Um novo worm está se espalhando por meio do MSN Messenger. Ao ser executado, o usuário infectado faz parte de uma rede zumbi, que é controlada através de um canal de bate-papo IRC, um método comumente usado pelos Bots. Entre os comandos aceitos pelos zumbis, está um capaz de fazer ataques de negação de serviço, ou seja, derrubar usuários e sites da Internet.

O worm já é o segundo a se espalhar só neste mês. Na semana passada, a Linha Defensiva alertou os usuários sobre o Sapo Motoqueiro (que também envia mensagens do Michael Jackson), e, até o momento, já foram registrados mais de 50 mil downloads das ferramentas de remoção.

O “Fofocas Brasil” recebe o seu nome pela endereço presente na mensagem enviada pelo vírus, que sempre possui “fofocasbrasil”:

********.fofocasbrasil.com.br/[removido] é vc mesmo nessas fotos?

Os ******** representam uma parte variável, que depende do usuário que está enviando a mensagem. Ali é incluído a parte de usuário do endereço do e-mail (antes do @), dando um ar de legitimidade à mensagem. O arquivo baixado é um executável que possui a extensão de programa de MS-DOS, “.com”, fazendo com que alguns usuários acreditem se tratar de um site e não um programa de computador.

Para se proteger desse worm, basta não clicar no link. É importante que você desconfie de todos os links recebidos através de qualquer meio e, na dúvida, confirme com o usuário que ele realmente enviou tal mensagem ou e-mail para você. Um simples pedido de confirmação é mais do que o necessário para evitar essa e muitas outras pragas.

Nos testes da Linha Defensiva, o worm não funcionou em Windows 9x/ME, apenas em Windows 2000 e XP. No Windows 98 ele funcionou parcialmente, mas foi desativado ao reiniciar a máquina.

Já no Windows 2000 e XP, o worm usa uma técnica interessante para camuflar os arquivos. Ele cria uma pasta chamada fonts.{0003000d-0000-0000-c000-000000000046}. Para o usuário, a pasta parece ser um arquivo de som, pois a informação entre chaves é o identificador interno do Windows para arquivo de som. Isso faz com que a pasta pareça ser um simples arquivo multimídia chamado “fonts”. A única maneira de abrir a pasta é clicando com o botão direito nela e selecionando a opção “Explorar”.

O arquivo dentro dessa pasta é inicializado com o uso de um serviço chamado Windows Logon Information. Como o Windows 98 não suporta serviços, é possível que o vírus não funcione nele devido a essa incompatibilidade. Se você usa Windows 98 e acredita estar infectado, entre em contato conosco.

O vírus também modifica a página inicial do Internet Explorer para o site “Festas Badaladas”, que, até o momento que essa reportagem foi escrita, está apenas exibindo uma mensagem de “parking” da Sedo.com. O site apresenta diversos links para supostos removedores de spywares e trojans.

Ferramenta de Remoção

Se você está infectado pelo Sapo Motoqueiro ou Michael Jackson, use a ferramenta do sapo, clicando aqui. A ferramenta abaixo serve apenas para o Fofocas Brasil, que envia o link descrito acima.

A Linha Defensiva desenvolveu uma ferramenta para remover o worm automaticamente do seu sistema. Para fazer o download, acesse:

http://linhadefensiva.uol.com.br/dl/msn-fofoca

Quando executar a ferramenta, você deve apertar Enter para permitir que ela trabalhe. Depois você deve reiniciar a máquina imediatamente para terminar a remoção. Não é necessário reiniciar o computador em Modo de Segurança. Se você puder fazer isso, no entanto, há mais chances de a ferramenta funcionar.

Se você ainda tiver problemas com esse worm depois de executar a ferramenta, veja como pedir ajuda em nosso fórum.

Informações Úteis e Perguntas Freqüentes

Como sei que estou infectado?

De tempos em tempos, seu MSN enviará o link descrito acima. Se você utiliza um cliente que não o MSN (exemplos: Trillian e Gaim), a mensagem provavelmente não será enviada. Você pode ver que está infectado indo até a pasta C:WINDOWSsystem32 e verificando pela existência de um aparente arquivo de som chamado “fonts”.

