de arquivos .ini e do arquivo HOSTS, remoção de uma folha de estilos oculta com atributos de sistema |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://acc.count-all.com/— /?oaoca (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://acc.count-all.com/– /?oaoca (obfuscated)
F1 – win.ini: run=C:WINDOWS..PROGRA~1COMMON~1MICROS~1MSINFOinfo32.exe
O1 – Hosts: 3510794918 auto.search.msn.com
O4 – HKLM..Run: [Tapicfg.exe] C:WINDOWSSYSTEMtapicfg.exe
O19 – User stylesheet: C:WINDOWSWebwin.def
O19 – User stylesheet: C:WINDOWSdefault.css
Essa variante consiste de apenas um arquivo que se duplica em doislocais (info32.exe e tapicfg.exe) e age de forma diferente dependendo do seu nome. Ele instala duas folhas de estilo no sistema, redireciona o IE para acc.count-all.com (que então redireciona para luckysearch.net) e reinstala o hijack ao reinicializar. O arquivo HOSTS também é modificado para redirecionar domínios para luckysearch.net. Embora determinar a ação de um programa, dependendo do nome do arquivo é um hábito ruim, ele me surpeendeu por funcionar tão bem.
- CWS.Tapicfg.2
- Existe uma mutação dessa variante que usa soundmx.exe para o nome do arquivo e redireciona o IE para globe-finder por uma página de redirecionamentos em in.webcounter.cc. Possivelmente o mesmo arquivo é carregado com o nome de fntldr.exe através do win.ini. Um redirecionamento pelo arquivo HOSTS de auto.search.msn.com para globe-finder é instalado. Duas folhas de estilo com o nome de tips.ini e hh.hht são instaladas.
CWS.Ctfmon32
V12: SlawSearch Parte II
| Encontrado | 22 de Setembro de 2003 |
|---|---|
| Sintomas | Página inicial e de busca modificadas para slawsearch.com, “Personalizar Assistente de Busca” fechando logo após abrir e hijack voltando após uma reinicialização |
| Inteligência | 3/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.slawsearch.com/autosearch.html
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.slawsearch.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.slawsearch.com/autosearch.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = javascript:window.close()
O4 – HKLM..Run: [CTFMON32.EXE] “C:WINDOWSSystem32ctfmon32.exe”
O CWShredder já podia remover essa variante, mas ela iria voltar após a reinicialização. Com exceção do nome ctfmon32.exe para o arquivo (note que ctfmon.exe é um arquivo do Windows), ela funciona do mesmo jeito que
CWS.Bootconf: o arquivo carrega ao iniciar o sistema, muda a página inicial e de busca e então fecha. Apagando o arquivo e resetando as páginas do IE de volta ao normal corrige o problema.
CWS.Msoffice
V13: Exploit do HTA revisitado
| Encontrado | 12 de Outubro de 2003 |
|---|---|
| Sintomas | Página inicial modificada para searchdot.net, lentidão no IE ao digitar textos e usar a barra de rolagem, hijack voltando ao reiniciar o sistema |
| Inteligência | 7/10 |
| Remoção Manual | Edição do registro e Prompt de Commando para deletar os arquivos |
Entradas no HijackThis
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.searchdot.net
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.searchdot.net
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.searchdot.net
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.searchdot.net
O4 – HKLM..Run: [Msoffice] C:WINDOWSFontsmsoffice.hta
O4 – HKCU..Run: [Msoffice] C:WINDOWSFontsmsoffice.hta
Essa variante usa um script .HTA para reinstalar o hijack ao reinicializar. O arquivo msoffice.hta é difícil de ser encontrado, pois está na pasta “Fonts”, que é uma pasta especial do Windows, configurada para esconder todos os arquivos que não forem arquivos de fontes. Por esse motivo, um Prompt de Commando é necessário para que o arquivo seja visto e deletado. Deletando o arquivo e resetando a página inicial e a página de busca no IE conserta o hijack.
- CWS.Msoffice.2
- Existe uma mutação dessa variante que redireciona o IE para sexpatriot.net e royalsearch.net e instala um arquivo HOSTS que redireciona dois sites pornográficos para 64.246.33.179 e se reinstala através do arquivo fonts.hta com o nome de AdobeFonts
- CWS.Msoffice.3
-
Existe uma mutação dessa variante que redireciona o IE para supersearch.com e hugesearch.net, usando um arquivo chamado
fonts.hta e o nome TrueFonts. Ela também muda o DefaultPrefix e o WWWPrefix para redirecionar todos os sites para hugesearch.net.
CWS.Dreplace
V14: Só um BHO… ou será que É?
| Encontrado | 12 de Outubro de 2003 |
|---|---|
| Sintomas | Redirecionamentos para xwebsearch.biz e 213.159.117.233, hijack voltando depois da reinicialização |
| Inteligência | 3/10 — 10/10 na segunda mutação |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:///
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http:///
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://xwebsearch.biz/
O1 – Hosts: 213.159.117.233 sitefinder.verisign.com
O2 – BHO: HTML Source Editor – {086AE192-23A6-48D6-96EC-715F53797E85} – C:WINDOWSSystem32DReplace.dll
Essa variante instala um Browser Helper Object (BHO) por razões desconhecidas, porém, é provável que o BHO esteja lá para que xwebsearch.biz seja configurada como página inicial. O Verisign Sitefinder é redirecionado, então todos os domínios que forem digitados incorretamente serão redirecionados para 213.159.117.233.
- CWS.Dreplace.2
- Existe uma segunda versão dessa variante que usa o truque mais sujo que eu já vi em um pedaço de malware. Ela modificou o arquivo dreplace.dll de um certo modo que removendo ele com o HijackThis ou com o CWShredder faria com que o sistema falhasse completamente no Windows 98/98SE/ME! O hijack é o mesmo que na primeira versão e tanto o HijackThis quanto o CWShredder foram atualizados para que o problema não aconteça mais.
CWS.Mupdate
V15: Mexendo em todo lugar
| Encontrado | 13 de Outubro de 2003 |
|---|---|
| Sintomas | Página inicial modificada para searchv.com. Redirecionamentos para runsearch.com ao digitar incorretamente uma URL, *.masspass.com nos “Sites confiáveis” e hijack voltando após reiniciar o sistema |
| Inteligência | 9/10 |
| Remoção Manual | Edição do registro e arquivos INI |
Entradas no HijackThis
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page=http://www.searchv.com/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar=http://www.searchv.com/search.html
F0 – system.ini: Shell=explorer.exe mupdate.exe
F1 – win.ini: run=mupdate.exe
F2 – REG:system.ini: Shell=explorer.exe mupdate.exe
O1 – Hosts: 209.66.114.130 sitefinder.verisign.com
O4 – HKLM..Run: [sys] regedit -s sys.reg
O15 – Trusted Zone: *.masspass.com
Essa variante não é muito comum, mas ela supreende pela sua persistência. Ela roda de três lugares diferentes ao iniciar o sistema, além de rodar um arquivo .reg que reinstala o hijack. Ela também adiciona um site de conteúdo adulto nos “Sites confiáveis” e redireciona URLs digitadas incorretamente para runsearch.com.
CWS.Addclass
V16: Edição de Halloween
| Encontrado | 30 de Outubro de 2003 |
|---|---|
| Sintomas | Redirecionamentos via ehttp.cc, página inicial e página de busca modificadas para rightfinder.net, hijack voltando ao reiniciar |
| Inteligência | 4/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.rightfinder.net/hp/
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.rightfinder.net/search/
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.rightfinder.net/search/
O4 – HKCU..Run: [AddClass] C:WINDOWSTEMPADDCLASS.EXE
O13 – DefaultPrefix: http://ehttp.cc/?
