Depois que o worm brasileiro conhecido como a “Baratinha” se espalhou em setembro, os programadores de vírus nacionais lançaram outros worms do mesmo tipo na rede. O mais novo deles envia mensagens para todos os contatos no MSN com o link para o arquivo malicioso fotoimagem.exe.
A mensagem enviada pelo worm é a seguinte:
Olha minha foto >>>>http://%5Bremovido%5D/fotoimagem.exe
Ao clicar no link o usuário é infectado e começará a enviar a mesma mensagem para todos os contatos em sua lista do MSN, exatamente como era o caso com a Baratinha. Nos testes da Linha Defensiva, a execução do arquivo resultou em um erro fatal, mas alguns componentes ainda foram instalados mesmo assim.
O arquivo fotoimagem.exe possui pouco mais de 30KB de tamanho, o que torna o download do programa rápido até mesmo em uma conexão discada. Ao ser executado, ele fará o download dos outros cavalos-de-tróia, inclusive um possível componente para roubar senhas de banco (de acordo com as companhias antivírus).
Esses componentes serão salvos em uma pasta chamada “service” dentro da pasta de sistema (system32) e uma entrada no registro chamada “services” será criada para executar o worm automaticamente toda vez que o sistema for iniciado.
Ferramenta de Remoção
A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A ferramenta de remoção possui pouco mais de 2KB e é um arquivo de scripting BAT. Ela foi testada em Windows 2000/XP, mas também deve funcionar em Windows 98/ME. O segundo link é a versão ZIP para quem tiver problemas para fazer o download do .bat (alguns sistemas possuem extensões como EXE e BAT bloqueadas):
http://linhadefensiva.uol.com.br/files/bat/msn-olhafoto.bat
http://linhadefensiva.uol.com.br/files/zip/msn-olhafoto.zip
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C: ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
FAQ
Diversas perguntas foram lançadas nos comentários. Como os comentários não devem ser usados para retirar dúvidas, a Linha Defensiva não aprovou esses comentários. Ao invés disso, colocaremos aqui a resposta de algumas das perguntas enviadas.
- Como sei que estou infectado? Como sei se a ferramenta funcionou?
-
Configure o Windows para ver todos os arquivos. Depois procure pela existência das seguintes pastas:
C:WINDOWSsystem32service ou
C:WINDOWSsystemserviceSe existir uma dessas pastas e ainda tiverem arquivos dentro dela, você está infectado. Note que o arquivo:
C:WINDOWSsystem32services.exe
É legítimo e não deve ser removido. Embora o arquivo services.exe dentro da pasta system32 seja legítimo, a pasta “service” é maliciosa e o services.exe dentro dessa pasta também é malicioso.
Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.
- Por que preciso do Modo de Segurança? O que fazer lá?
-
O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar a pasta “service” sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).
Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.
- A ferramenta de remoção diz que ocorreu um erro…
-
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague a pasta mencionada acima. O computador será desinfectado por completo.
Estamos investigando o motivo que faz com que o script não consiga apagar a pasta em alguns casos para consertar o problema assim que conseguirmos mais detalhes.
- Tenho outros vírus/ainda não consegui me livrar da praga
-
A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.
- Os antivírus identificam essa praga?
-
Sim, a maioria dos antivírus já identificam essa praga como Banload, Banker ou Trojan-Downloader.
A Linha Defensiva reforça o pedido de que não sejam enviadas dúvidas através dos comentários. Isso inclui qualquer problema com a ferramenta, dúvidas sobre o Modo de Segurança ou qualquer tópico relacionado. O Fórum deve ser usado para isso.
Linha Defensiva 
parabéns.. exelente trabalho
CurtirCurtir
dae ^^ é, belo trabalho sim, o que é pena mesmo é a falta de comunicação = quando alguém fica infectado, nem corre pra avisar, soh fica esperando ‘milagres’… =
bom, agora to ajudando meus amigos a tirar esse virus, graças a vcs =D
abraços ae, e obrigado pela ajuda
CurtirCurtir
Esse novo virus não só enviava mensagens para meus contatos como não deixava eu fazer download .. mais agora aprrendi como tirar graça a voceis…
CurtirCurtir
Pois é, aconteceu o estrago. Agora é correr e avisar as próximas vítimas. Obrigado a vocês pelo esclarecimento de forma clara e fácil. Principalmente para leigos. Valeu.
