Está circulando pelo Orkut uma praga que é capaz de enviar scraps (recados) automaticamente para todos os contatos da vítima na rede social, além de roubar senhas e contas bancárias de um micro infectado através da captura de teclas e cliques.
Apesar de que aqueles que receberem o recado precisam clicar em um link para se infectar, a relação de confiança existente entre os amigos aumenta muito a possibilidade de o usuário clicar sem desconfiar de que o link leva para um worm. A mensagem enviada é a seguinte:
Dá uma olhada nas fotos da nossa festa, ficaram ótimas. [link malicioso]
Ao clicar no link, um arquivo bem pequeno é baixado para o computador do usuário. Ele se encarrega de baixar e instalar o restante das partes da praga, que enviará a mensagem para todos os contatos do Orkut.
Além de simplesmente se espalhar usando a rede do Orkut, o vírus também rouba senhas de banco, em outras palavras, é um clássico Banker. Bankers são muito comuns no Brasil e chegaram em segundo lugar no top10 das pragas mais ativas em abril, de acordo com o que a Linha Defensiva observou no fórum.
É raro que um Banker inclua rotinas para se espalhar para outros sistemas, mas isso está ficando cada vez mais comum com as pragas que enviam mensagens pelo MSN e agora com este worm que envia automaticamente os recados para o Orkut.
Ferramenta de Remoção
Devido ao grande número de casos que foram avisados à Linha Defensiva, estamos disponibilizando uma ferramenta de remoção capaz de remover a praga do sistema. A ferramenta pode ser baixada através do seguinte link:
http://linhadefensiva.uol.com.br/dl/orkut-fotos-festa
Basta executar a ferramenta, confirmar sua execução pressionando qualquer tecla e esperar a mensagem dizendo que tudo ocorreu bem. Depois de terminar de executar a ferramenta, a pasta C:LinhaDefensiva pode ser removida para terminar a limpeza do micro.
Para evitar infecções como essa, é recomendável que você jamais clique em um link enviado por qualquer meio, incluindo Orkut, MSN e e-mail, sem antes confirmar com o remetente que o mesmo enviou o link.
Assim como perfis no Orkut podem ser comprometidos, mensagens no MSN podem ser enviadas por vírus e, no caso de e-mail, o campo “De” das mensagens pode ser facilmente falsificado. É importante que você fique sempre alerta e desconfie para evitar infectar o seu computador.
Perguntas Freqüentes
Devido ao grande número de comentários, estamos publicando uma lista de perguntas freqüentes.
- Como faço para saber se estou infectado?
-
No Windows XP ou 2000, aperte CTRL+SHIFT+ESC, vá na aba “Processos” e verifique se estão na lista um desses:
- msbcs.exe
- cmrss.exe (não confunda com verdadeiro “csrss.exe”)
- system32.exe (não confunda com o “System”)
- lsass32.exe (não confunda com o verdadeiro “lsass.exe”)
A ferramenta remove esses quatro arquivos. Se eles persistirem depois de você usar a ferramenta, veja o nosso fórum.
Usuários de Windows 98, 95 ou ME precisam do Process Explorer para verificar a presença desses processos.
Nota: Somente os dois primeiros arquivos são dessa infecção. Os outros dois são de outras variantes comuns de cavalos-de-tróia que roubam senhas de banco.
- Depois de usar a ferramenta, posso usar meu banco com tranqüilidade?
-
É precisso lembrar que existem dezenas de outras pragas como essa que roubam as senhas de banco. A maioria delas não possui nenhum efeito visível, portanto não é possível percebê-las. Após se livrar dessa praga, é importante passar o seu antivírus no PC e trocar as suas senhas.
Se você não clicou em nenhum link duvidoso, seu PC está limpo, mas a ferramenta não poderá determinar isso.
- Eu abri o link, vi que era um executável e cancelei. Estou infectado?
-
Não, mas é recomendável que você use o método descrito na primeira pergunta para confirmar..
- O vírus funciona em um Mac? E Linux?
-
O vírus é um arquivo de Windows PE (Portable Executable) e não deve funcionar em um Mac ou Linux, sem o uso de um emulador ou máquina virtual.
- Não cliquei em nenhum link, mas ainda enviam recados como se fosse eu.
-
Se sua senha do Orkut for fácil de ser descoberta é possível que ainda sejam enviados recados maliciosos para seus amigos. Além disso, diversas variantes dos Bankers também roubam senhas de Orkut para que os criminosos enviem os recados de forma manual, através de ferramentas de envio de scraps em massa. Em outras palavras, você pode estar infectado com outra praga, que não essa.