O13 – WWW Prefix: http://ehttp.cc/?
Essa variante começou a atacar quando um exemplar dela (e uma atualização do CWShredder) foi encontrado. O hijack envolve o arquivo AddClass.exe que instala o hijack e reinstala-o ao reiniciar o sistema. Ele também muda o DefaultPrefix e o WWW Prefix e um prefixo “www.”, que não funciona, de modo que a cada vez que você digitar um endereço sem ‘http://’ no início seja redirecionado para ehttp.cc antes de chegar ao destino correto. Em outras palavras, eles guardam a informação dos sites que você visita. Felizmente, eles são simpáticos por nos dar uma
ferramenta de desinstalação para o “Protocolo HTTP Melhorado” no site deles, mas isso só irá remover parte do hijack.
CWS.Googlems
V17: Nós somos destrutivos!
| Encontrado | 1º de Novembro de 2003 |
|---|---|
| Sintomas | IE redirecionado para http://www.idgsearch.com e hijack voltando ao reiniciar o sistema ou ao rodar o Windows Media Player |
| Inteligência | 7/10 |
| Remoção Manual | Edição no registro e reinstalação do Windows Media Player |
Entradas no HijackThis
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.idgsearch.com/
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.idgsearch.com/
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.idgsearch.com/
O2 – BHO: GoogleMS Search Helper – {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} – C:Documents and Settings[username]Application DataGoogleMS.dll
Essa variante foi a primeira do seu tipo, pois um desenvolvimento importante pode ser observado: ela troca o principal executável do Windows Media Player por uma cópia do trojan. Nenhuma outra variante modifica ou deleta arquivos de sistema, mas essa sim. Ela também instala um BHO que reinstala o hijack ao reiniciar o sistema. Deletando GoogleMS.dll e reinstalar o Windows Media Player corrige o problema.
- CWS.Googlems.2
-
Existe uma mutação dessa variante que redireciona o IE para idgsearch.com e 2020search.com, instala um BHO com o nome de ‘Microsoft SearchWord’ usando o arquivo
SearchWord.dll no mesmo lugar que a primeira versão. Também adiciona *.xxxtoolbar.com na lista de “Sites confiáveis” do IE. - CWS.Googlems.3
- Existe uma mutação dessa variante que redireciona o IE para idgsearch.com e instala um BHO com o nome de ‘Microsoft SearchWord’ usando o arquivo Word10.dll na pasta C:Documents And Settings[usuário]Application DataMicrosoftOffice. Essa mutação também usa um arquivo notepad.exe falso na pasta system que reinstala o hijack.
- CWS.Googlems.4
-
Existe uma mutação dessa variante que redireciona o IE para idgsearch.com, 2020search.com e possivelmente couldnotfind.com. Instala um arquivo HOSTS que redireciona vários afiliados do CoolWebSearch, um domínio do lop.com e um domínio incorreto da SpywareINFO e vários sites pornográficos para 69.56.223.196 (idgsearch.com). Tambem instala um BHO com o nome de ‘Microsoft Excel’ usando o arquivo
Excel10.dl que fica na mesma pasta que CWS.Googlems.3. Além disso, *.xxxtoolbar.com e *.teensguru.com são adicionados para a lista de “Sites confiáveis” do Internet Explorer.
CWS.Loadbat
V18: O Sujo
| Encontrado | 1º de Novembro de 2003 |
|---|---|
| Sintomas | Janela do DOS aparecendo ao iniciar o sistema, página inicial do IE modificada paraie-search.com e redirecionamentos ‘FLS’ ou umaxsearch.com ao digitar um endereço incorretamente ou ao visitar sites pornográficos |
| Inteligência | 9/10 |
| Remoção Manual | Edição no registro e apagar alguns arquivos |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://ie-search.com/home.html (obfuscated)
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = c:windowshp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://ie-search.com/home.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
O1 – Hosts: 206.161.200.105 auto.search.msn.com
O1 – Hosts: 206.161.200.105 sitefinder.verisign.com
O1 – Hosts: 206.161.200.105 sitefinder-idn.verisign.com
O1 – Hosts: 206.161.200.103 http://www.smutserver.com
O1 – Hosts: 206.161.200.103 www1.smutserver.com
O1 – Hosts: 206.161.200.103 www2.smutserver.com
[…]
O1 – Hosts: 206.161.200.103 www29.smutserver.com
O4 – HKLM..Run: [Windows Shell Library Loader] load shell.dll /c /set — by windows setup —
O4 – HKLM..Run: [Win64 Compatibility Check] load win64.drv /c /set — by windows setup —
Subestimada de início, essa variante do CWS usava um truque muito inteligente para reinstalar o hijack no sistema, fazendo com que o culpado parecesse ser o shell.dll ou o win64.drv, quando na verdade era apenas um arquivo chamado Load.bat, unindo um arquivo .reg ao registro.
Existe uma segunda mutação que instala um arquivo HOSTS que redireciona auto.search.msn.com e o Verisign Sitefinder para alguma coisa chamada ‘FLS’ que contém links para umaxsearch.com. Também redireciona domínios do smutserver.com para outro site pornográfico.
Para remover essa variante manualmente é suficiente remover as entradas de inicialização no registro e remover os arquivos hp.htm,
load.bat e srch.reg da pasta do Windows e resetar as páginas do IE.
CWS.Alfasearch
V19: Brinquedo de criança
| Encontrado | 5 de Novembro de 2003 |
|---|---|
| Sintomas | Páginas do IE modificadas para alfa-search.com, sites pornográficos possivelmente redirecionados para 216.200.3.32 (alfa-search.com), mensagem de erro sobre um “runtime error” ao iniciar o computador e 4 sites pornográficos adicionados aos favoritos do IE (um deles contendo pornografia infantil) |
| Inteligência | 1/10 |
| Remoção Manual | Um pouco de edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.alfa-search.com/home.html
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.alfa-search.com/home.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.alfa-search.com/search.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://www.alfa-search.com/search.html
O4 – Global Startup: MSupdate.exe
Provavelmente a variante mais simples desde a
CWS.Datanotary, este hijacker só faz coisas básicas: muda sua página inicial e de busca, adiciona sites pornográficos aos Favoritos e mostra um mensagem falsa de erro ao iniciar. Apagar o arquivo MSupdate.exe da pasta Inicializar do All Users, remover os sites dos favoritos e resetar a página inicial e de busca do IE corrige o problema. O arquivo MSupdate.exe pode instalar um arquivo hosts malicioso também, mas parece não fazer isso.
- CWS.Alfasearch.2
-
Existe uma mutação dessa variante que redireciona o IE para http://www.find-itnow.com, instala 7 sites de conteúdo adulto nos favoritos e gera mensagens de erro sobre o “Win Min” ao desligar o sistema, além de uma mensagem de erro falsa na inicialização. Ela instala um arquivo Winlogon.exe falso na pasta “Inicializar” do All Users ou no grupo de inicialização do usuário atual. Este arquivo está sempre rodando e é difícil de remover.
Se o CWShredder repetidamente diz que consegue remover essa variante, ele não consegue remover o Winlogon.exe. Para remover este arquivo manualmente, mova-o para fora da pasta de inicialização, reinicie e apague-o. - CWS.Alfasearch.3
- Existe outra mutação dessa variante que redireciona o IE para http://www.alfa-search.com e se reinstala usando um script VBS encriptado de três locais no registro, usando o arquivo rundll32.vbe com o nome de Windows Security Assistant. Ele também instala uma folha de estilos chamada readme.txt, localizado na pasta de sistema do Windows, além de 9 sites adultos nos favoritos e 6 na área de trabalho. Também instala um arquivo HOSTS que redireciona 8 sites de busca e um site pornô para 64.124.222.169 (alfa-search.com).