CurtirCurtir
Excelente . . . salvou a minha pele; até então a única solução apresentada era a formatação . . . . era o que eu precisava
Parabéns pelo excelente trabalho
CurtirCurtir
Valeu msm por esse ótimo trabalho!
CurtirCurtir
Tudo bem, só que me digam por favor, pq devemos executá-lo em modo de segurança? Não da pra ser no normal mesmo?
CurtirCurtir
Lucas
Em modo normal o worm estará rodando e não será possível apagar os arquivos. De modo geral, todo trojan/worm deve ser removido em Modo de Segurança, pois no Modo de Segurança a maioria dos vírus não é capaz de executar e você só pode remover um programa quando ele não está na memória.
CurtirCurtir
ae como faço pra colocar em modo de segurança? eu consegui tirar o virus apagando e reestalando o windows isso funciona ou o virus ta la?
CurtirCurtir
fabio
Por favor veja o link da Symantec no artigo. Ele possui informações passo-a-passo para reiniciar seu computador no Modo de Segurança através da tecla F8/F5 ou através do msconfig.
Uma reinstalação do Windows (sem apagar nenhum arquivo) provavelmente não remove o worm, mas uma formatação sim. Embora eu não acredite que seja necessária uma formatação em uma infecção tão simples.
CurtirCurtir
não estou conseguindo remover mesmo assim
e se eo lokaliza e deleta-lo tem como?
obrigada desde já
CurtirCurtir
Bom acredito que funcionou mais minha duvida e parece que meu kernel tambem deu problema e meu fire wall do windows ainda acusa algum problema se alguem teve o mesmo problema como solucionou
CurtirCurtir
camila
Deletar o worm é exatamente o que a ferramenta faz. Certifique-se também que a ferramenta foi executada em Modo de Segurança.
Se você ainda tem problemas visite o fórum no menu ao lado e faça um post na área Remoção de Malware com um log do HijackThis (você consegue instruções no tópico “Antes de Postar”). Diga que você já rodou a ferramenta. Veremos qual foi o problema e atualizaremos a ferramenta para resolver se há algum problema com ela.
Davi
Dúvidas técnicas devem ser colocadas no fórum. Além disso, ninguém vai conseguir lhe ajudar se você não der mais detalhes sobre o seu problema. Faça um tópico no fórum dando todos os detalhes sobre o seu problema que alguém poderá lhe ajudar.
CurtirCurtir
Muito bom o serviço de vcs.
Muito mais completo que os concorrentes.
Melhor ainda pois vcs disponibilizou um ferramenta muito util.
Continue assim.
Mantenha o padrão.
CurtirCurtir
Parabéns!!
esse vírus maldito é horrível, o msn, mesmo fechado, abre toda hora sozinho!
Muita raiva!!!
CurtirCurtir
Eu gostaria de acrescentar de que existe um laboratório antivirus que foi aberto no último 05 de Julho no IPT (Instituto de Pesquisas Tecnológicas) e tem feito um trabalho excelente. Minha sugestão é que a Linha de Defesa tivesse um contato bastante próximo deles.
Houve um comentário sobre a limpeza de virus em execução, gostaria de informar de que é possível e exite ferramenta que limpa virus ativo em memória sem parar os processos infectados ou ter que desligar a máquina ou colocá-la em modo de operação. É a ferramenta que usa o laboratório antivirus do IPT.
CurtirCurtir
Vcs estão de parabeins pelo artigo! Ontem mesmo reportei a redação de uma revista a proliferação de tal praga, que por sua vez não é tão recente, mas não recebi resposta. Venho procurando uma solução para o extermínio dessa praga há uma semana. Vocês foram os primeiros a ensinarem aos usuários como liquidar com tal worm!
o/
CurtirCurtir
Nossa ainda tem gente q clica em .EXE vindo em e-mail desconhecido? Eu pensava que não. Ainda mais quando se trata de imagem é muito evidente que é arapuca. Imagem só se clica quando é .gif, .jpg, .tif, etc e tal. Como é executável não precisa ser .EXE.
