Está circulando pelo Orkut uma praga que é capaz de enviar scraps (recados) automaticamente para todos os contatos da vítima na rede social, além de roubar senhas e contas bancárias de um micro infectado através da captura de teclas e cliques.
Apesar de que aqueles que receberem o recado precisam clicar em um link para se infectar, a relação de confiança existente entre os amigos aumenta muito a possibilidade de o usuário clicar sem desconfiar de que o link leva para um worm. A mensagem enviada é a seguinte:
Dá uma olhada nas fotos da nossa festa, ficaram ótimas. [link malicioso]
Ao clicar no link, um arquivo bem pequeno é baixado para o computador do usuário. Ele se encarrega de baixar e instalar o restante das partes da praga, que enviará a mensagem para todos os contatos do Orkut.
Além de simplesmente se espalhar usando a rede do Orkut, o vírus também rouba senhas de banco, em outras palavras, é um clássico Banker. Bankers são muito comuns no Brasil e chegaram em segundo lugar no top10 das pragas mais ativas em abril, de acordo com o que a Linha Defensiva observou no fórum.
É raro que um Banker inclua rotinas para se espalhar para outros sistemas, mas isso está ficando cada vez mais comum com as pragas que enviam mensagens pelo MSN e agora com este worm que envia automaticamente os recados para o Orkut.
Ferramenta de Remoção
Devido ao grande número de casos que foram avisados à Linha Defensiva, estamos disponibilizando uma ferramenta de remoção capaz de remover a praga do sistema. A ferramenta pode ser baixada através do seguinte link:
http://linhadefensiva.uol.com.br/dl/orkut-fotos-festa
Basta executar a ferramenta, confirmar sua execução pressionando qualquer tecla e esperar a mensagem dizendo que tudo ocorreu bem. Depois de terminar de executar a ferramenta, a pasta C:LinhaDefensiva pode ser removida para terminar a limpeza do micro.
Para evitar infecções como essa, é recomendável que você jamais clique em um link enviado por qualquer meio, incluindo Orkut, MSN e e-mail, sem antes confirmar com o remetente que o mesmo enviou o link.
Assim como perfis no Orkut podem ser comprometidos, mensagens no MSN podem ser enviadas por vírus e, no caso de e-mail, o campo “De” das mensagens pode ser facilmente falsificado. É importante que você fique sempre alerta e desconfie para evitar infectar o seu computador.
Perguntas Freqüentes
Devido ao grande número de comentários, estamos publicando uma lista de perguntas freqüentes.
- Como faço para saber se estou infectado?
-
No Windows XP ou 2000, aperte CTRL+SHIFT+ESC, vá na aba “Processos” e verifique se estão na lista um desses:
- msbcs.exe
- cmrss.exe (não confunda com verdadeiro “csrss.exe”)
- system32.exe (não confunda com o “System”)
- lsass32.exe (não confunda com o verdadeiro “lsass.exe”)
A ferramenta remove esses quatro arquivos. Se eles persistirem depois de você usar a ferramenta, veja o nosso fórum.
Usuários de Windows 98, 95 ou ME precisam do Process Explorer para verificar a presença desses processos.
Nota: Somente os dois primeiros arquivos são dessa infecção. Os outros dois são de outras variantes comuns de cavalos-de-tróia que roubam senhas de banco.
- Depois de usar a ferramenta, posso usar meu banco com tranqüilidade?
-
É precisso lembrar que existem dezenas de outras pragas como essa que roubam as senhas de banco. A maioria delas não possui nenhum efeito visível, portanto não é possível percebê-las. Após se livrar dessa praga, é importante passar o seu antivírus no PC e trocar as suas senhas.
Se você não clicou em nenhum link duvidoso, seu PC está limpo, mas a ferramenta não poderá determinar isso.
- Eu abri o link, vi que era um executável e cancelei. Estou infectado?
-
Não, mas é recomendável que você use o método descrito na primeira pergunta para confirmar..
- O vírus funciona em um Mac? E Linux?
-
O vírus é um arquivo de Windows PE (Portable Executable) e não deve funcionar em um Mac ou Linux, sem o uso de um emulador ou máquina virtual.
- Não cliquei em nenhum link, mas ainda enviam recados como se fosse eu.
