Um novo worm brasileiro está se espalhando pela rede do comunicador instantâneo MSN. Como as demais pragas do gênero, o vírus envia mensagens automatizadas, dessa vez prometendo um vídeo do “sapo motoqueiro” ou do “Michal Jackson”. Quando o usuário executar, será infectado pelo worm, que então enviará mensagens para sua lista de contatos e roubará senhas de banco.

A mensagem enviada pelo worm é a seguinte:

Da uma olhada nesse link é um video do sapo motoqueiro, é muito legal.
http://%5Bremovido%5D/sapo_motoqueiro.cmd

Confirmamos também outra variante do vírus que utiliza uma mensagem falando de um vídeo do Michael Jackson:

Olha q video doido. é um video das mil e uma faces do Michael Jackson http://%5Bremovido%5D/michael_jackson.cmd

A tática de enganação usada pelo worm é levada um passo adiante quando o vídeo do Crazy Frog (ou do Michael Jackson) é realmente exibido após a sua execução. O worm carrega uma animação do site VideosLegais.com.br e a exibe no sistema do usuário, enquanto a praga termina de se instalar no sistema. Note que o vídeo do site está limpo — o worm só carrega o vídeo para que o usuário pense que realmente baixou o vídeo e não um vírus.


Vídeo carregado pela Versão “Sapo Motoqueiro”

É interessante também notar que o worm utiliza a extensão .cmd para se espalhar que, apesar de ser tratada com uma extensão executável qualquer, é raramente utilizada para isso.

Após instalada, a praga envia a mensagem espalhando o vírus quando o usuário abrir uma janela de contato no MSN. O usuário pode claramente ver que a mensagem foi enviada, o que significa que a tática de enganação do worm se torna inútil.

Além de espalhar, a praga é um clássico trojan “Banker”, pois monitora o título da janela do Internet Explorer e, caso a mesma possua certas palavras relacionadas à sites de bancos, o worm inicia um outro programa, que por sua vez configura um terceiro, que fica encarregado de roubar as senhas do usuário que utilizar os serviços de Internet Banking.

Ferramenta de Remoção

A Linha Defensiva está disponibilizando uma ferramenta de remoção para o worm, que pode ser baixada em:

http://linhadefensiva.uol.com.br/dl/msn-sapo

Apenas rode a ferramenta e confirme sua execução. Ela deverá remover o worm com sucesso.

FAQ

O vídeo está com vírus?

Não, o vídeo é apenas carregado pelo vírus para enganar o usuário e fazê-lo pensar que o arquivo era realmente um vídeo e não um vírus. O vídeo original está limpo e não possui qualquer código malicioso.

A ferramente serve para a versão Michael Jackson do vírus?

Sim, o vírus é exatamente o mesmo. Apenas a mensagem foi modificada.

Como sei que estou infectado? Como sei se a ferramenta funcionou?

Configure o Windows para ver todos os arquivos. Depois procure pela existência dos seguintes arquivos:

C:WINDOWSsystemtaskmam.exe (não confunda com o taskman.exe)
C:WINDOWSsystemmsnmsgr.cmd

Se existir um desses arquivos, você está infectado.

Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.

Ele rouba senhas de MSN?

Para evitar surpresas, recomendamos que troque a sua senha de MSN depois de ser infectado. Em nossos testes, no entanto, não confirmamos o roubo da senha do MSN.

Como faço para não me infectar?

Você apenas será infectado caso clique no link. Para não se infectar, basta não clicar no link. O worm não explora nenhum tipo de falha no MSN Messenger.

A ferramenta de remoção diz que ocorreu um erro (Não consigo remover o vírus)

Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague os dois arquivos mencionados acima. O computador será desinfectado por completo.

Se ainda tiver problemas, a Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Você pode saber como utilizá-lo nessa página. Não peça ajuda nos comentários.

Importante

Se você tem problemas para iniciar o computador no Modo de Segurança, veja o documento da Symantec para usar o MSConfig. Se você ainda tem problemas, consulte o nosso fórum de acordo com essas instruções.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

65 comentários

  1. Muito obrigado msm. Eu ja estava preocupado como faria para retirar essa praga.

    Curtir

  2. Samuel Lyra 12/04/2006 às 22:58

    Muito legal o artigo! Parabéns pela forma como foi escrito!

