Uma nova praga está se espalhando por MSN. A grande diferença entre essa e muitas outras que já utilizaram o comunicador instantâneo é que os responsáveis pela praga estão relacionados com empresas de adware, possivelmente afiliados que querem ganhar dinheiro instalando essas pragas no computador do usuário.

Ao clicar no link que você recebe no MSN Messenger, uma página com um exploit para o Internet Explorer é aberta. Ela se encarrega de baixar e instalar programas como o 180search Assistant, Bulls Eye Network (bargains.exe), Elitebar e outros. Versões mais recentes da praga também utilizam arquivos .com para infectar o usuário.

O Aurora, adware da Direct-Revenue que já apareceu em downloads de BitTorrent, também é instalado por esse novo worm que usa o MSN.

Mensagem enviada pelo worm

As mensagens variam muito, pois existem diversas variantes atualmente na ativa. A mais comum delas é:

here see this video of you and me

Seguido desta frase, é enviado um link aparentemente seguro, geralmente terminado em .php. Este link irá se encarregar de instalar uma variante do SdBot (que por sua vez é muito parecida com o Agobot) e um arquivo chamado poker3.exe. Também foram encontrados casos onde o arquivo se chamava windir32.exe.

Outras mensagens enviadas:

omg.. [link infectado]

and if the link dont work try: [link infectado]

Outros links — que não acompanham qualquer mensagem — incluem o endereço de e-mail na sua conta. Esse endereço será enviado para os criadores do worm para que eles possam enviar SPAM. Se você receber um link que possui um endereço de e-mail no meio da URL, é recomendado que você não clique no link.

Também é recomendado a atualização do Windows, que pode ser feita através do Windows Update, para que as falhas exploradas pelos exploits usados pelo worm não funcionem e a infecção falhe.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

10 comentários

  1. Gabriel Eloi de Souza Sério dos Santos 09/08/2005 às 21:32

    este worm, que assombrou e assombra ainda muitos usuários do msn é simples de ser retirado nas versões do windows que possuem na barra de tarefas a opção restauração do sistema (win me, 2000, xp e 2003); para retirar a praga do pc, basta restaurar o computador para um momento antes (um dia anterior) de qualquer usuário ter clicado pela primeira vez do link que lhe foi enviado.

    Curtir

  2. Marcos Bezerra 10/08/2005 às 12:06

    Esta praga pode ser removida com o aplicativo Lavasoft Adware SE. Possui versão Free para uso pessoal. Instale, atualize a base de dados e faça um scan completo no disco.

    Curtir

  3. Este worm se espalhou na minha rede e tá dando uma confusão enorme, este software Ad-Aware SE já foi utilizado, mas não adiantou muito…Os sistemas são Win 98 e WinXP. O tráfego na rede aumentou muito e ficou muito lenta vou tentar fazer a restauração do sistema pra ver se adianta de alguma coisa..
    valew..

    Curtir

  4. Tem um vírus se espalhando no MSN messenger. Um amigo seu manda uma mensagem suspeita com um link. NÃO CLIQUE NO LINK! Este é um vírus chamado MSGSND . Ele entra na sua máquina e fica mandando essa mesma mensagempra todos os teus contatos que estiverem on line. E assim ele vai se espalhando!

    Bem, tem alguns sites falando sobre o problema. pesquisa com o nome MSGSND e encontra várias soluções.

    A maneira que eu consegui resolver mais fácil foi:

    Vai no menu iniciar / executar e digita regedit
    clica na guia inicializar , em cima do lado direito
    toso os comandos que tiverem a palavra windir32 vc desmarca na caxinha
    da ok e pede pra reiniciar a máquina
    vai em localizar e procura o arquvi windir32.exe em toda sua máquina
    deleta e depois limpa a lixeira
    vai em iniiar /executar e digita regedit
    vai em hklocalmachine clica lá e em ctrl+f e coloca windir32 quando localizar os comandos vc exclui
    vai la hklocalmachine clica lá e em ctrl+f e coloca windir32 quando localizar os comandos vc exclui
    aparentemente resolveu o problema

    Curtir

  5. Daniel Pinheiro 11/08/2005 às 04:05

    Pra mim também funcionou melhor a restauração do sistema. Mas é uma PESTE mesmo essa porcaria de adware.

    Curtir

  6. Thiago Oliveira 11/08/2005 às 15:03

    Eu retirei ele apenas do meu msconfig e aparentemente funcionou, mas já tive casos de clientes que o software via que havia sido retirado do sistema cerca de 2 vezes e ele ficava inativo por cerca de 1 semana depois voltava…

    Curtir

  7. Abelardo Melo Junior 12/08/2005 às 23:39

    Tive também alguns problemas com esse windir32. Utilizei o Antispyware da microsoft, o Adware, O Spyboot, o HijackThis e o Avast para eliminar. Deu uma trabalheira incrível, esse bicho é persistente. Não uso o MSN Messenger, mas meu filho e minha filha o utilizam muito.

    Apareceram algumas variantes tipo pokapoka32, svchosts.exe. Esse último impede que você faça log off ou desligue o micro pelo botão iniciar. Só conseguia fazê-lo na “marra” através das teclas ctl/alt/del. Gostei da dica do Rodrigo, mas não sou muito seguro para “mexer” em Regedit. Abraços…

    Curtir

  8. Bruno dos Anjos Cinotti 13/08/2005 às 00:25

    Meu nome é Bruno e estou adorando o site. Sobre esta praga, infelizmente a paz também acabou nos messengers há algum tempo. Eu recomendo usar também o SpyawareBlaster que modifica o registro do Windows impedindo que pragas deste tipo se instalem nele.

    Curtir

  9. Um amigo me mandou um link e o abri. Era tão perfeito que continha até o meu nome. Qdo abri o arquivo, ele enviou automaticamente para todos que estavam on-line. Fui avisando a todos que não abrissem, mas alguns cabaram abrindo e como eu, tiveram que formatar o PC.

    Abraço,

    Curtir

  10. Olha pessoal, esse adware se espalhou na rede da empresa que trabalho, fiz os procedimentos que aprendi aqui e pode ter certeza, o HijackThis me ajudou muito. Estou fazendo uma limpeza geral na rede e tem muitas pessoas que estão aprendendo comigo. Esse worm roda varios processos no windows e é muito facil a remoção dele. outro produto bom para remover spyware, trojans e adware é o ewido que aqui mesmo neste site fala sobre ele, nos comentários é claro.

    Curtir

Os comentários estão encerrados.