-
Se sua senha do Orkut for fácil de ser descoberta é possível que ainda sejam enviados recados maliciosos para seus amigos. Além disso, diversas variantes dos Bankers também roubam senhas de Orkut para que os criminosos enviem os recados de forma manual, através de ferramentas de envio de scraps em massa. Em outras palavras, você pode estar infectado com outra praga, que não essa.
Linha Defensiva 
Eu recebi esse trojan no meu scrap há mais de 1 semana. Eu percebi que era um malware e deletei, mas o interessante é que ele veio para min como um arquivo “.com” Ari ele num editor hexdecimal e vi que na verdade era um PE. Renomei ele para “.exe” e ele apareceu um ícone de uma foto, e apartir dai tive certeza q era um malware, resolvi não abrir e deletei-o. Mas se eu tentasse roda-lo com a extenção .com mesmo ele iria funcionar? Não cheguei a verificar se o stub do dos no começo do arquivo foi modificado, mas eu vi a menssagem do tipo “This program cannot run in MS-DOS”.
CurtirCurtir
Não é à toa que eu sempre entro no Linha Defensiva… sempre tem uma dica legal, uma ajuda excelente.
Valeu!!!!
CurtirCurtir
Le & marcelo
Isso, se o msbcs.exe não estiver presente, não há infecção.
Maria
Os arquivos PF da pasta Prefetch não são vírus. Os arquivos PF da pasta prefetch são pequenas informações que permitem que o Windows inicie programas mais rapidamente. Os vírus também são programas e portanto também ganham seu arquivo na pasta Prefetch (criados pelo próprio Windows).
Eles não fazem parte da infecção, no entanto, e nem vão aparecer em qualquer sistema mais antigo que o Windows XP.
Rea
A extensão do arquivo pode ser cmd, bat, exe, com, scr ou pif. Tendo os dois primeiros bytes em “MZ” farão com que o Windows o execute como um programa PE, indiferentemente da extensão (desde que ela seja uma dessas).
CurtirCurtir
E se o clique for dado atraves de um Mac ?
CurtirCurtir
O link no qual cliquei o final era novidades.exe.. Depois de um tempo, ele abria uma pagina do explorer so que dava pagina nao encontrada, e toda vez que fechava a pagina, ela abria de novo dando essa mesma mensagem…. Apertei CTRL+SHIFT+ESC, clicando na aba “Processos” e la tava o arquivo, novidades.exe, deletei ele e tambem deletei onde estava escondido, alguma pasta de temporarios e parou de abrir o explorer… Na aba processos nao encontra o msbcs.exe… To livre para entrar nos sites de bancos?
CurtirCurtir
Eu fui infectada, fiz o que vcs indicaram e depois fui ver se estava presente fazendo CTRL+SHIFT+ESC e estava lá. Mesmo já tendo executado o que vcs indicaram ele ainda continua lá qdo entra faz ctrl+shift + esc?
Estou preocupada.
CurtirCurtir
Abri o tal virus em um mac intel e gostaria de saber se o virus corre nesse computador, porque mesmo achando que não a mensagem do virus tem se propagado pela minha lista de amigos em meu nome … Tentei passar o anti-virus e não consegui … Já enviei um mail para a ajuda do orkut mas até o momento eles não me responderam, assim agradeço a possibiliade que vcs estão proporcionando de discutir o problema, inclusive trazendo um anti-virus para o tal problema. Obrigado, Rodrigo.
CurtirCurtir
Eu cheguei a clicar no link mas o windows jogou um alerta pedindo confirmação se eu realmente queria abrir o arquivo e eu cancelei. Eu fui infectado?
CurtirCurtir
Gostaria de saber se este banker atinge as máquinas com o sistema Linux instalado.
CurtirCurtir
Virou uma praga no orkut e ainda usando o perfil de pessoas conhecidas. Eu também recebi, porém não conhecia a pessoa. Obrigada pela ajuda!
CurtirCurtir
Não Entrei em nenhum link , mas uma amiga recebeu uma mensagem vinda do meu orkut com este Banker .. Será que estou infectada ?
CurtirCurtir
Hola, Altieres,
Eu recebi esse mail dia 16.05, diretamente na minha caixa postal, nao foi pelo Orkut.