CurtirCurtir
oi, o msn da minah amga estava me mandando essas mensagens com o vírus! se eu não o abri não estou infectado certo? porém meu antivirus pega todo dia um cavalo de tróia! casda vez q ligo o pc um cavalo de tróia é pego! meu pc ta contaminado? o q faço?
CurtirCurtir
Nossa depois q eu vi essa reportagem fikei preocupado pois eu jah tinha recebido esse worm e naum desconfiava q era um cavalo de troia.
CurtirCurtir
entaum quer dizer que se alguem me envia esse link eh porque o msn da mesma está infectado?muitas pessoas nao sabem disso, acham que o link está simplesmente aparecendo do nada e que nao tem nada a ver com seu msn.
aguardo resposta
abs
CurtirCurtir
eu mesma fui pega com esse vírus, hj por sinal!
desconfiei por ser um aqrquivo .exe e não executei! vou mandar o arquivo pra todos ;]
CurtirCurtir
Que loucuras! Meu computador travou…Só levando a um técnico é que consegui remover esta praga! Aliás estou aqui agora , são 19:17h. Veja que perda de tempo!!!
Vamos continuar comunicando aos amigos.
CurtirCurtir
^^ OI,
por um vacilo meu eu também fui infectado, nao reparei o .exe, mas fazer o que… ao detectar o suspeito service.exe na pasta do windows, fiz uma coisa que pode ter ajudado, em modo de segurança eu exclui a pasta service e logo em seguida criei uma nova com o msm nome, assim nao tem como criar uma pasta com o msm nome.. ao ver no pc do meu pai, vi as imagens que coletava ao acessar sites de banco como do itau, e depois desse processo nao enviou mais msg no msn… =), mas.. vamos usar a ferramente pra ter uma garantia maior, muito
obrigado.
CurtirCurtir
parabens e obrigado ae… a ferramenta remove mto bem essa porcaria de worm, agora meu pc tah normals de novo, vlws =)
CurtirCurtir
tenho duvidas de como sair do modo de segurança
CurtirCurtir
como eu sei c o virus foi deletado??
CurtirCurtir
Muito obrigado e parabéns pela iniciativa.
CurtirCurtir
Nossa… chegou a tempo essa remoçao… já tava ficando louco com tantos amigos meus que estavam com esse virus… :P
CurtirCurtir
Realmente vocês estão de parabéns! Este arquivo entrou no meu micro ontem, mas conseguimos detecta-lo mas conseguiram pegar agencia e conta do banco e a senha não, e só conseguimos excluilo no modo de segurança.
CurtirCurtir
Bom.. eu fiz todos os passos corretamente.. no DOS apareceu a mensagem que o arquivo foi deletado com exito, porem na pasta windows/system/service o arquivo de aproximadamente 30kb continua la.
CurtirCurtir
Nossa, ontem(domingo) um amigo meu no MSN me mandou essa mensagem ae né ai eu de cara já vi que era virús e dei um toque pra ele e ele brigou cumigo falando que eu tava inventando coisas e tal… nossa vou enfiar essa noticia na cara dele…. vlw ae linha defensiva assim pelo menos posso convencer os caras que não entendem de pc a acreditarem em mim e removerem as pragas!!!
CurtirCurtir
Boa tarde linha defensiva, ates da criação da ferramenta DOS de vocês eu criei uma vacina em plataforma Win32 … para os interessados ai esta o link …
Pespero ter ajudado !
http://www.canalmsn.com.br/cgi-bin/addons.cgi?id=13&secao=individuais
CurtirCurtir
Sou professo de informática e por mais q eu fale pra meus alunos não clicarem em arquivos .EXE uma clicou e eu já vi o q esse worm faz
CurtirCurtir
Po rapaziada, eu fiz tudo direitinho como vcs pediram, modo de segurança e tal…
mas assim q eu aperto uma tecla qq para iniciar a remoção, vem uma tela dizendo: Atençao, ocorreu um erro na remoçao, entre em linhadefensiva.org (mais ou menos isso) para maiores informações!!
E agora? saiu? num saiu? o que houve?