    Curtir

  3. Pedro Henrique 12/04/2006 às 23:10

    Valeu UOL, na hora em que eu ví essa redação do ‘SAPINHO MOTOQUEIRO no MSN” eu tinha acabado de receber um no msn, e falei pros meus amigos falar para outros desse viros.

    Curtir

  4. Diego vida loka 13/04/2006 às 00:29

    Vlw gente!!!
    ainda bem q meu anti virus consegui retiralo do pc.

    Curtir

  5. EDUARDO BENVINDO NETO 13/04/2006 às 01:07

    VAMU PRESTAR ATENÇÃO ANTES NÉ ! ! !
    Nossa pessoal quando eu vi esse virus corri em um amigo meu “mauricio valeu” e ele me passou esse site e falou da uma olha ai que esses são baum fiquei a noite inteira procurando, quando foi hoje já vi que tinha algumas queicha…fiquei só esperando a solução então, logo veio.

    OBRIGADO LINHA DEFENSIVA …

    OS CARA SÃO BAUM EM MLKCADA !!!

    Curtir

  6. Rodrigo Fernandes 13/04/2006 às 01:14

    Fui infectado pelo virus do sapo motorista e no outro dia tinha gente acesando minha conta do MSN. Foi o virus que causou isso? descobriram a minha senha com iso?
    Gostaria de esclarecimentos sobre. Obrigado.

    Curtir

  7. Rodrigo Fernandes

    O trojan rouba diversas senhas. É possível que ele roube senhas do MSN também.

    Curtir

  8. Muito bom !
    Acabei de receber a mensagem – desconfiei.
    E já estava a matéria no ar.
    Parabéns pela pró-atividade.

    Curtir

  9. Bom, este virus, ele atua também como um keylog…Gravando tudo o que é digitado no teclado.No qual é lançado para um servidor que envia para o e-mail do lammer =P

    Curtir

  10. Daniel Marques 13/04/2006 às 02:36

    Obrigado por informações tão valiosas e pelo excelente serviço prestado as usuários de internet.

    Curtir

  11. Nossa….recebei essa tal mensagem do sapinho no meu MSN. A pessoa q falava comigo dizia q a mensagem aparecia sem q ele tivesse enviado….seria verdade ou ele queria me infectar?
    Ahhhh… só por curiosidade, esse vírus rouba números de cartão de crédito, contas bancárias, caso a pessoa esteja infectada ou apenas a senha de e-mail do Msn?

    Parabéns, galerinha!!!!!

    Curtir

  12. Vlw uol vcs sao d++++++=
    Eu sem querer cliquei nesse treco!!!!!!!!!!!!!!!!!ai eu achei estranho ele mandar essas mensagens automaticamente!
    pensei logo que fosse virussss
    coloquei meu anti virusss mas ele nao achou nada!
    ai eu cliquei na internet e como minha inicial e da uol eu vi esse negoço do sapinho e retirei ele do meu computador na mesma hora!!!!brigadao pelos passos fantasticos!!!!
    e a uol como sempre continua a melhor site de todos!!!!
    vlw brothers adoros vcs !!!!!

    Curtir

  13. Eu não entendi muito bem se o víus só contamina o pc se alguém clicar no link que recebe ou se só de receber o link o pc já fica contaminado.

    Valeu.

    Curtir

  14. Eduardo Rossi 13/04/2006 às 08:26

    Muito boa a matéria. Esses dias recebi isso no MSN no meio de uma conversa, mas como não gosto do vídeo (e já vi uma vez) nem me preocupei em abrir.

    Vou avisar meu amigos sobre isso.

    As pessoas precisam desconfiar um pouco mais do MSN :)

    Curtir

  15. professor de combate a pragas(eduardo) 13/04/2006 às 08:31

    a dica que dou a vc e que nunca aceite promoção,dinheiro facil porque tudo e faixada,mais falando do assunto da praga o avast detecta o virus e retira,e o anti-spy,ad-aware SE,tambem retira todo o virus do seu computador então da proxima vez olhe bem o que vão abrir….ok

    Curtir

  16. Bom eu fui infectada por esse virus…
    Meu amigo leu a materia e me passo…
    Ele manda uma menssagem instantanea para todus os contatus né…
    Entao meu colega veio aki mexeu e paro de aparesser…
    Issu significa q o virus sumiu du meu pc???
    A reportagen fico muito massa…
    fui
    parabens

    Curtir

  17. Leyberson Parente 13/04/2006 às 08:44

    Muito boa essa informação, tantos outros podem estar infectados e não sabem.
    Parabéns por essa iniciativa….