Como eu não sabia da existência desses worms, cliquei na boa fé.
Quem não conhece uma Aninha na vida?
Por sorte, foi no computador do trabalho, um Mac, que detecta rápido e dá erro de página.
Muito obrigada pela ajuda e trabalho de vocês.
Renata
PS: Abaixo, mando o texto que chegou no meu email, para que outras pessoas saibam que existem outros worms por aí…
” De:
Enviado: terça-feira, 16 de maio de 2006 13:03:00
Para: renatalucena1@hotmail.com
Cc: aninha@dominio.com.br
Assunto: ve ai essa foto ve se voce lembra e da epoca do colegial
| | | Caixa de Entrada
Agora que eu consegui seu email, sempre mandarei notícias! Espero que não percamos o contato…
Bom, eu consegui a foto da turma reunida da época do colegial! Impressionante como o tempo passou! eehehe
Quando vi a foto me impressionei… Você precisa ver! Não me recordo daquele lugar.. Se você lembrar me avise!
Pelo que vi, você está no meio encostado na árvore… Vê se você recorda de alguém.. Espero que sim.. Estou lá no canto!
Passei a foto para o computador para poder estar passando para o pessoal.. Para ver ela, só clicar no link que eu salvei, junto tem mais algumas fotos:
http://fotoquesalvei/colegiovoce/saudades
Estou com mais fotos da época aqui comigo.. Se quiser dar uma olhada, só pedir.. Assim que eu tiver um tempo,
passarei elas para o computador e também enviarei..
ah! Me liga porque eu perdi seu telefone . Dê um sinal de vida pelo menos…
Vou ficando por aqui… Depois a gente ‘conversa’ mais!
Abraços, Aninha.”
CurtirCurtir
Eu acho q esse orkut ja deu muitos problemas…..O Google teria q tirarele fora de ar,pois antes era um meio de lazer,entreterimento,vc achava amigos distantes….MAis agora isso ta um perigo…Muita pornografia,pedofilia….Não podemos esquecer que temos crianças que entram no site!!!Ou fazer uma bela limpa….proibindo a digitação de palavras pornogaficas e proibir de mandar links para você clicar….Seria muito bom……
CurtirCurtir
Eu cliquei, como a página das tais fotos demorou para abrir eu fechei. Será que mesmo assim o vírus se “hospedou” ???
CurtirCurtir
já verifiquei se existe algum msbcs.exe nos processos e não tem, só não tenho certeza se estou livre e desta praga porque o link que recebi no orkut era dirferente, dizia que tinham visto meu perfil numa comunidade de encontros e eu “besta” cliquei no link mas deu erro, mesmo assim tenho receio de meu micro estar infectado com outra praga. Voces tem alguma noticia sobre esse outro link? .
CurtirCurtir
valeu galera do linha defensiva meu pc nao foi unfectado pois aqui tem muito antivirus que sao “violentos” mas valeu da informacao pois eu enviei pra todos os meus amigos do orkut! visto que tenho recebido muitos desses scraps com virus.
CurtirCurtir
Ut’z o duro é vc divulgar infos sobre esse tipo de situação a anos na empresa onde trabalha como administrador de redes e os usuários ainda terem a cara de pau de clicar em qualquer coisa sem pensar 2X. Essa atitude é praticamente conivente com os desenvolvedores de vírus, deveria ser analisada com mais rigidez, pois o princípio da hiposuficiência não se aplica nese caso.
[]’s
JayJay
CurtirCurtir
Uso o Mozilla e no mesmo instante que cliquei no link, pois se tratava de uma grande amiga, o navegador acusou que a página não era segura e nada foi aberto.
Será que rolou algo?
Abraços
CurtirCurtir
Pessoal, a ferramente é realmente uma mão na roda, porém o ideal é aprenderem a se precaver, afinal a maior arma de um hacker mal intencionado (sim, não é pleonasmo, nem todo hacker é mal intencionado, mas não vem ao caso agora), é a inocência da vitima.
Quando existe algo muito vago na frase, como esta da foto por exemplo, já desconfie. Links, hoje em dia são pregidosissimos para se clicar. Olhem na barra de status, para onde o link aponta, se for um arquivo de formato auto-executavel, seja cauteloso. Tenham um bom antivirus e um bom firewall onde vc possa filtrar determinados dados sigilosos que, toda vez que tentarem trafegar pela internet você seja alertado.