Obrigado desde já….
CurtirCurtir
Parabens!!!!!!!!!!
Valeu, mesmo
j.m.
CurtirCurtir
Foi a salvação pro meu pc!Não tava conseguindo tirar com nada e ja ia formatar a minha máquina!Mto obg msm!Abraços
CurtirCurtir
Acredito que a melhor forma de deixar seu pc seguro é através da prevenção. Toda vez que recebo um link estranho (ex.: com extensões EXE, BAT, PIF… entre outras) costumo perguntar pra pessoa o que é este link ou arquivo que ela enviou.
Outra forma de remoção é acessar o site http://www.antivirus.com.br onde possui um rastreamento online gratuíto. Este rastreamento irá retirar virus e spywares instalados indevidamente em seu computador.
Em seguida aconselho o uso de algum antispyware(só para ter certeza…)
segue abaixo dois links dos antispywares que considero ótimos
Ad-Aware Se: http://www.lavasoft.com
SpyBot: http://www.spybot.com
CurtirCurtir
Bom pessoal fiz o seguinte me passaram esse virus pois estava destraido e quando vi ja foi ! mas tem esse lance pra remover eu fiz o seguinte baixei e arquivo mas eh o seguinte reinicie em modo de seguranca sem rede sem nada so escrito modo de seguranca executei o arquivo e tal e falo q removeu com exito entao tah neh ! reinicie o pc novamente entrei no pc e tal fui no msn e ainda ta lah o virus meu como isso ?? oq fzr me da uma dica ai pessoal !
CurtirCurtir
Eu cliquei nesse link, mas ai como meu sistema esta bem atualizado com o norton eu não tive problemas, gente eu repito sempre atualizam o nortom façam um scandisk diaramente pelo menos duas vezes ao mês. melhor perder uma horinha fazendo isso, doque perder horas instalando de novo e ainda correndo risco de perder os bancos de dados! falou um abraço a todos
CurtirCurtir
meu McAfee detectou o worn e deletou o automaticamente…loco depois me pediu para rodar o viruscan…dai confirmou que o meu pc tava limpo
CurtirCurtir
Meu PC não está infectado mas mesmo assim estou encaminhando aos meus contatos essa ferramenta para exclusão do worm.
Muito obrigada pela informação e solução!
CurtirCurtir
Po muito Obrigada!!!! Deu certo, ai estava me sentindo tao culpada de ter passado para meus amigos!!! Deu certo…….Valew
CurtirCurtir
Eu consegui localizar a pasta e deletar atraves do anti virus Panda, passei o mesmo outra vez e não acusou nenhuma anormalidade. Alguma restrição?
CurtirCurtir
Muito boa esta dica, gostei muito da ajuda e estou repassando para a galerinha infectada. Também recebi este trocinho, mais nunca abro arquivos de estranhos, e nem adiciono estranhos em minha lista. Valeu mesmo gente. Muito obrigado.
CurtirCurtir
nossa!! obrigada mesmo!!
só gostaria de saber se esse vírus causa algum erro irredutível, ou se ele for deletado tudo volta ao normal!!
CurtirCurtir
Legal! Recebi esse vírus hoje! E agora, graças a voces vou poder retirá-lo. Agora poderei avisar meus amigos
CurtirCurtir
oi!!
eu gostaria d saber se e possivel ver se o virus esta instalado???… pois eu recebi esse link no meu msn, clikei nele e logo depois fechei!!?? nao fiz nenhum dowlond…
obrigada…
CurtirCurtir
Paulo Tonetto
Sabemos que é possível limpar vírus em execução finalizando o processo malicioso antes de efetuar a limpeza. Mas para finalizar processos seria necessário uma ferramenta adicional ao .bat. Como estamos tentando manter a ferramenta o mais simples possível, não queremos incluir aplicativos adicionais.
Para Todos com Dúvidas
Peço que leiam o FAQ adicionado ao artigo. Se a dúvida pesistir, por favor, não usem os comentários. Utilizem o fórum.
CurtirCurtir
Bom Dia…
O Software da ZOneLabs desabilita o link no momento em que ele é enviado…. IM Protection
CurtirCurtir