A ferramenta pode causar algum problema? O que ela faz?

A ferramenta reseta a página inicial do Internet Explorer, apaga os arquivos e pastas do worm e desativa o serviço malicioso Windows Logon Information. Não sabemos de nenhum problema que pode ser causado pela ferramenta, visto que ela é um simples script “batch” que usa comandos e programas próprios do Windows para remover o worm. Qualquer um pode conferir o que a ferramenta faz clicando-se com o botão direito no arquivo e selecionando a opção “Editar”.

O único arquivo criado pela ferramenta que não é removido por ela é o c:cleanup.bat. Depois que o vírus foi removido, esse arquivo pode ser apagado. Mas só apague-o depois que o vírus for removido — caso contrário o processo de remoção não será finalizado com êxito.

Ela serve pra outros worms de MSN?

Não, ela é específica para esse caso.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

50 comentários

  1. estava contaminado com esse worm, acabei de utilizar a ferramenta que por sinal funcionou muito bem! recomendo…

    Curtir

  2. A ferramenta funcionou muito bem. Basta seguir as instruções.

    Valeu !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Curtir

  3. Valeu pelo aviso Altieres
    Muito obrigado

    abraços.

    Curtir

  4. Muito útil a matéria!
    Reconheci hoje o virus pois recebi direto esse link de uma amiga!
    Mas como estava no Linux, nada aconteceu à minha máquina!
    Já enviei o link da matéria a ela!

    Bjss

    Curtir

  5. Funcionou bem aqui.
    Parabéns à equipe do Linha Defensiva pela agilidade.

    Curtir

  6. Eu recebi esta mensagem sobre o site e tentei entra mas dizia que a pagina não poderia ser exbida entao fui procurar a pasta e não achei mas mesmo assim fiz todo o processo que a linha defensiva mandava. E espero que de realmente certo

    Curtir

  7. Funcionou muito bem recomendo a todos os usuários do MSN…..E espero que tenha extraindo este vírus maldito criado por pessoas de má fé.

    Curtir

  8. Gostaria de saber se esse vírus se propaga se o site for aberto no Mozilla FireFox
    Grato

    Curtir

  9. Guilherme

    O worm não explora falhas no navegador, portanto o navegador usado não interfere com o funcionamento da praga.

    Curtir

  10. Parabéns ao pessoal da linha defensiva pelo esforço e agilidade na hora de criar este programa de antivírus… Agradeço muito pois havia acado de formatar o meu PC e teria o feito mais uma vez se naum fosse por vcs! O programa está funcionando perfeitamente e já o recomendei a alguns amigos garanto 100% de correção! Obrigo pessoal da linha defensiva…

    Curtir

  11. Silvio Marcelo Maranhão Filho 20/04/2006 às 01:20

    Recebí o worm durante uma comunicação com um colega advogado que pensou (segundo ele) estar enviando um arquivo de texto, pois bem, acreditei que poderia haver alguma coisa errada pois o programa do navegador informou antes, que poderia se tratar de algum arquivo malicioso e que este poderia causar danos permanentes na minha máquina. A ferramenta de remoção desenvolvida pela equipe do Linha Defensiva foi muito eficiente, e deveria ser melhor divulgada, em outros sites de notícias ou por outros meios; TV por exemplo. É uma pena realmente que existam pessoas desocupadas que tenham por passatempo prejudicar outras pessoas criando estas PRAGAS ELETRÔNICAS. Acho até que seria bom se houvesse uma investigação séria afim de punir tais criminosos, pouco importando as suas idades ou origens!!!
    Parabéns a todos vocês da Linha Defensiva !!!

    Curtir

  12. Removi o virus.. e minha barra de tarefas SUMIU !
    jÁ Tentei de tudo e não consegui fazer retorna-lá..

    qd inicio o pc em modo seguro ela esta lá..!

    oq faço?

    Curtir

  13. Thiago Matheus 20/04/2006 às 01:28

    Gostei demais da iniciativa.Valeu,Linha Defensiva!