Desative os links, você terá que copiar e colar os endereços, torna-se cansativo, mas vc não clicará em nada por acidente e terá ciência do que está fazendo.
Sejam cuidados.
CurtirCurtir
Eu quase fui infectado por esse virus, ainda bem que eu não cliquei hehehe mas tbm otro perigo eh colocaru e-mail pra escrever a mensagem aqui…qualquer hacker pode ver seu e-mail e fazer o que ele quiser…
CurtirCurtir
Dúvida, cliquei no link mas não fui infectado. Utilizo um ant-spyware e o norton, porém nenhum deles sinalizaram nada quando cliquei no link (por duas vezes). Apenas por curiosidade, sabem o que pode ter havido?
Tks
CurtirCurtir
Recebi esses dias um e-mail..Assunto: “Agora posso dizer que te amo” por lu19@hotmail.com
Conteúdo..vários dizeres mais no final: Clique aqui e veja quem eu sou e o cartão que fiz pra você…Acabei abrindo e tenho certeza que estou com vírus. O pior é que ontem fui fazer um pagamento pela internet….Banco Itáu…e apareceu uma tela muito estranha e solicitava o dia do meu aniversário.Liguei para o Itáú e me informaram que não mudaram os processos e que meu computador estava com vírus.Apertei CTRL+SHIFT+ESC, e não tem “msbcs.exe” rodando, mas tem um msimn.exe. É virus também?
GRata
CurtirCurtir
Claro que ninguém está livre de um vírus, mas muito me surpreende a ingenuidade das pessoas em se deixarem infectar de uma forma tão boba.
Ou eu sou muito paranóica (porque não clico em links a torto e a direito, não abro anexos em emails, etc), ou as pessoas ainda são muito ingênuas.
Ainda bem que para cada 100 pessoas difundindo vírus, sempre tem pelo menos 1, tentando ajudar.
CurtirCurtir
seguir as recomendações para a retirada do viírus
mas não sei se isso realmente funcionou
após abrir um dakeles recados
meu computador canhou cinco vírus de uma vez só
baixei essa linha defensiva e o resutlado q obtive foi operação realizada com exito
porém
ao passar o antivirus no meu pc
dois vírus ainda continuaram atuando nele…
será q esses outros vírus sãode outras coisas…ou são ainda do orkut?
o perfil de um dops vírus é :
Scan type: Manual Scan
Event: Virus Found!
Virus name: Infostealer.Bancos
File: C:WINDOWSsystem32imgtd.exe
Location: C:WINDOWSsystem32
Computer: USER-ZTW3UJ72NU
User: user
Action taken: Clean failed : Quarantine failed :
Date found: Tue May 23 09:27:53 2006
CurtirCurtir
Nossa estou escandalizada, como ha pessoas desoculpadas q tenta destruir a harmonia e a tranquilidade das pessoas.
Eu recebi varias vezes esses link.
E todas eu deletei.
Fico agradecida por alertarem outros colegas!
CurtirCurtir
Bah, simplesmente obrigado em nome de muuuitos usuários.
CurtirCurtir
Use o Firefox, isso não vai te afetar. Essa praga procura uma falho no Internet Explorer.
para baixar o firefox acesse http://www.mozilla.org.br/
CurtirCurtir
Só não entendi como adquiri esse virus se se quer recebi o link ou cliquei nele…
apareceu do nada
CurtirCurtir
Valeu ! meu pc tava com esse virus e removi facilmente com essa ferramenta…..obrigado uol, trabalhos gratis assim so valoriazam o site de voces…abraços
CurtirCurtir
Essa matéria e a Ferramenta de Remoção são simplismente MARAVILHOSAS….
Vcs arrasaram!!!!!!! PARABÉNS!!!!!!!
e obrigada pela ajuda…….
CurtirCurtir
Parabéns à equipe “Linha Defensiva” pelo artigo e pela ferramenta de remoção.
.
.
.
Fiz questão de postar o link para o artigo, no perfil da comunidade “Nunca fiz amigos bebendo leite”.
http://www.orkut.com/Community.aspx?cmm=1349501
Um abraço.
