Está circulando pelo Orkut uma praga que é capaz de enviar scraps (recados) automaticamente para todos os contatos da vítima na rede social, além de roubar senhas e contas bancárias de um micro infectado através da captura de teclas e cliques.

Apesar de que aqueles que receberem o recado precisam clicar em um link para se infectar, a relação de confiança existente entre os amigos aumenta muito a possibilidade de o usuário clicar sem desconfiar de que o link leva para um worm. A mensagem enviada é a seguinte:

Dá uma olhada nas fotos da nossa festa, ficaram ótimas. [link malicioso]

Ao clicar no link, um arquivo bem pequeno é baixado para o computador do usuário. Ele se encarrega de baixar e instalar o restante das partes da praga, que enviará a mensagem para todos os contatos do Orkut.

Além de simplesmente se espalhar usando a rede do Orkut, o vírus também rouba senhas de banco, em outras palavras, é um clássico Banker. Bankers são muito comuns no Brasil e chegaram em segundo lugar no top10 das pragas mais ativas em abril, de acordo com o que a Linha Defensiva observou no fórum.

É raro que um Banker inclua rotinas para se espalhar para outros sistemas, mas isso está ficando cada vez mais comum com as pragas que enviam mensagens pelo MSN e agora com este worm que envia automaticamente os recados para o Orkut.

Ferramenta de Remoção

Devido ao grande número de casos que foram avisados à Linha Defensiva, estamos disponibilizando uma ferramenta de remoção capaz de remover a praga do sistema. A ferramenta pode ser baixada através do seguinte link:

http://linhadefensiva.uol.com.br/dl/orkut-fotos-festa

Basta executar a ferramenta, confirmar sua execução pressionando qualquer tecla e esperar a mensagem dizendo que tudo ocorreu bem. Depois de terminar de executar a ferramenta, a pasta C:LinhaDefensiva pode ser removida para terminar a limpeza do micro.

Para evitar infecções como essa, é recomendável que você jamais clique em um link enviado por qualquer meio, incluindo Orkut, MSN e e-mail, sem antes confirmar com o remetente que o mesmo enviou o link.

Assim como perfis no Orkut podem ser comprometidos, mensagens no MSN podem ser enviadas por vírus e, no caso de e-mail, o campo “De” das mensagens pode ser facilmente falsificado. É importante que você fique sempre alerta e desconfie para evitar infectar o seu computador.

Perguntas Freqüentes

Devido ao grande número de comentários, estamos publicando uma lista de perguntas freqüentes.

Como faço para saber se estou infectado?

No Windows XP ou 2000, aperte CTRL+SHIFT+ESC, vá na aba “Processos” e verifique se estão na lista um desses:

  • msbcs.exe
  • cmrss.exe (não confunda com verdadeiro “csrss.exe”)
  • system32.exe (não confunda com o “System”)
  • lsass32.exe (não confunda com o verdadeiro “lsass.exe”)

A ferramenta remove esses quatro arquivos. Se eles persistirem depois de você usar a ferramenta, veja o nosso fórum.

Usuários de Windows 98, 95 ou ME precisam do Process Explorer para verificar a presença desses processos.

Nota: Somente os dois primeiros arquivos são dessa infecção. Os outros dois são de outras variantes comuns de cavalos-de-tróia que roubam senhas de banco.

Depois de usar a ferramenta, posso usar meu banco com tranqüilidade?

É precisso lembrar que existem dezenas de outras pragas como essa que roubam as senhas de banco. A maioria delas não possui nenhum efeito visível, portanto não é possível percebê-las. Após se livrar dessa praga, é importante passar o seu antivírus no PC e trocar as suas senhas.

Se você não clicou em nenhum link duvidoso, seu PC está limpo, mas a ferramenta não poderá determinar isso.

Eu abri o link, vi que era um executável e cancelei. Estou infectado?

Não, mas é recomendável que você use o método descrito na primeira pergunta para confirmar..

O vírus funciona em um Mac? E Linux?

O vírus é um arquivo de Windows PE (Portable Executable) e não deve funcionar em um Mac ou Linux, sem o uso de um emulador ou máquina virtual.

Não cliquei em nenhum link, mas ainda enviam recados como se fosse eu.

Se sua senha do Orkut for fácil de ser descoberta é possível que ainda sejam enviados recados maliciosos para seus amigos. Além disso, diversas variantes dos Bankers também roubam senhas de Orkut para que os criminosos enviem os recados de forma manual, através de ferramentas de envio de scraps em massa. Em outras palavras, você pode estar infectado com outra praga, que não essa.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

106 comentários

  1. bah gnt muito obrigado pelo “anti-virus” foi um remedio pra meu pc!!

    muito obrigado

    Curtir

  2. Sempre observo se a extensão do arquivo (exe, scr, com, bat, cmd). Todavia, cliquei no link do ZUPLOAD porque não me pareceu “autoexecutável”, ou seja, teria que abrir uma outra página html para só depois baixar ou rodar o arquivo com vírus. Certo? Fiz isso pq queria saber se poderia baixar o vírus para máquina (sem executá-lo) para ver meu antivírus funcionando.

    O link era ….zupload.com/file.php?filepath=6166

    A página não carregou, tô usando o firefox.
    Queria saber se corro risco de contaminação com esse tipo de link? O WINDOWS/XP ou o antivírus, não perguntariam antes se quero rodar o executável? Agradeço qq esclarecimento, não precisa entrar em detalhes, pois estou tentando ajudar muitos amigos repassando dicas de segurança.

    Curtir

  3. Lucas Salles 23/05/2006 às 18:54

    E eu vou confiar neste executável daqui do linha defensiva? Será que devo? :^/

    Curtir

  4. Fabiana Marques 23/05/2006 às 20:05

    E a Polícia Federal nada faz a respeito??? Existem muitas pessoas desinformadas, que clicam no link sem saber, e depois…

    Curtir

  5. Marcia Sousa 23/05/2006 às 22:44

    Preciso agradecer e parabenizar o Linha Defensiva!!! Uma amiga clicou no link das tais fotos do meu computador, logo fiquei sabendo do vírus e entrei em pânico… ainda bem que em seguida avisaram-me sobre o trabalho de vcs e puder resolver o problema rapidamente.
    Vou avisar todos os meus amigos!Valeu!!

    Curtir

  6. Serginho

    Claro, é possível salvar o vírus sem executá-lo.

    Mas lembre-se que mesmo links não executáveis podem conter código executável com o uso de falhas no sistema, então lembre-se de atualizá-lo.

    Curtir

Os comentários estão encerrados.