    Curtir

  14. Hahahaha… incrivel. recebi isso direto de varias pessoas no meu msn, e nunca entrei. Sempre pensei. po, deve ser akele crazy frog, nem kero ver.. ahahaha.. dae hj recebi isso e fui ver realmente oq era. e vi a maldita pagina fora do ar la e pronto ganhei um worm XD
    passei a tarde inteira pra tirar ele aki e nada. meu bendito pc reiniciava com akele reloginho de contagem regressiva… por sorte achei AGORA aki o prog q remove.. 8)
    fazer oq nehh.. malditos viruss !!!!
    Tbm sempre vi falando de virus de msn, mas nunca me interesei. dae tomei neh..
    mas eh isso

    Curtir

  15. Priscilla Santos 20/04/2006 às 01:47

    Muito obrigado!!Mais me tirem uma dúvida como sei que estou com esse vírus,o que acontece?

    Curtir

  16. Restaurei o Windows pelo modo de segurança e parece que tudo voltou ao normal, mesmo assim utilizei a ferramenta por garantia. Grato pela agilidade.

    Curtir

  17. recebi esse virus há uns 3 meses a traz,e fiquei repassando ele involuntariamente,pois éra só começar a tc c/ alguem no msn e o virus ja ia automaticamente,não reparei nem um dano ao micro,mas sem minha vontade estava espalhando,levei o micro a um parente que passou um antispyware e o virus foi removido,só agora vi um aviso sobre este virus e a solução,mas valeu!!!

    Curtir

  18. Caro Altieres, parabéns pelos serviços prestados neste site.
    Tenho apenas uma consideração a fazer: Sempre me pergunto qual a “graça” de se ficar horas na frente do PC trocando futilidades com “amigos” na web? Sim! Esta é a minha dúvida. Mesmo que se conheça pessoalmente a pesoa com quem se troca informações, será que este ou esta é 100% confiável? Muitas vezes nos decepcionamos em relacionamentos reais por uma diversidade enorme de fatores certo? Então se existe a possibilidade de isto ocorrer também no virtual devemos adotar a prática do confiar desconfiando. Não estou criticando as pessoas que ficam horas a fio no MSN, etc e tal, mas critico sua postura de achar que por se tratar de algo “virtual” nada de ruim poderá acontecer. Penso que todos devemos nos lembrar que se, muitas vezes, disponibilizamos informações pessoais, de foro intimo nosso, devemos avalizar se a pessoa para quem o fazemos é realmente confiável, e não estou falando de dados bancários, de cartão de crédito, etc, estou falando de dados morais, de nossa intimidade.
    É claro que serei criticado por muitos, mas somente quem sabe o que é ser traído e ter sua intimidade bisbilhotada e exposta me dará crédito. Se todos agissem como alguns que confiam desconfiando, certos problemas como os criados por worms e outras pragas virtuais, com certeza, teriam menores consequências.
    Abraço.

    Curtir

  19. Eduardo Takano 20/04/2006 às 09:14

    Priscila de uma olhada nisso aqui:

    Como sei que estou infectado?
    De tempos em tempos, seu MSN enviará o link descrito acima. Se você utiliza um cliente que não o MSN (exemplos: Trillian e Gaim), a mensagem provavelmente não será enviada. Você pode ver que está infectado indo até a pasta C:WINDOWSsystem32 e verificando pela existência de um aparente arquivo de som chamado “fonts”.

    Curtir

  20. Fabio Mariano 20/04/2006 às 09:26

    Realmente, eh um problema constrangedor. Aconteceu comigo. Meu lep top mudou pro avesso. Nao sabia como proceder ao fato, ate chamar o tecnico. Por sorte, nao foi excluido nada apos o reparo.
    Eu tambem recebo uns virus sem explicacao, fico com ansia de excluir mas nada exclui, na verdade. Eh um tipo de arquivo que aparece quando a gente menos espera abrindo uma tela com venda de um produto. Ainda nao descobri como exclui-lo. Estou analisando por si proprio. Se nao for possivel, chamarei o tecnico outra vez.

    Curtir

  21. Ufa!!! ainda bem que existe este tipo de site para nos alertar sobre vírus e outros problemas! Parabéns aos responsáveis por este site.

