Uma nova praga está se espalhando por MSN. A grande diferença entre essa e muitas outras que já utilizaram o comunicador instantâneo é que os responsáveis pela praga estão relacionados com empresas de adware, possivelmente afiliados que querem ganhar dinheiro instalando essas pragas no computador do usuário.
Ao clicar no link que você recebe no MSN Messenger, uma página com um exploit para o Internet Explorer é aberta. Ela se encarrega de baixar e instalar programas como o 180search Assistant, Bulls Eye Network (bargains.exe), Elitebar e outros. Versões mais recentes da praga também utilizam arquivos .com para infectar o usuário.
O Aurora, adware da Direct-Revenue que já apareceu em downloads de BitTorrent, também é instalado por esse novo worm que usa o MSN.
Mensagem enviada pelo worm
As mensagens variam muito, pois existem diversas variantes atualmente na ativa. A mais comum delas é:
here see this video of you and me
Seguido desta frase, é enviado um link aparentemente seguro, geralmente terminado em .php. Este link irá se encarregar de instalar uma variante do SdBot (que por sua vez é muito parecida com o Agobot) e um arquivo chamado poker3.exe. Também foram encontrados casos onde o arquivo se chamava windir32.exe.
Outras mensagens enviadas:
omg.. [link infectado]
and if the link dont work try: [link infectado]
Outros links — que não acompanham qualquer mensagem — incluem o endereço de e-mail na sua conta. Esse endereço será enviado para os criadores do worm para que eles possam enviar SPAM. Se você receber um link que possui um endereço de e-mail no meio da URL, é recomendado que você não clique no link.
Também é recomendado a atualização do Windows, que pode ser feita através do Windows Update, para que as falhas exploradas pelos exploits usados pelo worm não funcionem e a infecção falhe.
Linha Defensiva 
este worm, que assombrou e assombra ainda muitos usuários do msn é simples de ser retirado nas versões do windows que possuem na barra de tarefas a opção restauração do sistema (win me, 2000, xp e 2003); para retirar a praga do pc, basta restaurar o computador para um momento antes (um dia anterior) de qualquer usuário ter clicado pela primeira vez do link que lhe foi enviado.
CurtirCurtir
Esta praga pode ser removida com o aplicativo Lavasoft Adware SE. Possui versão Free para uso pessoal. Instale, atualize a base de dados e faça um scan completo no disco.
CurtirCurtir
Este worm se espalhou na minha rede e tá dando uma confusão enorme, este software Ad-Aware SE já foi utilizado, mas não adiantou muito…Os sistemas são Win 98 e WinXP. O tráfego na rede aumentou muito e ficou muito lenta vou tentar fazer a restauração do sistema pra ver se adianta de alguma coisa..
valew..
CurtirCurtir
Tem um vírus se espalhando no MSN messenger. Um amigo seu manda uma mensagem suspeita com um link. NÃO CLIQUE NO LINK! Este é um vírus chamado MSGSND . Ele entra na sua máquina e fica mandando essa mesma mensagempra todos os teus contatos que estiverem on line. E assim ele vai se espalhando!
Bem, tem alguns sites falando sobre o problema. pesquisa com o nome MSGSND e encontra várias soluções.
A maneira que eu consegui resolver mais fácil foi:
Vai no menu iniciar / executar e digita regedit
clica na guia inicializar , em cima do lado direito
toso os comandos que tiverem a palavra windir32 vc desmarca na caxinha
da ok e pede pra reiniciar a máquina
vai em localizar e procura o arquvi windir32.exe em toda sua máquina
deleta e depois limpa a lixeira
vai em iniiar /executar e digita regedit
vai em hklocalmachine clica lá e em ctrl+f e coloca windir32 quando localizar os comandos vc exclui
vai la hklocalmachine clica lá e em ctrl+f e coloca windir32 quando localizar os comandos vc exclui
aparentemente resolveu o problema
CurtirCurtir
Pra mim também funcionou melhor a restauração do sistema. Mas é uma PESTE mesmo essa porcaria de adware.
CurtirCurtir
Eu retirei ele apenas do meu msconfig e aparentemente funcionou, mas já tive casos de clientes que o software via que havia sido retirado do sistema cerca de 2 vezes e ele ficava inativo por cerca de 1 semana depois voltava…
CurtirCurtir
Tive também alguns problemas com esse windir32. Utilizei o Antispyware da microsoft, o Adware, O Spyboot, o HijackThis e o Avast para eliminar. Deu uma trabalheira incrível, esse bicho é persistente. Não uso o MSN Messenger, mas meu filho e minha filha o utilizam muito.
Apareceram algumas variantes tipo pokapoka32, svchosts.exe. Esse último impede que você faça log off ou desligue o micro pelo botão iniciar. Só conseguia fazê-lo na “marra” através das teclas ctl/alt/del. Gostei da dica do Rodrigo, mas não sou muito seguro para “mexer” em Regedit. Abraços…
CurtirCurtir
Meu nome é Bruno e estou adorando o site. Sobre esta praga, infelizmente a paz também acabou nos messengers há algum tempo. Eu recomendo usar também o SpyawareBlaster que modifica o registro do Windows impedindo que pragas deste tipo se instalem nele.
CurtirCurtir
Um amigo me mandou um link e o abri. Era tão perfeito que continha até o meu nome. Qdo abri o arquivo, ele enviou automaticamente para todos que estavam on-line. Fui avisando a todos que não abrissem, mas alguns cabaram abrindo e como eu, tiveram que formatar o PC.
Abraço,
CurtirCurtir
Olha pessoal, esse adware se espalhou na rede da empresa que trabalho, fiz os procedimentos que aprendi aqui e pode ter certeza, o HijackThis me ajudou muito. Estou fazendo uma limpeza geral na rede e tem muitas pessoas que estão aprendendo comigo. Esse worm roda varios processos no windows e é muito facil a remoção dele. outro produto bom para remover spyware, trojans e adware é o ewido que aqui mesmo neste site fala sobre ele, nos comentários é claro.
CurtirCurtir