Foi encontrado um novo worm que se espalha pela rede do comunicador instantâneo da Microsoft. Semelhante ao worm Olha Minha Foto, que se espalhou pelo MSN em dezembro de 2005, a mensagem enviada pelo novo worm sugere que o usuário tenha encontrado uma foto sua na Internet.

A mensagem enviada pelo worm é a seguinte:

Acho q ví uma foto sua na net e vc mesmo olha ai >>> http://www11.rapidupload.com/file.php?filepath=%5Bremovido%5D

Como o arquivo malicioso foi enviado ao servidor “RapidUpload”, não é possível saber que o link leva a um executável (EXE).

Ao clicar no link, o download do arquivo “suafoto.exe” é iniciado. Ao ser executado, o cavalo-de-tróia faz o download de outro código malicioso, que é salvo como ‘configipchain.exe’. Esse, por sua vez, cria o arquivo SVCH0ST.EXE (com um zero ao invés de um ‘o’), que é iniciado junto com o Windows.

O arquivo SVCH0ST.EXE também é copiado para a pasta “Inicializar” do menu Iniciar.

Screenshot: SVCH0ST.EXE no menu iniciar

A praga, além de se espalhar via MSN, também monitora a atividade no Internet Explorer, possivelmente para roubar senhas em serviços home banking.

Remoção do worm

Para remover o worm é necessário apagar os arquivos criados e as entradas no registro. A ferramenta, até o momento, foi apenas testada em um computador de teste.

http://linhadefensiva.uol.com.br/files/bat/msn-suafoto.bat

A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.

Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C: ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.

Perguntas & Respostas

Como sei que estou infectado? Como sei se a ferramenta funcionou?

Basta verificar a presença do SVCH0ST.EXE no “Inicializar” ou “Iniciar” no Menu Iniciar, como mostra a figura acima.

É importante que você não confunda com o svchost.exe, que fica na pasta system32, tem nome em letras minúsculas e possui um “o” no lugar do zero. Esse é um arquivo legítimo do Windows que não deve ser removido.

Por que preciso do Modo de Segurança? O que fazer lá?

O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar os arquivos sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).

Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.

A ferramenta de remoção diz que ocorreu um erro ou o arquivo SVCH0ST.EXE continua no menu iniciar

Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. Após isso, apague os arquivos seguintes arquivos:

  • C:WINDOWSconfigipchain.exe
  • C:WINDOWSsystem32SVCH0ST.EXE — Importante: Não confunda com o svchost.exe!
  • O SVCH0ST.EXE no “Inicializar” ou “Iniciar” do Menu Iniciar

A ferramenta não vai conseguir apagar o “SVCH0ST.EXE” do menu Iniciar em versões do Windows que não sejam em Português, portanto é necessário que você o remova manualmente.

Tenho outros vírus/ainda não consegui me livrar da praga

A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

19 Comments

  1. Se a pessoa nao quizer reiniciar o pc no modo de seguracao pode proceder da seguinte forma:

    CTRL + ALT + DEL , em seguida clica em processos e localizar um arquivo com o nome de configipchain.exe apos localizado selecione e clica em finalizar processo, apos isso rode o arquivo msn-suafoto.bat que foi desenvolvido pelo Linha Defensiva

    Curtir

  2. Executei Restauração do Sistema. Estou seguro apenas com isso?

    Curtir

  3. Não consigo entrar no Modo de Segurança e pelo CTRL + ALT + DEL ñ há o arquivo configipchain.exe.
    O que eu faço??

    Curtir

  4. Regis

    Talvez. Não posso te dizer ao certo. Você consegue encontrar o SVCH0ST na pasta inicializar?

    Marina

    Tente procurar o “SVCH0ST” (em maiúsculo e com zero — NÃO finalize o svchost.exe!). Se você usa Windows 98/ME ou não encontrar, sigas esses passos:

    Faça o download do HijackThis

    Abra ele. Clique em Open the Misc Tools Section. Depois clique em Open Process Manager. Nessa lista procure novamente o configipchain.exe e o SVCH0ST.EXE. Selecione cada um e clique em “Kill” e confirme.