    Curtir

  22. O galera eu conheço a pessoa em que esse sites fofocasbrasil.com.br e festasbadaladas.com.br estão registrados, e ele nem sabe de nada, alguem sabe como posso denunciar isso…

    Curtir

  23. Peguei esse virus a dois dias e meu msn estava uma loucura! Enviava msg automaticamete para pessoas q estavam online na minha lista, abria sites no meu pc de acordo com um determinado tempo automaticamente tb… E hoje recebi uma graça de e-mail, q solucionou o meu problema! Executei conforme pedia e deu tudo certo. Rápido e prático. Agradeço a Linha Defensiva pela agilidade!

    Curtir

  24. Graças ao linha defensiva consegui tirar essa praga do meu micro,já estav ficando em desespero pois por mais que tentasse toda hora era direcionada pro site das festas nossa!!!obrigada a vcs do linha defensiva e parabéns que vcs continuem fazendo esse belo trabalho.valeu

    Curtir

  25. Voces estão de parabens a equipe da linha defensiva, usei a ferramenta resolveu o meu problema do worm. A ferramenta funcional muito bem !!!!!

    Recomendo….

    obrigado !!

    Valeu mesmo……

    Curtir

  26. Adriana Hollenbeck 20/04/2006 às 22:55

    Eu amo voces de todo o meu coracao! Parabens por terem disponibilizado a ferramenta que solucionou o meu problema! Agradeco mesmo… Eu ja estava ficando desesperada, sem saber com quem contar!
    Valeu pela competencia e pela forca em destruir quem nao presta!!!

    Curtir

  27. Só comigo parece que nao funcionou !

    Rodei umas 4x ja o programa e nao tirou o worm.

    E sim, eu fiz todos procedimentos que esta escrito.

    :(

    O meu fala pra ver as fotos, mas nao é com ligaçao a esse festabaladas… é outro site que fala, deve ser por isso que nao tira entao ?

    Alguem poderia me dar uma força ?

    Abraços.

    Curtir

  28. ele funcionouuu..
    e tipooo qnd o computador ta com o virus…
    sempre abre o windons da um erroooo…..
    depois q passei o proggrama naum deu maiss
    e sumiuu i site de festasbadaladas

    Curtir

  29. Ismael Ventura da Silva 21/04/2006 às 12:38

    FUNCIONA! É BAIXAR, RODAR E REINICIAR! FIM DE PAPO! PARABÉNS!

    Curtir

  30. Estou com o vírus e não consigo tirá-lo.
    Quando entro no link: http://linhadefensiva.uol.com.br/dl/msn-fofoca
    ele aparece e some na mesma hora.
    o que devo fazer?

    obrigado

    Curtir

  31. Galera.
    Fui contaminado pelo worm e a ferramente disponível aqui funcionou perfeitamente.
    Obrigado galera da Linha Defensiva.
    Parabéns!!!

    Curtir

  32. O site aparece e some da minha tela?
    O que eu faço?

    Curtir

  33. d+ essa ferramenta!adorei ela ,tava ja desesperado!obrigado a vcs!!e parabens a quem conseguiu tirar tb fuiii!!!

    Curtir

  34. Acabei de receber este virus!
    Porem naum xeguei a baixar….

    Vlw pela matéria…Bom Trabalho!
    =P

    Curtir

  35. Filipa Lourenço de Portugal 23/04/2006 às 15:35

    Eu este fim semana, também recebi essa mensagem com virus, de um contacto do msn e curiosa guardei o ficheiro, depois já era eu a enviar as mensagens sem eu querer, um amigo meu, disse para limpar o disco e desfragmentar, eu fiz isso e resultou em relação ao envio das mensagens automáticas, só não resultou em relação ao aparecer o site das festasbadaladas, esse só consegui retirar com a sugestão que voces dão aki, de clicar no link, k vai para o ms-dos, e depois reiniciar. Resultou, porque agora estou escrevendo e não aparece essa página a interromper. Muita obrigada!