Linha Defensiva 
E não faz nem alguns dias que esta praga está se propagando pelo okut e já apareceu outra aparentemente cheia de bugs.
Veja recado enviado:
vejam esse blog da copa com esse video da seleção brasil 2006
http://www.orkut.com/copabrasilblogbrasil2006s.aspx
Na verdade o link mascarado redireciona para: http://www.bys******.org/Amizade.zip?www.orkut.com/copablogbrasil2006s.aspx
Mais um banker para a coleção. E a PF não faz nada??
CurtirCurtir
Vim assistindo como estes worms se alastram rápido…
Todos os meus amigos do orkut se naum enviaram jah presenciaram alguem que jah enviou…
Minha lista tem esse worm de cima a baixo…
A Google naum pode fazer nada pra evitar que isso aconteça??
=D
CurtirCurtir
Artigo muito importante para esclarecimento dessa praga que atolou meu orkut esses dias
CurtirCurtir
Espero que eu tenha feito corretamente…………..pois meus filhos uasam a maquina e abrem tudo que aparece…………….Valeu a força.
CurtirCurtir
Agradeço a todos pela ferramentra postada…ela foi de grande utilidade!
CurtirCurtir
Muito boa essa reportagem, logo que vi essa mensagem enviada para meus recados do Orkut, logo percebi que era algo malicioso, e exclui o Scrap rapidamente, mas foi muito bom saber que era mesmo um virus malicioso.
Obrigado pessoal da Linha Defenciva
CurtirCurtir
Nossa, vai ajudar mta gente este programa valeu mesmo!
Meu pc não foi infectado,mais vo poder avisar muitos amigos.
Muito obrigada!
CurtirCurtir
Nossa! Eu tinha acabado de entrar no link, ou seja peguei o virus, sorte minha entrar no site e ver essa noticia em tempo!
Vlw pelo programa!!
CurtirCurtir
Parabéns a equipe do linhadefensiva pelo alerta dado a todos usuários da rede!
CurtirCurtir
Recebi esta mensagem com o vírus ontem, e caí que nem um patinho, mas o mesmo é fácil de ser retirado, o avg que é um anti-vírus gratuito detectou o mesmo e deletou-o, o que eu recomendo é que as pessoas que saibam assim como eu soube, que avisem todos os seus contatos da lista através de mensagem via e-mail.
CurtirCurtir
O meu Pc, foi invadido popr esta praga!!!Cada vez que eu queria entrar no Orkut, já aparecia o teclado virtual do banco. Usei o link do linhadefensiva e deu certo!!!Consegui eliminar esta praga.Grata
CurtirCurtir
é um absurdo, essa criminalidade que está nos afetando cada vez mais até mesmo ultilizando meios de comunicação sadia, fico indignada com tudo isso que esta acontecendo,espero que os orgãos competentes possam intervir de alguma maneira,para que possamos ter um pouco de “privacidade digital”, e que afaste essa praga de uma vez por todas.
CurtirCurtir
Sugiro que todos que fazem parte do Orkut e receberem uma mensagem de worm desta, enviem uma outra mensagem para a pessoa que (supostamente) te enviou a menagem avisando-a que o micro deve estar infectado.
CurtirCurtir
Legal ter uma ferramenta para se livrar da praga espalhada via orkut, a tal veja-fotos-da-festa, mas seria melhor ainda se essa ferramente avisasse se o micro realmente está infectado, em vez de apenas dizer que foi executado corretamente.
CurtirCurtir
valeuu.. o programinha eh rapidooo
CurtirCurtir
Muito boa matéria.
Agora, do jeito que espalharam este vírus chato vamos espalhar o removedor.
Ja mandei pra varios amigos meus infectados.
PARABENS PELA MATÉRIA!!!
CurtirCurtir
Eu tinha clicado no link de um scrap como descrito na reportagem e agradeço o trabalho da linha defensiva no combate e remoção do vírus. Valeu!
CurtirCurtir
Adorei a materia, muito util ja que aparentemente a maioria dos meus contatos esta com esse virus ….
Agora estou espalhando o link de vcs …
Obrigada pela ajuda =]
CurtirCurtir
Domingos Sávio Giordani
Tentaremos incluir nas ferramentas futuras, sempre que possível, uma checagem para ver se está infectado ou não.
CurtirCurtir
eu cliquei nesse link,mas deu erro na pagina, não abriu nada alem de uma pagina de erro
tbm não salvei nada no meu comp
corro algum risco????????????????????