CWS.Xplugin
V20: ‘Ajudando’ você a procurar na Internet
| Encontrado | 11 de Novembro de 2003 |
|---|---|
| Sintomas | Links no Google resultando em páginas em umaxsearch.com ou coolwebsearch.com |
| Inteligência | 10/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
Essa variante é a primeira que não pode ser vista no log do HijackThis. Invisível, ela muda links na busca do Google para outras páginas. Levou um tempo para descobrir como essa variante funcionava, pois ela não era encontrada nos locais comuns.
Um arquivo de nome xplugin.dll é instalado, que cria um novo filtro de protocolo para text/html. Falando em português, isso quer dizer que ele pode ler todas as páginas que você visita, usando isso para alterar links na busca do Google para que você seja redirecionado para umaxsearch.com e coolwebsearch.com. Ele diz ser feito por algo chamado TMKSoft.
Não se sabe se deletar o arquivo não traz nenhum problema ao sistema, mas usar o CWShredder ou usar o comando
regsvr32 /u c:windowssystem32xplugin.dll (pode variar dependendo da versão do Windows) corrige o hijack completamente.
CWS.Qttasks
V21: Ainda mais simples que a CWS.Alfasearch
| Encontrado | 23 de Novembro de 2003 |
|---|---|
| Sintomas | Páginas do IE redirecionadas para start-space.com |
| Inteligência | 2/10 |
| Remoção Manual | Um pouco de edição no registro |
Entradas no HijackThis
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.start-space.com/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://www.start-space.com/
O4 – HKCU..Run: [QuickTime Task] c:windowsqttasks.exe
Imitando a entrada de inicialização legítima do ‘Quicktime Task’ no registro (que fica no HKLM), esta variante é executada na inicialização para trocar a página inicial para start-space.com. É isso. Sério!
CWS.Msconfd
V22: Finalmente usando o rundll32
| Encontrado | 26 de Novembro de 2003 |
|---|---|
| Sintomas | Páginas no IE modificadas para webcoolsearch.com, mensagem de erro falsa sobre o msconfd.dll na inicialização e sites pornô adicionados aos favoritos (alguns possivelmente contendo pornografia infantil) |
| Inteligência | 7/10 |
| Remoção Manual | Edição no registro, remover os sites nos favoritos e travar uma batalha para remover o DLL que está sempre na memória |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://webcoolsearch.com/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://webcoolsearch.com/
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://webcoolsearch.com/
O4 – HKLM..RunServices: [Desktop] rundll32.exe msconfd,Restore ControlPanel
Entradas no StartupList
HKLM..Windows NTCurrentVersionWindows: AppInit_DLLs=msconfd.dll
Esta é a primeira variante que usa um arquivo DLL junto com o programa rundll32 do Windows. Isso dificulta o reconhecimento do verdadeiro culpado, msconfd.dll, que redireciona o IE para webcoolsearch.com e adiciona 11 sites pornográficos nos favoritos do IE, sendo que 4 possivelmente possuem pornografia infantil.
Remover a entrada de inicialização no registro e resetar o IE corrige uma boa parte do problema. Na remoção do msconfd.dll é necessário renomear o arquivo, reiniciar o sistema e só então apagar o arquivo renomeado.
- CWS.Msconfd.2
- Existe uma mutação dessa variante que usa o arquivo avpcc.dll ou o ctrlpan.dll que se liga no Windows da mesma forma que a primeira. Essa mutação deleta todos os favoritos do IE e depois coloca os seus sites pornográficos no lugar deles.
- CWS.Msconfd.3
-
Existe outra mutação dessa variante que usa o arquivo
cpan.dll.
CWS.Therealsearch
V23: A miséria anda em pares
| Encontrado | 29 de Novembro de 2003 |
|---|---|
| Sintomas | Páginas do IE redirecionadas para therealsearch.com, sites pornográficos nos favoritos e no recurso de autocompletar |
| Inteligência | 4/10 |
| Remoção Manual | Edição no registro, remover os sites nos favoritos e um gerenciador de processos |
Entradas no HijackThis
C:WINDOWSquicken.exe
C:WINDOWSeditpad.exe
R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://www.therealsearch.com/sp.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.therealsearch.com/sp.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.therealsearch.com/sp.php
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.therealsearch.com/hp.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.therealsearch.com/sp.php
O4 – HKCU..Run: [quicken] C:WINDOWSquicken.exe
O4 – HKCU..Run: [editpad] C:WINDOWSeditpad.exe
Essa variante parecia ser pior do que ela realmente era. Já que ela tinha dois processos, ela parecia com o
Trojan Peper que era difícil de ser removido. Mas esses processos não são como os do Peper. O menor deles, quicken.exe, baixa e executa o outro, editpad.exe (como em CWS.Aff.Iedll) redireciona o IE para therealsearch.com, além de colocar os dois processos na inicialização.
Para remover essa variante é necessário um gerenciador de processos para finalizar o editpad.exe e o quicken.exe, para então apagar os arquivos e resetar a página inicial e a de busca do IE, além de remover CWS.Aff.Tooncomics.2, que possivelmente é instalada por esta variante.
- CWS.Therealsearch.2
- Há uma mutação dessa variante que direciona o IE para my.search (sic) e usa os arquivos c:windowswinrar.exe e c:windowswaol.exe.
CWS.Control
V24: Cara, onde está meu Painel de Controle?
| Encontrado | 7 de Dezembro de 2003 |
|---|---|
| Sintomas | Redirecionamentos para windoww.cc, super-spider.com e search2004.net |
| Inteligência | 3/10 |
| Remoção Manual | Edição no registro e restauração de um arquivo do sistema no Windows 9x/ME |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.windowws.cc/ sp.htm?id=9
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.windowws.cc/ hp.htm?id=9
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://super-spider.com
O4 – HKCU..Run: [Windows Control] C:WINDOWSCONTROL.EXE
O4 – HKCU..RunServices: [Windows Control] C:WINDOWSCONTROL.EXE
Essa variante seria simples se ela não colocasse um arquivo na pasta Windows que substitui um arquivo do sistema no Windows 9x/ME — é possível que o seu Painel de Controle pare de funcionar depois de ser infectado com essa variante do CWS. Você precisa do System File Checker (sfc.exe) para recuperar o arquivo control.exe do seu CD de instalação do Windows. O Windows NT/2000/XP não possui este problema com essa variante (já que o control.exe fica na pasta system32).
- CWS.Control.2
- Existe uma mutação dessa variante que é idêntica em todos os aspectos, mas o control.exe está sempre na memória.
- CWS.Control.3
- Existe uma mutação dessa variante que usa arquivos e entradas no registro aleatórias.
CWS.Olehelp
V25: Quem quer alguns sites nos favoritos?
| Encontrado | 4 de Janeiro de 2004 |
|---|---|
| Sintomas | IE redirecionado para omega-search.com e muitos novos sites nos favoritos |
| Inteligência | 3/10 |
| Remoção Manual | Edição no registro e remoção de alguns arquivos |
Entradas no HijackThis
C:WINDOWSOLEHELP.EXE
R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://www.omega-search.com/go/panel_search.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.omega-search.com/go panel_search.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.omega-search.com/go/panel_search.html
O4 – HKCU..Run: [olehelp] C:WINDOWSolehelp.exe
O4 – HKCU..Run: [svchost] C:WINDOWSolehelp.exe
Essa variante é muito simples. Ela inicializa um arquivo chamado
olehelp.exe através do registro, que modifica a página inicial e de busca do IE para omega-search.com, além de adicionar ridículos 107 novos sites nos favoritos, dos quais 14 são pornográficos.