    Curtir

  18. Quer dizer então que tudo o que eu já digitei ele pode ter mandado para um servidor???

    Curtir

  19. juara fogos 13/04/2006 às 09:34

    eu tb peguei esta praga foi eviando por amigo da minha filha e ai acobou com me pc minhas senhas de banco cartoa de credito
    troque no dia seguinte acho q de tempo
    o amigo da filha ja gastou 250 reais com pc vc tao de parabens pela noticia

    Curtir

  20. Olá! Muito interessante o artigo…
    Recebi o e-mail, mas ainda bem que
    não cheguei a abri-lo!
    Obrigada pelas dicas… estão de PARABÉNS!!!

    Curtir

  21. boa a dica já que tem outro rodando tb falando sobre fotos
    eles colocam um site pra vc entrar e vc faz um download das supostas fotos !! valeu!

    Curtir

  22. João Felipe 13/04/2006 às 09:44

    Ontem noite me tentaram me mandaram o link, achei estranho a extensão que tinha nada haver com video, saquei na hora que era virus.. portanto ñ executem arquivos que tenham extensões difrentes.. bat,cmd,com etc..

    Curtir

  23. aeww
    valew mesmoo
    eu vi de manhã..
    dai na hora que to flanu com minha irmã..
    ela me manda issu
    aff
    vo tenta tirar agora
    vleww

    Curtir

  24. peguei ontem a noite essa bosta de virus….

    passei o norton 2004…. disse ele que recupereou 2 arquivos.

    mais vou fazer os testes recomendados pelo artigo…

    valeu

    Curtir

  25. Túlio Angeiras 13/04/2006 às 10:14

    Cuidado tambem com:

    Oi, ta joia? tirei umas fotos ontem e sairam bem estranhas. olha só como ficou:
    [link]

    ou algo assim. eh virus tambem nao abram o link.

    Curtir

  26. so se clicar no link q o virus se espalha pelo msn ?

    Curtir

  27. Abriram o link na minha maquina e toda hora que abria uma janela do msn aparecia o link, rodei a ferramenta de remoção acabou o problema na hora.

    Vlw pessoal do linha defensiva.

    Vcs estão de parabens.

    Curtir

  28. gostaria de saber se esse virus descobre senhas
    de msn?

    Curtir

  29. É realmente muito gratificante poder ver que o UOL tem preocupaçao em mostrar aos internautas a periculosidade que ha em alguns sites, ,mas desta vez tenho que admitir que foi otimo o artigo e que se eu nao o tivec lido relmente eu podeira ter sido infectada com o virus.
    Obrigada Linha Defensiva e à todos da rede UOL.
    Um abraço

    Curtir

  30. Everson Vagner 13/04/2006 às 11:22

    Obrigado, as informações estão claras e objetivas.
    O vírus está se espalhando muito rápido!
    Basta seguir os procedimentos.

    Curtir

  31. de grande ajuda,,, fui alertado ontem e hj recebi a msg e to providenciando para q minha amiga retire o virus do pc dela…,,, vlw

    Curtir

  32. Anderson Saltorato 13/04/2006 às 14:59

    Olha há outra forma mais rápida pra eliminar o Worm/Vírus… Você pode dar o famoso CTRL+ALT+DEL e na aba de processos procurar o TASKMAM.EXE e o MMSNMSGR.CMD e clicar sobre cada um e pedir pra finalizar o programa e assim deletar ele da PASTA SYSTEM DO WINDOWS….Fiz isso na minha Máquina e deu certo….Boa Sorte

    Curtir

  33. Excelente artigo muito facil de entender e aaplicar

    Curtir

  34. Sem brincadeira, terminei de ler a noticia, fui reiniciar o pc pra instalar meu novo anti-virus e assim q iniciou o windows, tchammmm abra crazy frog de um cidadão q nunca tinha sido adicionado no meu msn ¬¬, cuidado aew galera com o que vcs andam abrindo. Ainda bem que mesmo que eu não tivesse lido eu não ia abrir mesmo pq eu tenho um odio mortal desse sabo escroto :P

    Curtir

  35. Pois é. Seria legal fazer uma matéria sobre condutas seguras para o uso do msn. Eu tenho por hábito somente clicar em links depois de confirmar com a pessoa o que é e se me enviou realmente. Outra coisa que protege bem é usar o firefox como navegador padrão. Sempre que for feito o download de um executável ele mostra pela janela de download e pergunta se você quer salvar (única opção para executáveis). Isso é de grande valia pois não abre nada que posso oferecer perigo.
    Quando as pessoas mudarem seus hábitos de navegação ficaremos todos muito mais seguros, com certeza!