    Se você não encontrar nem mesmo nessa lista, execute a ferramenta normalmente. Talvez ela funcione.

    Curtir

  5. Encontrei o configipchain.exe na pesquiza de arquivos ou pastas do pc, posso simplismente deletá-lo?

    Curtir

  6. eu consegui excluir o vírus do meu pc,pelo menos ele naum aparece nem no menu iniciar e nem na lixeira pq eu exclui definitivamente,quero saber se eu estou livre do vírus?

    Curtir

  7. Alessandra

    Não.

    caio

    Se os sintomas despareceram, provavelmente. Na dúvida, coloque um log no fórum.

    Curtir

  8. Fábio Ferreira 12/02/2006 às 13:21

    Realmente é impossível acreditar que nossa informática está caminhando tão retrogradamente, pois em vez das pessoas que conhecem profundamente o assunto desenvolverem programas que valorizem nosso mercado preferem seguir os maus exemplos e em vez de criarem sistemas novos ou serviõs eletrônicos inovadores preferem enveredarem na rede wormas, spywares e outras pragas virtuais, acorda gente que assim o Brasil não pode pensar em Tecnologia Para o Futuro!!!!!!

    Curtir

  9. Mesmo depois de executar todos os procedimentos mencionados, ainda existem os arquivos SVCH0ST.EXE-0A302197.pf e SVCH0ST.EXE-3ACDF1F9.pf. Devemos apagar estes arquivos também?

    Curtir

  10. EduSanchez

    Esses são arquivos de “prefetch” do Windows. Não fazem parte do malware em si e são criados para acelerar a execução de um programa (nesse caso, o malware).

    Você pode apagá-los para liberar espaço em disco, mas eles não fazem parte da infecção.

    Curtir

  11. tambem tenho o virus!!!!!!!!!!!! QUE ODIOOOOOO!!!!!
    ESTOU TENTANDO TIRAR….

    Curtir

  12. Fiz o mesmo que o Regis, a quase uma semana e não tive mais problemas, tmb não localizo o arquivo no iniciar, talvez restaurar o sistema possa ser uma soluçâo!!!

    Curtir

  13. Acho que consegui tirar o arquivo do PC, nao esta mais aparecendo no STARUP e eu nao estou enviando mais a msg pra ninguem no MSN.
    Sera que funcinou?

    ah eu fiz o download do HijackThis…..e acho que funcionou….

    [Ed: linguagem ofensiva]

    Curtir

  14. pra mim em vez de www11.rapidupload veio www7.rapidupload…o numero influencia no tipo de infecçao? executei ele mas nahora que tentei tirar da maquina, tava tudo certo, acho que nao se infectou, ou sera que eh outro tipo de virus?

    Curtir

  15. Eu recebi esse vírus em uma conversa do MSN e depois o pc ficou maluco.A pessoa que estava conversando comigo sabe que me enviou ou isso é automático?

    Curtir

  16. hugo vitoriano 15/02/2006 às 22:09

    graças a deus e aos técnicos de plantão da linha defensiva o método usando o arquivo msn-suafoto.bat. Procedi da seguinte forma: reiniciei o PC entrando pelo modo de segurança e então executei o arquivo. O arquivo fez sua função: deletou os arquivos maliciosos, inclusive o que localiza-se no menu iniciar. O PC está operando perfeitamente

    Curtir

  17. Eu exclui da minha pasta (inicializar) e da lixeira esse virus , posso dar ele como excluido?

    Curtir

  18. bruna

    Por favor, use a ferramenta. Se ela disser que houve um erro para excluir o worm, ele ainda está no seu sistema.

    Curtir

  19. Valeu, hein pessoal!!!
    Executei a ferramenta e e ele deletou os arquivos!!!
    Queria saber se presciso fazer mais alguma coisa, apos isso?!

    Curtir

Comentários encerrados.