Eliminar a chave no registro e deletar o arquivo e os sites nos favoritos corrige o problema.
CWS.Smartsearch
V26: Contra-contra-ataques
| Encontrado | 7 de Janeiro de 2004 |
|---|---|
| Sintomas | IE redirecionado para smartsearch.ws em URLs incompletas e na página inicial, programas anti-spyware fechando sem razão após alguns segundos abertos |
| Inteligência | 5/10 |
| Remoção Manual | Muita edição no registro, um gerenciador de processos e a remoção de alguns arquivos |
Entradas no HijackThis
C:Program Filesdirectxdirectx.exe
R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://smartsearch.ws/?q=
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://smartsearch.ws/?q=
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://smartsearch.ws/?q=
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://smartsearch.ws
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://smartsearch.ws
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://smartsearch.ws/?q=
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://smartsearch.ws/?q=
O4 – HKLM..Run: [SystemEmergency] C:Program Filesdirectxdirectx.exe
O4 – HKLM..RunServices: [SystemEmergency] C:Program Filesdirectxdirectx.exe
O4 – HKCU..Run: [SystemEmergency] C:Program Filesdirectxdirectx.exe
O4 – HKLM..Run: [UserSystem] C:Windowsiexplorer.exe
O4 – HKLM..RunServices: [UserSystem] C:Windowsiexplorer.exe
O4 – HKCU..Run: [UserSystem] C:Windowsiexplorer.exe
O13 – DefaultPrefix: http://smartsearch.ws/?q=
O13 – WWW Prefix: http://smartsearch.ws/?q=
Essa variante é um pouco difícil de ser detectada, pois usa dezenas de nomes diferentes para os arquivos. Por sorte, todos usam os mesmos nomes nas entradas do registro. O arquivo está sempre rodando e reinstala o hijack para smartsearch.ws a cada 10 segundos. Finalizar o processo do trojan, apagar/resetar todas as entradas no registro que ele adicionou e remover os arquivos corrige o hijack.
- CWS.Smartsearch.2
- Existe uma mutação dessa variante que tenta fechar o CWShredder, HijackThis, Ad-Aware, Spybot-S&D e os fóruns da SpywareInfo quando abertos. Usa o arquivo de nome IEXPLORER.EXE (repare o “R” no fim) e um valor diferente no registro. Ele instala também um arquivo HOSTS que bloqueia mais de duas dúzias de sites anti-spywares. O CWShredder foi atualizado para não ter problemas com isso. (Nota de Tradução: essa variante é também conhecida como CWS.Smartkill)
- CWS.Smartsearch.3
- Existe uma mutação dessa variante que usa o nome ‘coolwebprogram’ para a entrada de inicialização e tenta fechar os mesmos programas que a CWS.Smartsearch.2. Ela também instala o arquivo notepad32.exe e muda os arquivos .txt e .log para serem abertos com esse programa antes do Bloco de Notas verdadeiro, assim reinstalando o hijack novamente.
- CWS.Smartsearch.4
-
Existe uma mutação dessa variante que redireciona para magicsearch.ws e não smartsearch.ws. Usa o nome ‘MicrosoftWindows’ para entrada no registro e também instala o notepad32.exe como o
CWS.Smartsearch.3. Também muda o prefixo WWW e o prefixo padrão para magicsearch.ws, como CWS.Vrape faz, além de tentar fechar firewalls como o Zone Alarm e Kerio.
Arquivos usados por essa variante
C:Program Filesdirectxdirectx.exe
C:Program FilesCommon FilesSystemsysteem.exe
C:Windowsexplore.exe (note a falta de um ‘r’)
C:WindowsSysteminternet.exe
C:WindowsMediawmplayer.exe
C:WindowsHelphelpcvs.exe
C:Program FilesAccessoriesaccesss.exe
C:Gamessystemcritical.exe
C:Documents Settingssistem.exe
C:Program FilesCommon FilesWindows Media Playerwmplayer.exe
C:WindowsStart MenuProgramsAccessoriesGame.exe
C:Windowssistem.exe
C:WindowsSystemRunDll16.exe
C:Windowsiexplorer.exe (repare no “i” e “r” extras )
C:y.exe
C:x.exe
c:funny.exe
c:funniest.exe
c:Windowsnotepad32.exe
C:Windowssystemkazaa.exe
C:Windowssystem32kazaa.exe
C:Program FilesCommon FilesServicesiexplorer.exe
C:Program FilesCommon FilesServicesexplore.exe
C:Program FilesCommon FilesServicesexploreer.exe
C:Program FilesCommon FilesServicessistem.exe
C:Program FilesCommon FilesServicescritical.exe
C:Program FilesCommon FilesServicesdirectx.exe
C:Program FilesCommon FilesServicesinternet.exe
C:Program FilesCommon FilesServiceswindow.exe
C:Program FilesCommon FilesServiceswinmgnt.exe
C:Program FilesCommon FilesServicesclrssn.exe
C:Program FilesCommon FilesServicesexplorer32.exe
C:Program FilesCommon FilesServiceswin32e.exe
C:Program FilesCommon FilesServicesdirectx32.exe
C:Program FilesCommon FilesServicesuninstall.exe
C:Program FilesCommon FilesServicesvolume.exe
C:Program FilesCommon FilesServicesautorun.exe
C:Program FilesCommon FilesServicesusers32.exe
C:Program FilesCommon FilesServicesnotepad.exe
C:Program FilesCommon FilesServiceswin64.exe
C:Program FilesCommon FilesServicesinetinf.exe
C:Program FilesCommon FilesServicestime.exe
C:Program FilesCommon FilesServicessysteem.exe
c:Windowssystem32iexplorer.exe
c:Windowssystem32explore.exe
c:Windowssystem32exploreer.exe
c:Windowssystem32sistem.exe
c:Windowssystem32critical.exe
c:Windowssystem32directx.exe
c:Windowssystem32internet.exe
c:Windowssystem32window.exe
c:Windowssystem32winmgnt.exe
c:Windowssystem32clrssn.exe
c:Windowssystem32explorer32.exe
c:Windowssystem32win32e.exe
c:Windowssystem32directx32.exe
c:Windowssystem32uninstall.exe
c:Windowssystem32volume.exe
c:Windowssystem32autorun.exe
c:Windowssystem32users32.exe
c:Windowssystem32win64.exe
c:Windowssystem32inetinf.exe
c:Windowssystem32time.exe
c:Windowssystem32systeem.exe
CWS.Smartfinder
V27: Descobrindo novos caminhos
| Encontrado | 11 de Janeiro de 2004 |
|---|---|
| Sintomas | IE redirecionado para nkvd.us e smart-finder.biz ao digitar URLs incompletas |
| Inteligência | 10/10 |
| Remoção Manual | Edição no registro e remover um arquivo que está sempre na memória |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.nkvd.us/s.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.nkvd.us/s.htm
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.nkvd.us/1507/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.nkvd.us/s.htm
O13 – DefaultPrefix: http://www.nkvd.us/1507/
O13 – WWW Prefix: http://www.nkvd.us/1507/
O13 – Home Prefix: http://www.nkvd.us/1507/
O13 – Mosaic Prefix: http://www.nkvd.us/1507/
Entradas no StartupList
DDE Control Module: C:WINDOWSSYSTEMmtwirl32.dll
Essa variante é muito inteligente pois usa dois métodos de inicialização (ShellServiceObjectDelayLoad e SharedTaskScheduler) que devem ser os dois métodos mais raros existentes, além de usá-los de forma diferente no Windows 9x/ME e no Windows NT/2000/XP. Ambos os métodos fazem com que o arquivo seja carregado quando o “Explorer” for carregado, fazendo com que o arquivo fique sempre na memória como o CWS.Msconfd. Se isso não fosse o bastante, os arquivos realmente responsáveis pela infecção não podem ser vistos no log do HijackThis e somente um deles é exibido no log do StartupList. O arquivo responsável é o mtwirl32.dll e para removê-lo é necessário renomeá-lo, reiniciar o sistema e então apagá-lo, já que deletar diretamente não é possível, pois está em uso. Depois disso, ainda é necessário remover a chave no registro.
