Novo worm brasileiro se espalha por MSN

Depois que o worm brasileiro conhecido como a “Baratinha” se espalhou em setembro, os programadores de vírus nacionais lançaram outros worms do mesmo tipo na rede. O mais novo deles envia mensagens para todos os contatos no MSN com o link para o arquivo malicioso fotoimagem.exe.

A mensagem enviada pelo worm é a seguinte:

Olha minha foto >>>>http://%5Bremovido%5D/fotoimagem.exe

Ao clicar no link o usuário é infectado e começará a enviar a mesma mensagem para todos os contatos em sua lista do MSN, exatamente como era o caso com a Baratinha. Nos testes da Linha Defensiva, a execução do arquivo resultou em um erro fatal, mas alguns componentes ainda foram instalados mesmo assim.

O arquivo fotoimagem.exe possui pouco mais de 30KB de tamanho, o que torna o download do programa rápido até mesmo em uma conexão discada. Ao ser executado, ele fará o download dos outros cavalos-de-tróia, inclusive um possível componente para roubar senhas de banco (de acordo com as companhias antivírus).

Esses componentes serão salvos em uma pasta chamada “service” dentro da pasta de sistema (system32) e uma entrada no registro chamada “services” será criada para executar o worm automaticamente toda vez que o sistema for iniciado.

Ferramenta de Remoção

A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A ferramenta de remoção possui pouco mais de 2KB e é um arquivo de scripting BAT. Ela foi testada em Windows 2000/XP, mas também deve funcionar em Windows 98/ME. O segundo link é a versão ZIP para quem tiver problemas para fazer o download do .bat (alguns sistemas possuem extensões como EXE e BAT bloqueadas):

http://linhadefensiva.uol.com.br/files/bat/msn-olhafoto.bat
http://linhadefensiva.uol.com.br/files/zip/msn-olhafoto.zip

A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.

Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C: ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.

FAQ

Diversas perguntas foram lançadas nos comentários. Como os comentários não devem ser usados para retirar dúvidas, a Linha Defensiva não aprovou esses comentários. Ao invés disso, colocaremos aqui a resposta de algumas das perguntas enviadas.

Como sei que estou infectado? Como sei se a ferramenta funcionou?

Configure o Windows para ver todos os arquivos. Depois procure pela existência das seguintes pastas:

C:WINDOWSsystem32service ou
C:WINDOWSsystemservice

Se existir uma dessas pastas e ainda tiverem arquivos dentro dela, você está infectado. Note que o arquivo:

C:WINDOWSsystem32services.exe

É legítimo e não deve ser removido. Embora o arquivo services.exe dentro da pasta system32 seja legítimo, a pasta “service” é maliciosa e o services.exe dentro dessa pasta também é malicioso.

Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.

Por que preciso do Modo de Segurança? O que fazer lá?

O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar a pasta “service” sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).

Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.

A ferramenta de remoção diz que ocorreu um erro…

Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague a pasta mencionada acima. O computador será desinfectado por completo.

Estamos investigando o motivo que faz com que o script não consiga apagar a pasta em alguns casos para consertar o problema assim que conseguirmos mais detalhes.

Tenho outros vírus/ainda não consegui me livrar da praga

A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.

Os antivírus identificam essa praga?

Sim, a maioria dos antivírus já identificam essa praga como Banload, Banker ou Trojan-Downloader.

A Linha Defensiva reforça o pedido de que não sejam enviadas dúvidas através dos comentários. Isso inclui qualquer problema com a ferramenta, dúvidas sobre o Modo de Segurança ou qualquer tópico relacionado. O Fórum deve ser usado para isso.