Foi encontrado um novo worm que se espalha pela rede do comunicador instantâneo da Microsoft. Semelhante ao worm Olha Minha Foto, que se espalhou pelo MSN em dezembro de 2005, a mensagem enviada pelo novo worm sugere que o usuário tenha encontrado uma foto sua na Internet.
A mensagem enviada pelo worm é a seguinte:
Acho q ví uma foto sua na net e vc mesmo olha ai >>> http://www11.rapidupload.com/file.php?filepath=%5Bremovido%5D
Como o arquivo malicioso foi enviado ao servidor “RapidUpload”, não é possível saber que o link leva a um executável (EXE).
Ao clicar no link, o download do arquivo “suafoto.exe” é iniciado. Ao ser executado, o cavalo-de-tróia faz o download de outro código malicioso, que é salvo como ‘configipchain.exe’. Esse, por sua vez, cria o arquivo SVCH0ST.EXE (com um zero ao invés de um ‘o’), que é iniciado junto com o Windows.
O arquivo SVCH0ST.EXE também é copiado para a pasta “Inicializar” do menu Iniciar.
A praga, além de se espalhar via MSN, também monitora a atividade no Internet Explorer, possivelmente para roubar senhas em serviços home banking.
Remoção do worm
Para remover o worm é necessário apagar os arquivos criados e as entradas no registro. A ferramenta, até o momento, foi apenas testada em um computador de teste.
http://linhadefensiva.uol.com.br/files/bat/msn-suafoto.bat
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C: ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
Perguntas & Respostas
- Como sei que estou infectado? Como sei se a ferramenta funcionou?
-
Basta verificar a presença do SVCH0ST.EXE no “Inicializar” ou “Iniciar” no Menu Iniciar, como mostra a figura acima.
É importante que você não confunda com o svchost.exe, que fica na pasta system32, tem nome em letras minúsculas e possui um “o” no lugar do zero. Esse é um arquivo legítimo do Windows que não deve ser removido.
- Por que preciso do Modo de Segurança? O que fazer lá?
-
O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar os arquivos sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).
Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.
- A ferramenta de remoção diz que ocorreu um erro ou o arquivo SVCH0ST.EXE continua no menu iniciar
-
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. Após isso, apague os arquivos seguintes arquivos:
- C:WINDOWSconfigipchain.exe
- C:WINDOWSsystem32SVCH0ST.EXE — Importante: Não confunda com o svchost.exe!
- O SVCH0ST.EXE no “Inicializar” ou “Iniciar” do Menu Iniciar
A ferramenta não vai conseguir apagar o “SVCH0ST.EXE” do menu Iniciar em versões do Windows que não sejam em Português, portanto é necessário que você o remova manualmente.
- Tenho outros vírus/ainda não consegui me livrar da praga
-
A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.
Linha Defensiva 
Se a pessoa nao quizer reiniciar o pc no modo de seguracao pode proceder da seguinte forma:
CTRL + ALT + DEL , em seguida clica em processos e localizar um arquivo com o nome de configipchain.exe apos localizado selecione e clica em finalizar processo, apos isso rode o arquivo msn-suafoto.bat que foi desenvolvido pelo Linha Defensiva
CurtirCurtir
Executei Restauração do Sistema. Estou seguro apenas com isso?
CurtirCurtir
Não consigo entrar no Modo de Segurança e pelo CTRL + ALT + DEL ñ há o arquivo configipchain.exe.
O que eu faço??
CurtirCurtir
Regis
Talvez. Não posso te dizer ao certo. Você consegue encontrar o SVCH0ST na pasta inicializar?
Marina
Tente procurar o “SVCH0ST” (em maiúsculo e com zero — NÃO finalize o svchost.exe!). Se você usa Windows 98/ME ou não encontrar, sigas esses passos:
Faça o download do HijackThis
Abra ele. Clique em Open the Misc Tools Section. Depois clique em Open Process Manager. Nessa lista procure novamente o configipchain.exe e o SVCH0ST.EXE. Selecione cada um e clique em “Kill” e confirme.
Se você não encontrar nem mesmo nessa lista, execute a ferramenta normalmente. Talvez ela funcione.
CurtirCurtir
Encontrei o configipchain.exe na pesquiza de arquivos ou pastas do pc, posso simplismente deletá-lo?
CurtirCurtir
eu consegui excluir o vírus do meu pc,pelo menos ele naum aparece nem no menu iniciar e nem na lixeira pq eu exclui definitivamente,quero saber se eu estou livre do vírus?
CurtirCurtir
Alessandra
Não.
caio
Se os sintomas despareceram, provavelmente. Na dúvida, coloque um log no fórum.
CurtirCurtir
Realmente é impossível acreditar que nossa informática está caminhando tão retrogradamente, pois em vez das pessoas que conhecem profundamente o assunto desenvolverem programas que valorizem nosso mercado preferem seguir os maus exemplos e em vez de criarem sistemas novos ou serviõs eletrônicos inovadores preferem enveredarem na rede wormas, spywares e outras pragas virtuais, acorda gente que assim o Brasil não pode pensar em Tecnologia Para o Futuro!!!!!!
CurtirCurtir
Mesmo depois de executar todos os procedimentos mencionados, ainda existem os arquivos SVCH0ST.EXE-0A302197.pf e SVCH0ST.EXE-3ACDF1F9.pf. Devemos apagar estes arquivos também?
CurtirCurtir
EduSanchez
Esses são arquivos de “prefetch” do Windows. Não fazem parte do malware em si e são criados para acelerar a execução de um programa (nesse caso, o malware).
Você pode apagá-los para liberar espaço em disco, mas eles não fazem parte da infecção.
CurtirCurtir
tambem tenho o virus!!!!!!!!!!!! QUE ODIOOOOOO!!!!!
ESTOU TENTANDO TIRAR….
CurtirCurtir
Fiz o mesmo que o Regis, a quase uma semana e não tive mais problemas, tmb não localizo o arquivo no iniciar, talvez restaurar o sistema possa ser uma soluçâo!!!
CurtirCurtir
Acho que consegui tirar o arquivo do PC, nao esta mais aparecendo no STARUP e eu nao estou enviando mais a msg pra ninguem no MSN.
Sera que funcinou?
ah eu fiz o download do HijackThis…..e acho que funcionou….
[Ed: linguagem ofensiva]
CurtirCurtir
pra mim em vez de www11.rapidupload veio www7.rapidupload…o numero influencia no tipo de infecçao? executei ele mas nahora que tentei tirar da maquina, tava tudo certo, acho que nao se infectou, ou sera que eh outro tipo de virus?
CurtirCurtir
Eu recebi esse vírus em uma conversa do MSN e depois o pc ficou maluco.A pessoa que estava conversando comigo sabe que me enviou ou isso é automático?
CurtirCurtir
graças a deus e aos técnicos de plantão da linha defensiva o método usando o arquivo msn-suafoto.bat. Procedi da seguinte forma: reiniciei o PC entrando pelo modo de segurança e então executei o arquivo. O arquivo fez sua função: deletou os arquivos maliciosos, inclusive o que localiza-se no menu iniciar. O PC está operando perfeitamente
CurtirCurtir
Eu exclui da minha pasta (inicializar) e da lixeira esse virus , posso dar ele como excluido?
CurtirCurtir
bruna
Por favor, use a ferramenta. Se ela disser que houve um erro para excluir o worm, ele ainda está no seu sistema.
CurtirCurtir
Valeu, hein pessoal!!!
Executei a ferramenta e e ele deletou os arquivos!!!
Queria saber se presciso fazer mais alguma coisa, apos isso?!
CurtirCurtir