- CWS.Smartfinder.2
-
Existe uma mutação dessa variante que é mais difícil de ser removida, mas basicamente usa o mesmo método para inicializar e o mesmo CLSID. Além disso, ela usa um BHO com o nome de mshelper.dll que recria qualquer chave no registro que você apague para remover essa mutação.
Apagar o BHO faz com que as chaves não possam ser recriadas e então podem ser apagados seguramente. Note que o BHO, embora parecido com o Osborntech Popup Blocker, pode ser diferenciado pelo CLSID e pela localização do arquivo (o verdadeiro fica em uma pasta separada na pasta Arquivos de Programas).
CWS.Yexe
V28: Tanto faz
| Encontrado | 17 de Janeiro de 2004 |
|---|---|
| Sintomas | Página inicial modificada para search.thestex.com |
| Inteligência | 2/10 |
| Remoção Manual | Apagar entradas no registro, uma pasta e resetar o IE |
Entradas no HijackThis
O2 – BHO: (no name) – {5321E378-FFAD-4999-8C62-03CA8155F0B3} – C:WINDOWSSystemservices1.00.07.dll
O4 – HKLM..Run: [xpsystem] C:WINNTsystem32servicesy.exe
O4 – HKCU..Run: [xpsystem] C:WINNTsystem32servicesy.exe
Essa variante usa um nome para o arquivo que é geralmente usado como instalador para outras variantes do CWS ou Lop.com (y.exe), mas o usa como o arquivo principal do hijacker. Ele é inicializado pelo win.ini e pelo system.ini de um modo estranho que nem devia funcionar e instala um BHO que parece reagir se certas palavras-chave forem encontradas em uma página. Remover o BHO, as entradas no win.ini e no system.ini e deletar o y.exe corrige o problema.
- CWS.Yexe.2
- Possivelmente existe uma mutação dessa variante que usa o arquivo services.exe em vez de y.exe.
CWS.Gonnasearch
V29: Leve três pelo preço de um
| Encontrado | 18 de Janeiro de 2004 |
|---|---|
| Sintomas | IE redirecionado para gonnasearch.com |
| Inteligência | 2/10 |
| Remoção Manual | Remover algumas chaves e valores no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.gonnasearch.com/?ref=sp
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.gonnasearch.com/ iesearch.php?ref=sb
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.gonnasearch.com/?ref=sp
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.gonnasearch.com/ iesearch.php?ref=sb
O2 – BHO: SearchAddon – {799A370D-5993-4887-9DF7-0A4756A77D00} – C:PROGRA~1INTERN~1ToolbarSEARCH~1.DLL
O2 – BHO: AutoSearch – {A55581DC-2CDB-4089-8878-71A080B22342} – C:PROGRA~1INTERN~1ToolbarAUTOSE~1.DLL
O2 – BHO: (no name) – {E7AFFF2A-1B57-49C7-BF6B-E5123394C970} – C:PROGRA~1INTERN~1Toolbarwebinfo.dll
Essa variante se difere das outras por instalar não um, mas
três BHOs. O objetivo deles é desconhecido. Remover os tres BHOs e resetar as páginas do IE corrige o problema.
CWS.Winproc32
V30: Não consigo pensar em nada engraçado para dizer aqui
| Encontrado | 23 de Janeiro de 2004 |
|---|---|
| Sintomas | IE sendo redirecionado para icanfindit.net ou 4-counter.com, hijack retornando na reinicialização do sistema ou possivelmente antes |
| Inteligência | 2/10 |
| Remoção Manual | Edição no registro e um gerenciador de processos |
Entradas no HijackThis
C:WINDOWSSYSTEM32WINPROC32.EXE
R1 – HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://4-counter.com/?a=2
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://4-counter.com/?a=2
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://4- counter.com/?a=2
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://4-counter.com/
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://4- counter.com/?a=2
O4 – HKCU..Run: [Windows Internet Protocol] C:WINDOWSSYSTEM32WINPROC32.EXE
Uma variante muito simples. Winproc32.exe carrega junto com o sistema e redireciona o IE. O arquivo fica na memória, então um gerenciador de processos é necessário para finalizá-lo. Ele adiciona 4 sites pornográficos aos favoritos. Ele também tenta modificar chaves do usuário padrão (HKEY_USERS.DEFAULT), mas não consegue.
CWS.Msconfig
V31: Destruição mais um
| Encontrado | 5 de Fevereiro de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para http://www.31234.com na inicialização do sistema e quando modificar a página inicial de volta, erros contínuos sobre um script de registro inválido em temp2.txt, opção extra no menu do clique-direito chamado ‘??????’ em páginas da internet |
| Inteligência | 2/10 |
| Remoção Manual | Edição no registro, um gerenciador de processos e recuperar um arquivo danificado do CD do Windows |
Entradas no HijackThis
C:WINDOWSSYSTEMMSCONFIG.EXE
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.31234.com/www/homepage.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.31234.com/www/homepage.html
O4 – HKLM..Run: [msconfig] C:WINDOWSSYSTEMmsconfig.exe
O4 – HKCU..Run: [msconfig] C:WINDOWSSYSTEMmsconfig.exe
O8 – Extra context menu item: ?????? – C:WINDOWSsystem32openme.htm
Essa variante usa o arquivo nomeado msconfig.exe que substitui o arquivo verdadeiro do Windows nos Windows 98/98SE/ME. O arquivo temp2.txt que ele cria é na verdade um script do registro, mas como está no formato incorreto vai aparecer um erro no Windows 9x/ME sobre um script de registro inválido. No Windows 2000/XP ele vai funcionar sem problemas, criando uma opção ‘??????’ no menu do clique-direito no Internet Explorer.
O arquivo msconfig.exe estará sempre na memória reinstalando o hijack a cada 5 segundos. Matar o processo, apagar o arquivo, resetar as páginas do IE e recuperar o arquivo msconfig.exe verdadeiro conserta o problema.
CWS.Xxxvideo
V32: Que, você quer dizer que não é um vídeo de XXX?
| Encontrado | 11 de Fevereiro de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para enjoysearch.info, 4 páginas adicionadas aos Favoritos e tudo de volta ao reiniciar o sistema |
| Inteligência | 3/10 |
| Remoção Manual | Edição no Registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:// http://www.enjoysearch.info/search.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http:// http://www.enjoysearch.info/search.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http:// http://www.enjoysearch.info/
O4 – HKLM..Run: [xxxvid] C:WINDOWSsystem32xxxvideo.hta
O4 – HKCU..Run: [xxxvid] C:Documents and Settings<username>My Documentsxxxvideo.hta
Uma variante muito simples com um script encriptado que roda na incialização reinstalando o hijack. Apagar as entradas de autorun, apagar os dois arquivos .hta e os quatro favoritos consertam o hijack.