    Curtir

  36. Eu tive preocupado como iria resolver este problema em minha maquina, afinal de contas uso muito o msn, para serviço e lazer.
    Mas qunado descobri a solução deste probelma atravez de vocês, fiquei muit feliz. Muito obrigado, e parabens pelo empenho!

    Curtir

  37. Foi infectado hoje as 17:00h logo em seguinda segui os passos para “desinfeccao”. blz.
    so que ai eu fui fazer a varificacao pra ver se o arquivo inda estava na WINDOWS >>> SYSTEM>> e eu os achei. Os dois arquivos.
    Agora eu estou meio na duvida. Com medo de estar infectado.

    Curtir

  38. Estava navegando na Uol,e vi a materia do sapo motoqueiro e resolvi da uma lida, ai pensei comigo vela nao to infectado, quando entrei no msn eu vi q estava, muito obrigado a equipe ´Técnica da linha defensiva continuem asim , valew T+

    Curtir

  39. Rogerio Martinez 14/04/2006 às 00:53

    Vcs naum sao bons, VOCES SAO SIMPLISMENTE OS MELHORES!

    Curtir

  40. O virus e facil de se retirar, mais vamos prestar bastante atencao galera antes de sair clicando em qualquer link que apareca no msn!!!!!

    Abraco a todos!!!!!

    Curtir

  41. Valeu mesmo consegui retiralo!!!!!
    valeu!!!!!!!!!

    Curtir

  42. Lourenço de OSASCO 14/04/2006 às 14:06

    Só fiquei sabendo do virús pq tinha o clip do SAPINHO MOTOQUEIRO e mandei p/ um camarada, infectando a maquina dele, porém eu não sabia que tinha essa praga no meu sistema, ai ele me avisou e passou o site de vocês, PARABÉNSP VCs

    Curtir

  43. Valeu galera! vi onten a materia no na pagina da UOl e hoje eu recebi o link, ai expliquei pra pessoa que eu tava conversndo, ela nao tinha nem ideia que estava contaminada, passei o endereço de vcs pra ela pra ver se ela comsegue remover essa praga!! Valeu mesmo!! Parabens pra vcs!!!!!!!!!!!!!!!

    Curtir

  44. Ricardo Moraes Aguiar 14/04/2006 às 17:42

    Eu peguei essa praga e meu antivirus não conseguiu encontrar e nem remover.

    Eu uso o antivirus eTrus EZAntivirus.
    Só consegui remover utilizando a ferramenta de remoção do linha defensiva. Valeu pessoal!!

    Curtir

  45. tatiana de são paulo 14/04/2006 às 19:05

    poxa funciona mesmo eu tinha pegado e então eu baixei o programa e deu certo valeu….vale a pena baixar assim não é necessario ter que formatar o pc

    Curtir

  46. Arthur Lessa 14/04/2006 às 19:50

    Valeu pessoal da Uol Linha Defensiva pela ajuda, primeiro foi o virus “olha a minha foto” ou “olha o meu albúm de fotos”, que graças a vcs consegui eliminá-lo e “agora esse sapo motoqueiro” tbém já foi pro brejo. Brigadão.

    Curtir

  47. Recebi duas reclamações de visitantes do site e imeditamente procurei me informar sobre o que poderia estar acontecendo. Aí, dei de cara com o artigo de vocês, que já trazia a solução para o problema. Tomei a liberdade de incluir no site um link para a matéria de vocês. Muito obrigado por esclarecem que não há problema com o arquivo de vídeo do site.

    Robson Ramos

    Curtir

  48. Muito obrigado msm. Eu ja estava preocupado como faria para retirar essa praga.

    Curtir

  49. Artigo muito bem escrito, e sem duvida muito util. Grato!!!

    Curtir

  50. Não sei como proceder em relação a entrar em modo segurança, eu tenho q manter a tecla pressionada????
    bjão
    Gigi

    Curtir

Os comentários estão encerrados.