CurtirCurtir
Só hj aconteceu com dois amigos meus. Já avisei à todos.
Obrigada
CurtirCurtir
percebi o perigo disso na hora
quando vi q tantas pessoas tinham ido a festas e tirado fotos legais
hahahha
tem otro está escrito em azul e embaixo tem um link falando q ganhou um presente
cuidado!!
o brigado pela ajuda
CurtirCurtir
ei pessoal ja tem outra msg sendo enviada cuidado pq eu axo q deve ser virus tbem!!! a mensagem é assim
Oi, blz? Dessa vez é sério, ontem recebi essa mensagem e naum deixei de me comover, é sobre um pai que teve seu filho desaparecido, e pede desesperadamente, a divulgação desse anúncio, faça como eu, naum fique de fora, repasse aos seus amigos também, afinal naum custa nada ajudar, vlw!
Para visualizar o anúncio, clique aqui!
CurtirCurtir
Está praga está em todos as listas de contatos do orkut!Varios amigo meus estão mandando está mensagem1É gente que não tem o que fazer msm!Tem outro tambem que ele clona o seu orkut!Ele pega uma foto sua e faz outro indentifico!E fica mandando mensagens ofensivas para seus amigos!É preciso ficar atento com estes virus em geral!
CurtirCurtir
Nossa valeu galera eu cai como um patinho e fico muito feliz por vcs fazerem isto por nós. Valeu mesmo, vou avisar todos os meus contatos.
CurtirCurtir
Alguem pode me dizer se essa praga do orkut pega em MAC??? eu uso mac e nao sei se o virus entrou no sistema operacional da minha maquina.
obrigada
CurtirCurtir
Acabo de receber o primeiro scrap com o link para o endereço 200.96.251.212/festa/fotos.exe…basta um pouco de atenção para identificar que é um executável, por se só já é suspeito.
Muito boa a dica da ferramenta de voces, vale para os desatentos ou os “leigos”.
CurtirCurtir
Realmente é uma boa diga e uma ótima solução para quem naum possui conhecimentos dessas pragas. Além de ser uma boa dica, naum adianta apenas vc usar….
Alerte seus amigos do orkut para naum clicar nesse link, se caso venha receber e nunca abra links nos recados apenas pq seus amigos mandam… tenha certeza de que é uma fonte segura e sempre procure saber se seu amigo mandou mesmo algo que valha a pena ver…
” a curiosidade matou o gato” e veio o linha defensiva e exterminou a curiosidade…rs*
Parabéns…..
CurtirCurtir
É interessante saber se está infectado porque cliquei no link de estúpido que sou e deu pau, nem sei se foi infectado, acho que não mas baixei a ferramenta e estou colando o recado na página da KK que foi clonada
CurtirCurtir
Fiz td como mandado por vcs, confesso q ainda estou insegura, mas valeu pelo cuidado, obrigada Luciana
CurtirCurtir
Muito obrigado pelo apoio do linha defensiva, pois meu micro havia sido infectado e eu já havia tentado de várias maneiras remover o virus e não havia conseguido.
Valew
CurtirCurtir
Muito bom esse aviso……eu mesmo fui vitima pq tinha ido a um casamento da pessoa que me enviou o scrap….então acreditei…..e qdo menos espero…..fui entrar no site do meu banco para ver minha conta….e me pediram minha senha do cartão…..então estranhei e entrei em contato com o banco…..e eles me alertaram…..e vcs me forneceram o antivirus…..muito obrigado !!! Já mandei a todos os meus contatos….vma combater da mesma forma que eles nos infectam…..
CurtirCurtir
mas mesmo eu tendo um anti-virus bom pra caramba ( o avast), q jah ate excluiu o arquivo infectado antes msmo de ter sido aberto, eu posso estar infectado msmo assim, depois q o avast deletou o arquivo?????
CurtirCurtir
Sempre desconfiei desses links mascarados que vem no orkut e MSN. Nunca abri nenhum. A dica que eu dou, é que na dúvida cliquem com o botão direito do mouse sobre o link e em seguida cliquem em ‘propriedades’ aparecerá o verdadeiro link da mensagem. Muitos links vem mascarados como “clique aqui” ou então com um site “fantasia”.
Parabéns ao Linha Defensiva
CurtirCurtir
Materia de grande importância, não sou de abrir esses links estranhos, ainda bem. Mas conheço muita gente que já abriu e me perguntou o que era isso. Estou enviando link da materia pelo orkut, afim de informar as pessoas sobre o virus. Fico muito agradecido.