CWS.Winres
V33: About:Blank hackeada
| Encontrado | 10 de Fevereiro de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para 2020search.com e about:blank modificado para uma página de busca |
| Inteligência | 7/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:// http://www.2020search.com/search/9884/search.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = about:blank
O2 – BHO: Windows Resources – {2D38A51A-23C9-48a1-A33C-48675AA2B494} – C:WINDOWSwinres.dll
O15 – Trusted Zone: *.i-lookup.com
O15 – Trusted Zone: *.offshoreclicks.com
O15 – Trusted Zone: *.teensguru.com
Essa variante é a primeira que atinge um resultado surpreendente: consegue modificar a página ‘about:blank’ para uma página de busca. Isso também é visto na variante CWS.Xmlmimefilter usando um método diferente. Essa variante possivelmente adiciona três domínios aos “Sites Confiáveis” do Internet Explorer e mais dois sites na área de trabalho.
Apagar o BHO, resetar as páginas do IE e remover os sites da área de trabalho e da lista de Sites Confiáveis conserta o problema.
CWS.Xmlmimefilter
V34: About:Blank hackeada V2.0
| Encontrado | 29 de Fevereiro de 2004 |
|---|---|
| Sintomas | Página inicial do IE modificada para about:blank que é modifcada para uma página de busca com o nome de ‘Microsoft Search the Web’ e redirecionamentos para a mesma página de busca ao digitar incorretamente um endereço |
| Inteligência | 10/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
O18 – Protocol: about – {53B95211-7D77-11D2-9F80-00104B107C96} – C:WINDOWSSystem32msxmlpp.dll
Embora a modificação do About:Blank também fora feito pela variante CWS.Winres, essa nova variante consegue fazer isso de uma forma muito mais elegante. A DLL responsável por cuidar do protocolo ‘about:’ é modificada para uma DLL maliciosa, msxmlpp.dll, mostrando uma página de busca cheia de links para 66.117.38.91 ao invés de uma página em branco.
Mudar o CLSID do protocolo about de volta ao padrão
{3050F406-98B5-11CF-BB82-00AA00BDCE0B}, apagar os arquivos e remover o arquivo hosts conserta o problema.
CWS.Aboutblank
V35: É apenas moda
| Encontrado | 2 de Março de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para about-blank.ws e 213.159.118.226 (1-se.com), hijack voltando ao reiniciar o sistema |
| Inteligência | 5/10 |
| Remoção Manual | Edição no registro e apagar um arquivo aleatório |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://about-blank.ws/page/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://about-blank.ws/page/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = http://about-blank.ws/
O1 – Hosts: 213.159.118.226 1-se.com
O1 – Hosts: 213.159.118.226 58q.com
O1 – Hosts: 213.159.118.226 aifind.cc
O1 – Hosts: 213.159.118.226 aifind.info
O1 – Hosts: 213.159.118.226 allneedsearch.com
O1 – Hosts: 213.159.118.226 approvedlinks.com
[..]
O1 – Hosts: 213.159.118.226 http://www.wazzupnet.com
O1 – Hosts: 213.159.118.226 http://www.websearch.com
O1 – Hosts: 213.159.118.226 http://www.windowws.cc
O1 – Hosts: 213.159.118.226 http://www.xgmm.com
O1 – Hosts: 213.159.118.226 xwebsearch.biz
O1 – Hosts: 213.159.118.226 yourbookmarks.ws
O4 – HKLM..Run: [Network Service] C:WINNTsvchost.exe-sr -0
O4 – HKCU..Run: [Network Service] C:WINNTsvchost.exe-sr -0
O19 – User stylesheet: C:WINNTsystem32xea2108l.9zt
Essa variante faz tudo que pode para redirecionar você para um domínio contralado por 1-se.com. O IE é redirecionado para ele e o arquivo HOSTS é trocado para redirecionar mais ou menos 100 sites pornográficos e domínios do CoolWebSearch para 1-se.com, além de uma folha de estilos com nome aleatório que é criada para redirecionar para 1-se.com quando certas palavras apareceram em uma página.
Resetar as páginas do IE através de uma busca no registro por about-blank.ws, remover o arquivo HOSTS, remover o arquivo svchost.exe da pasta Windows (o da pasta System32 é legítimo) e apagar a folha de estilos aleatória (1079 ou 1087 bytes de tamanho) corrige o problema.
CWS.Sounddrv
V36: Sem graça, mas escondido
| Encontrado | 12 de Março de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para defaultsearching.com, hijack voltando ao reiniciar |
| Inteligência | 3/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://defaultsearching.com
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://defaultsearching.com
O4 – HKCU..RunOnce: [sounddrv] C:WINDOWSSYSTEMSNDBDRV3104.EXE
Essa variante é bem pequena, mas sua habilidade para se esconder fica a cargo do nome que usa para o arquivo, que foi primeiramente confundido com um driver para uma placa de som (inclusive por mim). Fora isso, esse hijack é realmente simples. Apagar o arquivo e resetar o IE conserta o problema.
CWS.Realyellowpage
V37: Causando tendências homicidas
| Encontrado | 16 de Março de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para real-yellow-page.com, drxcount.biz, list2004.com ou linklist.cc, hijack inexplicavelmente voltando ao reiniciar sem qualquer arquivo parecendo responsável |
| Inteligência | Cadê a tecla do símbolo de infinito? |
| Remoção Manual | Recomenda-se machado ou serra elétrica |
Entradas no HijackThis
Essa variante é um pesadelo. Se você viu um computador infectado que continua mudando as páginas do IE para os sites mencionados por nenhuma razão visível, você provavelmente viu essa aqui. É provável que quem esteja que está por trás dessa variante contratou um programador blackhat e disse para ele fazer o hijacker mais complexo e persistente que ele poderia imaginar. E ele fez.
O arquivo é nomeado aleatoriamente e geralmente se hospeda no processo do Internet Explorer como um módulo. Depois ele esconde o processo da lista de processos. Sim, você leu isso mesmo, o processo que hospeda a DLL desaparece do Gerenciador de Tarefas e da maioria dos gerenciadores de processos que nós tentamos.
Primeiro ele era somente visível com o FAR Explorer, mas mais tarde descobrimos que o PrcView também o mostrava, além de ter algumas ótimas opções para linha de comando, o que faria bons scripts para ajudar na remoção manual. Para Windows 9x/ME, inciar o computador no Modo de Segurança vai fazer com que o arquivo não carregue, permitindo uma maneira mais simples de remoção.
Instruções para remoção manual
- Faça o download do PrcView aqui:
http://www.merijn.org/files/pv.zip
e descompacte-o para sua área de trabalho - Com pelo menos uma janela do Internet Explorer aberta, dê um duplo-clique no arquivo runme.bat
- Selecione a opção ‘2’ do menu. O Bloco de Notas abrirá com um log.
- Procure por uma linha assim:
winajbm.dll 61c00000 61440 c:windowssystem32winajbm.dll
O nome do arquivo será sempre diferente.Essa parte indica o arquivo ruim:
61c00000 61440
Ele sempre começará com esse cabeçalho. - Anote o arquivo que aparece indicado na linha.
- Agora faça o download do KillBox:
http://www.downloads.subratam.org/KillBox.zip
As instruções abaixo foram atualizadas e não constam no documento original.
- Na caixa com o título Full Path of File to Delete, coloque o caminho completo do arquivo encontrado anteriormente
- Marque o botão Delete on Reboot e então clique no botão vermelho com um X em branco.