    Curtir

  36. otavio vincius 24/04/2006 às 00:48

    muito bom…tinha um anti spy ware mas ele naum tirou.
    mas ai entrei no google e digitei o nome do site e dai encontrei vc’s valeu este progama foi muito bem bolado
    espero naum cair em mais nada mais no caso peço ajuda a vc’s.parabens

    Curtir

  37. Juliana Amaral 24/04/2006 às 08:50

    Funcionou;;;obrigada ao linha defensiva que tirou essa droguinha de praga do meu pc..puts eu já estava ficando louca…tava chato e eu estava criando atrito com outras pessoas que na curiosidade clicava no link enviado e antes meu link do msn ja estava avisando…poxa…graças a vocês consegui tirar essa praga, obrigada a todos. PARABÉNS…

    Curtir

  38. eu tb recebi, essa praga, porém não aconteceu nada a não ser reenviar p/ várias pessoas involuntáriamente…porém passei o link, p/ minha amiga q me passou isso, obrigada a vc’s do linha defensiva… pela iniciativa.
    até mais…

    Curtir

  39. caramba …

    utilizei a ferramenta e o worm desapareceu …

    valeu pela dica !!!

    Curtir

  40. Ao ver o site mandada por uma “amiga” na qual não tenho muito contato fiquei com medo que fosse alguma coisa pessoal…pesqueisei no GOOGLE e achei este site…o incrivel é que deu pagina não encontrada para aquele link fique com mego e logo pesquisei nas pastas e arquivos do meu pc…ele não encontrou o virus estou com medo msm assim

    Curtir

  41. bruno de oliveira 24/04/2006 às 16:31

    MUITO BOM.DEU CERTO NO MEU PC, RECOMENDO

    Curtir

  42. Certo, eu baxei o anti-spam do sapo q por sinal funcionou muito bem, mas esse maldito da mensagem “é você mesmo?” eu baxei, ultilizei, reeniciei a maquina, fiz isso no minimo umas 5 vezes, e infelizmente não deu certo, o maldito continua entrando no tal “Festas Badaladas” e mandando spam para todos do meu MSN!
    E pelo oq eu ouvi, agora tbm existe um para o Orkut, por bem, esse não infectou minha maquina!
    Mas por favor!, me ajudem a solucionar o problema do porque meu Computador não se livra desse Worm, procurei até pelo arquivo Fontes… e não achei, e mesmo assim a mensagem prevalece no MSN, Ha sim, antes q eu me esqueça, meu Windows é o XP!

    Obrigado pela atenção!

    Curtir

  43. Vanessa Gomes 24/04/2006 às 23:11

    Bom, fui enganada com esse site tbm, e tipo a pagina deu erro entaum naum sei o que fazer, pois naum encontrei a pasta solicitada, mais tbm naum tenho certza de que naum esta no e computador

    Curtir

  44. Fiz o que vocês mandaram para tirar esse virus do meu msn, depois reiniciei e a mensagem é que tinha feito com sucesso a remoção, mas fui naquele:
    Você pode ver que está infectado indo até a pasta C:WINDOWSsystem32 e verificando pela existência de um aparente arquivo de som chamado “fonts”.
    E ainda está lá?
    Quero saber se é para remover essa pasta que está escrito fonts…
    Obrigada…

    Curtir

  45. Lúcia

    Você pode apagá-la, mas lembre-se que a pasta Fonts do vírus possui o ícone de um arquivo de som. Se a pasta não tiver esse ícone ela não pertence ao vírus.

    Curtir

  46. Recebi isso agora de pouco, não estava sabendo disso e cllikei no link só q não abriu pagina alguma…como estranhei, fui procurar saber.
    Já procurei a pasta….mais não encontrei nada, e a minha pag do internet explorer não mudou também…
    O que eu faço? Não sei se estou infectada….

    Curtir

  47. Mariane

    Se você não começou a enviar as mensagens pelo MSN, você não está infectada.

    Curtir

  48. Na mesma hora em que cliko no link, eu ja começo a mandar aquela mensagem para os meus contatos do MSN???

    Curtir

  49. Pois é… eu utilizei a ferramenta e até acho que funcionou… mas agora o PC tá lentoooooooo d+! e tb não tá entrando no msn… será q tem a ver?! :(

    Curtir

  50. Mariane

    Não, ela envia de tempos em tempos.

    Amanda

    Não acredito que exista qualquer relação.

    Curtir

Os comentários estão encerrados.