CurtirCurtir
Gostei do programinha, pequeno e executou rapidamente, mas como alguns comentarios, deveria dizer se a maquina estava infectada ou nao, a minha nao estava por que eu tenho anti spy e anti virus, mas é de uma grande ajuda , valeu rapaziada
CurtirCurtir
Muito obrigado pela ajuda!!! Vou avisar outras pessoas sobre a praga e se alguém pegou o virús vou indicar o site. Valeu!!
CurtirCurtir
Valeu pela dica. Tinha recebido a mensagem para ver fotos da festa de um grande amigo meu e por isso nao me dei conta do perigo. Em seguida recebi o endereço de vcs de uma grande amiga minha avisando do virus. Mt obrigado a todos vcs que agiram com boa fé.
CurtirCurtir
não vi no artigo se a tal praga é detectada pelos anti-virus comerciais. alguém sabe?
CurtirCurtir
vc ajudaram pra kramba, estava com medo do meu pc está contaminado por este virus……
CurtirCurtir
alguem já fez o whois do IP onde esta o worm? pertence a brasiltelecom do DF, nao é possivel q eles nao tenham ainda denunciado o usuario.
inetnum: 200.96/16
asn: AS8167
ID abusos: BTA17
entidade: Brasil Telecom S/A – Filial Distrito Federal
documento: 076.535.764/0326-90
responsável: Brasil Telecom S. A. – CNRS
endereço: SEPS 702/092 Cj. B – Bl B 3 andar Gen. Alencastro, S/N,
endereço: 70390-025 – Brasilia – DF
telefone: (61) 415-4201 []
ID entidade: BTC14
ID técnico: BTC14
inetrev: 200.96.0/24
inetrev: 200.96.1/24
CurtirCurtir
Carol
O arquivo, até este momento, encontra-se offline devido a um erro (portanto ainda não foi tirado do ar). Avisamos um dos servidores que estava hospedando o arquivo mas ainda não recebemos confirmação de que o mesmo foi removido.
MYSELF
Se você tem absoluta certeza que o arquivo não vazou pelo antivírus (isso é, ele não foi executado antes do antivírus tê-lo detectado) você não foi infectado. Você pode verificar a infecção no Windows 2000/XP apertando CTRL+SHIFT+ESC, clicando na aba “Processos” e verificando se existe um arquivo com o nome “msbcs.exe” na lista. Se houver, você está infectado.
CurtirCurtir
wagner
Sim, vários antivírus detectam como um trojan downloader.
Marcelo
O IP está offline.
Outra versão do worm estava usando o servidor Zupload. Enviei uma denúncia de abuso mas ainda não recebi resposta.
CurtirCurtir
recebi varias msgs dessa,mas não me lembro de ter aberto…Tenho o avast,e nele nada consta como infectado!
verifiquei no meu Windows 2000/XP apertando CTRL+SHIFT+ESC, clicando na aba “Processos” e verificando se existe um arquivo com o nome “msbcs.exe” na lista. Não há…quer dizer qnão estou infectado?preciso abaixar o programa?
CurtirCurtir
Olha ..eu cliquei em tudo que é link destes que a maioria tah sabendoq eu são virus e nenhum quer rodar no meu firefox…
Dá pagina não encontrada…erro 404…not found
Request denid …naum possivel rodar a imagem
Foi impossivel para mim , naum sei se jah sairam do ar estes sites com o virus ou meu firefox tem alguma extensão especialq ue nem sei!!!!
CurtirCurtir
Excelente artigo ! Já espalhei para todos os meus amigos !
Obrigado
CurtirCurtir
Não informe pelo orkut, Msn, e-mail n° de telefones particulares ou de amigos. É uma arma poderosa para sequestro.
CurtirCurtir
Obrigado pela ajuda. Acho que fui uma vítima. Fui é uma palavra correta, pois vocês colaboraram para qque tudo ocorrece bem.
Valeu
CurtirCurtir
Bom, cliquei no link, mas abriu uma janela perguntando se eu queria baixar um arquivo. Percebi que era mazela e cancelei. Até agora, o PC tá normal. Tem como saber se fui infectado???
Apertei CTRL+SHIFT+ESC, e não tem “msbcs.exe” rodando. Tou salvo???
Vou passar a vacina, por via das dúvidas, mas antes queria saber se fui infectado, até pela questão das senhas
Grato
CurtirCurtir
O programa aqui oferecido não consegue detectar o virus, pq a extensão é diferente, não é cmd e sim .pf
O virus fica localizado na pasta c:windows/prefetch, dêem uma olhada por lá. Vlw
CurtirCurtir