- Responda “Sim” às perguntas que o programa fará. O computador será reiniciado e o arquivo deve ser deletado. Se o arquivo não estiver mais lá e os sintomas tiverem desaparecido o problema foi resolvido.
Informações Técnicas
- Win9X/ME
- Usa a chave RunServicesOnce do HKLM para ser carregado, que é apagada pelo Windows logo após executar o arquivo e então é recriada pela DLL quando o Windows é desligado. É visível no modo de segurança quando a DLL não é carregada e então pode ser apagada.
- WinNT/2000/XP
- Usa a chave AppInit_DLLs para ser carregado e possivelmente mais chaves do registro. A função para apagar arquivos ao reiniciar pode ser usada (o KillBox faz isso), desde que o nome do arquivo seja conhecido.
O arquivo está fortemente encriptado usando uma ferramenta desconhecida, possui um cabeçalho PE modificado e trava a maioria (se não todos) dumpers de memória quando tentam despejar o arquivo da memória. Esconde o processo hospedeiro (IEXPLORE.EXE, RUNDLL32.EXE, CONTROL.EXE ou REGSVR32.EXE, dependendo de qual for usado) usando um método desconhecido.
O CWShredder não é capaz de remover essa variante automaticamente.
CWS.Systeminit
V38: Tamanho real
| Encontrado | 21 de Março de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para your-search.info, redirecionamentos para search-dot.com, hijack retornando ao reiniciar, sites adicionados na área de trabalho e nos favoritos |
| Inteligência | 2/10 |
| Remoção Manual | Edição no registro |
Entradas no HijackThis
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.your- search.info/start.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http:// http://www.your-search.info/start.html
O4 – HKLM..Run: [system32.dll] C:WINDOWSsystemsysteminit.exe
O4 – Global Startup: sytem32.exe
O19 – User stylesheet: C:WINDOWSsstyle.css
O19 – User stylesheet: C:WINDOWSsstyle.css (HKLM)
Uma variante pequena que usa dois arquivos para reinstalar o hijack. A folha de estilos redireciona para search-dot.com e duas entradas que iniciam com o sistema modificam as páginas do IE para your-search.info. Uma cópia de backup do arquivo systeminit.exe fica em
C:Documents And Settingssys.exe (esta localização está
hardcoded no trojan). Apagar os três arquivos do trojan, a folha de estilos e os sites adicionados nos favoritos e resetar o IE conserta o problema.
CWS.Searchx
V39: About:Blank parece popular ultimamente
| Encontrado | 6 de Abril de 2004 |
|---|---|
| Sintomas | Páginas do IE modificadas para about:blank (que é modificada para um portal de busca que possui links para searchx.cc) e uma página de busca dentro de uma DLL no sistema, hijack voltando ao reiniciar |
| Inteligência | 8/10 |
| Remoção Manual | Muita edição no registro |
Entradas no HijackThis
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32gfmnaaa.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res:// C:WINDOWSSystem32gfmnaaa.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {48918FB4-1FD5-4DF3-87F0- 12C36350039D} – C:WINDOWSSystem32gfmnaaa.dll
Essa variante não é difícil de ser notada, mas um pouco mais difícil de ser identificada já que os seus sintomas são muito parecidos com os da variante CWS.Xmlmimefilter. Ele cria um DLL de nome aleatório na pasta do sistema e configura as páginas inicial e de busca do IE para ele. Um BHO também é instalado que utiliza a mesma DLL. A página about:blank é modificada através da criação de novos filtros de protocolo para text/html e text/plain, o que permite que a DLL controle a maioria do conteúdo que passa pelo IE, como as páginas de Internet. O trojan mantém um log de todas as ações no arquivo
c:filter.log. Remover os dois filtros no registro, remover o BHO, a DLL, o arquivo de log e resetar o IE conserta o problema.
Nota: CWS.Realyellowpage foi encontrada junto com essa variante algumas vezes, fazendo com que o CWShredder não seja capaz de remover essa variante aqui. Procure o método manual para remover aquela variante e então rode o CWShredder novamente para remover CWS.Searchx.
Variantes dos Afiliados
Essas variantes não tem uma relação direta com o CoolWebSearch, mas são vistas com ele freqüentemente.
CWS.Aff.iedll
V40: Programador ruim
| Encontrado | 18 de Agosto de 2003 |
|---|---|
| Sintomas | Erros em um arquivo chamado iedll.exe ou loader.exe quando o Windows iniciar, avistada muitas vezes junto com outras variantes do CWS |
| Inteligência | 3/10 |
| Remoção Manual | Finalizar um processo e edição no registro |
Entradas no HijackThis
C:WINDOWSIEDLL.EXE
C:WINDOWSLOADER.EXE
O4 – HKCU..Run: [iedll] C:WINDOWSiedll.exe
O4 – HKCU..Run: [loader] C:WINDOWSloader.exe
Essa variante de afiliados, de origem desconhecida, possui dois arquivos. O primeiro, loader.exe faz o download do segundo, iedll.exe e o executa. Ambos os arquivos são configurados para iniciar junto com o Windows. O hijack se torna óbvio quando o iedll.exe trava — o que acontece seguidamente. Aparentemente, esse hijacker foi programado de forma tão ruim que ele não vai conseguir mudar as páginas do IE e fazer o hijack. Ele somente está listado aqui pois ele foi visto junto com outras variantes do CWS em várias ocasiões.
- CWS.Aff.iedll.2
-
Existe uma mutação dessa variante que usa os mesmos arquivos, porém eles ficam na pasta
C:Program FilesWindows Media Player.
CWS.Aff.Winshow
V41: Chega de dois modos
| Encontrado | 13 de Julho de 2003 |
|---|---|
| Sintomas | IE redirecionado para youfindall.com, BHO adicionado no IE com o arquivo winshow.dll. A segunda variante muda as páginas para searchv.com e redireciona endereços digitados incorretamente para um site pornô, problemas voltam ao reinicia ou até mesmo antes |
| Inteligência | 5/10 — 8/10 na segunda mutação |
| Remoção Manual | Muita e muita edição no registro, editar o arquivo hosts e apagar um arquivo |
Entradas no HijackThis
Entradas no HijackThis na segunda variante
O2 – BHO: WinShow module – {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} – C:Documents And SettingsusernameApplication DatawinshowWinshow.dll
O4 – HKLM..Run: [sys] regedit /s C:WINDOWSsys.reg
O4 – Global Startup: MSUpdater.exe
Essa variante era inicialmente bem inocente, tendo apenas um BHO com o nome de Winshow com objetivos desconhecidos que era visto seguidamente junto com outras variantes do CWS.
- CWS.Aff.Winshow.2
- A segunda mutação também usa o BHO com o mesmo arquivo, mas adiciona um redirecionamento através do HOSTS para redirecionar endereços de sites digitados incorretamente para um site pornô, além de mudar as páginas do IE para searchv.com na reinicialização usando um comando do registro. Um arquivo com o nome de MSUpdater.exe é colocado na pasta “Inicializar” do Menu Iniciar do “All users” que também carrega o hijack. Apagar os dois arquivos corrige o problema. Ainda não se sabe o que o BHO faz.
- CWS.Aff.Winshow.3
-
Existe uma terceira mutação que usa o arquivo
winlink.dll para o BHO. Ela redireciona o IE para searchv.com e thesten.com. Ela não possui os arquivos adicionais da segunda mutação. - CWS.Aff.Winshow.4
-
Existe uma quarta mutação dessa variante que adiciona uma entrada de desinstalação no Adicionar/Remover programas com o nome de Winshow e se atualiza automaticamente através de uma chave no registro com o nome de
WinShowUpdate. - CWS.Aff.Winshow.5
-
Existe uma quinta mutação dessa variante que usa o arquivo iefeatsl.dll, redireciona para search-click.com e se atualiza automaticamente através de uma chave no registro nomeada iefeatslUpdate. Ela também faz o download e instala um BHO com o nome de
SubmitHook. - CWS.Aff.Winshow.6
-
Existe uma sexta mutação dessa variante que usa um nome aleatório para o nome do arquivo e da pasta com mesmo CLSID das variantes anteriores:
{587DBF2D-9145-4c9e-92C2-1F953DA73773}. Ela também instala um BHO nomeado SubmitHook e se atualiza automaticamente através de uma chave no registro chamada Updater.
CWS.Aff.Tooncomics
V42: Mudando a internet
| Encontrado | 18 de Setembro de 2003 |
|---|---|
| Sintomas | Hijack para tooncomics.com, alvo dos links na internet modificados para sites pornográficos |
| Inteligência | 9/10 |
| Remoção Manual | Muita edição no registro e edição do arquivo HOSTS |
Entradas no HijackThis
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://tooncomics.com/main/hp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://66.250.130.194/main/hp.php
O1 – Hosts: 66.40.16.131 livesexlist.com
O1 – Hosts: 66.40.16.131 lanasbigboobs.com
O1 – Hosts: 66.40.16.131 thumbnailpost.com
O1 – Hosts: 66.40.16.131 adult-series.com
O2 – BHO: DNSErr object – {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} – C:WINDOWSDNSErr.dll
Essa variante parece é parecida com a CWS.Vrape, pois redireciona vários sites pornográficos para si mesmo e até usa um BHO para mudar o alvo dos links para sites pornográficos como o Toptext da eZula faz. Alguns usuários falaram que não era possível fazer o download do CWShredder pois os links nessa página foram todos alterados para sites pornográficos. A remoção manual é difícil, pois o arquivo DNSErr.dll, responsável por modificar os links, não possui nenhuma rotina de desinstalação como a maioria das DLLs. Porém, apagar o arquivo diretamente não traz nenhum problema.
- CWS.Aff.Tooncomics.2
- Exista uma mutação dessa variante que usa o arquivo dnse.dll como o BHO e um segundo arquivo ld.exe que está sempre rodando, recarregando o hijack. Nessa mutação, as páginas do IE são modificadas para fastwebfinder.com. Um programa para finalizar processos é necessário para se livrar do ld.exe.
CWS.Aff.Madfinder
V43: Parece o ClientMan
| Encontrado | 15 de Outubro de 2003 |
|---|---|
| Sintomas | Página inicial modifcada para madfinder.com, BHO com o nome BrowserHelper.dll, problemas voltando ao reiniciar ou antes |
| Inteligência | 5/10 |
| Remoção Manual | Finalizar um processo e muita edição no registro |
Entradas no HijackThis
C:WINDOWSSystem32svc.exe
O1 – BHO: (no name) – {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} – C:WINDOWSSystem32BrowserHelper.dll
O4 – HKCU..Run: [svc] C:WINDOWSSystem32svc.exe
Essa variante consiste de dois arquivos que ajudam um ao outro.
svc.exe roda invisivelmente, faz o download do segundo, BrowserHelper.dll e o instala como um BHO. Porém, este BHO também possui o primeiro arquivo e possivelmente o coloca de volta se ele for apagado. Essa variante é sempre acompanhada de um hijack para madfinder.com.
A correção conhecida como CWShredder
Depois de ler tudo isso, você deve estar com a impressão de que é quase impossível de remover o hijacker CoolWebSearch devido ao número de variantes. Embora seja verdade que a maioria das ferramentas anti-spyware não conseguem remover todas as variantes, existe uma ferramenta que vai.
Se chama CWShredder e pode ser baixado clicando no link abaixo:
Download do CWShredder
A Origem
Hoje nós já temos certeza de que o CoolWebSearch faz parte de um grupo de vários novos trojans que foram recentemente identificados, onde todos possuem a mesma característica: são instalados explorando a falha do
ByteVerify[4] no Microsoft Java Virtual Machine e que mudam a página inicial, página de busca, adicionam sites nos favoritos e etc. Dê uma olhada neste trecho retirado da descrição do trojan Java.Shinwow:
Existe um grupo crescente de trojans que exploram a falha do ByteCodeVerifier no Microsoft Virtual Machine que permite que códigos maliciosos sejam executados. As variantes desse trojan que nós vimos são um pouco diversas, mas todas elas usam essa falha para alcançar seus objetivos. Algumas das variantes podem fazer um pouco mais além de modificar a página inicial e de busca do IE.
Nós recomendamos a instalação do patch disponível no
boletim de segurança da Microsoft. Se você possui o Windows XP com o Service Pack 1a, seu sistema não possui mais o MS Java VM. Informações para remover completamente o MS Java VM para substituí-lo pelo novo e mais seguro Java da Sun podem ser encontradas aqui (inglês).
Também foi confirmado que o Index.Dat Viewer muda a página inicial para superwebsearch.com, que é um afiliado do CWS. Remover o Index.Dat Viewer
não vai restaurar a sua página inicial.
Sempre é uma boa idéia manter o sistema atualizado através do
Windows Update.
Notas da Tradução
1. CWShredder
Merijn descontinuou o CWShredder em Julho de 2004, mas ele foi adquirido pela InterMute em Setembro do mesmo e posteriormente pela Trend Micro, a mesma compania que hoje retém os direitos deste artigo. O CWShredder agora é mantido por eles. CWShredder é uma trademark da Trend Micro, Inc.
2. Caminho dos arquivos
Muitas vezes os caminhos dos arquivos são o que chamamos de “hardcoded” dentro do programa. Nesse caso, o caminho pode ser o mesmo em qualquer versão do Windows. Em outros casos, o nome do arquivo pode usar as pastas padrão do Windows para cada situação. Por exemplo:
- C:Program Files
C:Arquivos de Programas - C:Program FilesCommon Files
C:Arquivos de ProgramasArquivos Comuns
Por esse motivo, os caminhos dos arquivos não foram traduzidos para o português, já que se o caminho for hardcoded dentro do hijacker, ele poderá usar o mesmo caminho do Windows em inglês.
3. LSPs do Winsock
É possível manipular através do regedit as correntes do Winsock e assim é possível remover variantes como a CWS.Msspi. O processo é tão difícil e complexo que eu considero qualquer um que tente fazer isso com o regedit realmente louco. Não estou brincando. Use o LSPFix e salve a sua própria vida.
4. Falhas exploradas pelo CWS
Hoje em dia sabe-se que além do ByteVerify são usadas várias outras falhas, como o MhtRedir e o JS.Exception. É recomendado que você faça todas as atualizações do IE já que a lista de patches completa ficaria muito longa para listar aqui. Use o Windows Update e atualize seu computador!
Informações Removidas
Os campos “Referência” e “Encontrado” foram removidos, pois mais de 2/3 dos links estavam quebrados ou já tinham sido substituídos por outros logs mais recentes, assim tirando o propósito de “exemplo”.
Agradecimentos
Obrigado ao Merijn por ter originalmente escrito tudo o que está aqui e à InterMute (antiga proprietária do CWSShredder e, portanto, deste documento) por ter permitido a tradução para o Português do Brasil do maior documento atualmente existente sobre um hijacker.
E obrigado a você que leu até aqui.