CurtirCurtir
Tinha acabado de participar de uma festa familiar, foi fatal.
Obrigado.
CurtirCurtir
So não entendi por que na hora de baixar o programa para fazer a limpeza, o windows avisa que nao é um site confiavel, e na hora de executar a assinatura digital não é reconhecida… ando meio cabreira…
CurtirCurtir
Não conhecia esse serviço do Uol muito obrigado por exterminar esse mal do meu pc kkkk,
ele pode voltar???
CurtirCurtir
A coisa já está ficando mais cara-de-pau:
“Dá uma olhada nas fotos da nossa festa, ficaram ótimas. http://200.96.251.212/festa/fotos.exe”
Um .EXE típico.
Mas também, NO mínimo, ao abrir o link o browser perguntava “Executar (ou Abrir) ou Salvar” e todos foram no Executar/Abrir. Questão de bom senso, gente. Se fossem fotos mesmo, porque diabos baixar um .exe para vê-las?
E pelo visto isso afeta mais diretamente quem usa Internet Explorer. Para quem usa o Firefox, ele nem habilita a opção de abrir/executar, se o download for de um executável. Precisa salvar no disco e só depois rodá-lo. Claro que se você não baixou já sabendo do que se trata (um setup de algum programa que você pegou no Superdownloads.com.br, por exemplo), é de bom senso recusar e nem baixar.
CurtirCurtir
ontem, vivi a experiência de caça a esse vírus. venho pessoalmente, deixar registrado que, não fosse pela ajuda do pessoal do Linha Defensiva, ainda estaria às voltas com a coisa. Obrigada em especial ao Altieres, que pacientemente, me instruiu e esclareceu minhas dúvidas. quanto aos amigos de orkut, estão avisados e já fazem uso da ferramenta de remoção. :-) Valeu, Altieres!
CurtirCurtir
O pior é que barrar este tipo de coisa em um fórum é bem simples.
Não dá pra entender como o pessoal de manutenção do orkut é tão irresponsável neste sentido!
CurtirCurtir
Gostei da ferramenta ótima
Já estou avisando meus amigos tbm
CurtirCurtir
Não caí nesse das fotos porque infelizmente já havia clicado em um link parecido, antes de saber que os orkuts dos meus amigos poderiam ser falsificados.
Queria saber do pessoal da Linha Defensiva se eles poderiam me ajudar com outro desses vírus. Recebi de um amigo um link prum cartão, não lembro direito a extensão do arquivo, mas acho que era assim ProtecaoTela.scr. Infelizmente confiei e abriu um cartão dum macaquinho. Logo depois meu anti-vírus pegou dois vírus. Pensei que estava livre mas agora, quando ligo meu computador e abro meu navegador pela primeira vez, aparece uma tela do orkut meio tosca (como se tivessem “escaneado” a tela e colocado no lugar da original), então eu fecho essa, abro o navegador de novo e aí a tela vem bem configurada. Não sei se o vírus precisa que eu insira meus dados na tela falsa pra usar meu profile, mas o meu maior medo é que esteja funcionando como spy e tenha pego minha senha do banco, pois já usei depois desse fato.
Vocês podem me ajudar?
CurtirCurtir
Recebi vários scraps desses falando das fotos da tal festa mas já estava ciente do problema e não os abri. Anteriormente havia recebido um scrap de um perfil igual ao meu dizendo que havia encontrado fotos minha de infância na rede, e eu, sem saber das consequências, acessei a página não continha nada, apenas uma mensagem de erro.
Será que meu computador foi infectado?
CurtirCurtir
oi pessoal so queria fazer uma pergunta quanto o pc contrair o virus aparece alguma barra de ferramenta estrannha na tela do pc quanto a gente se conecta da net?
CurtirCurtir
Estão de parabens vcs da linha defensiva,se todas as pessoas usassem as suas inteligencias pra o bem…continuem nos ajudando a se sair dessas pragas.Obrigado!
CurtirCurtir
eu queria saber mais sobre isso, por favor me expliquem melhor pq eu cliquei nele acho que umas 3 vezes e agora eu baixei este acima que falava que tiraria a praga do eu micro, fiz o correto por favor me ajudem o micro é do meu serviço se acontecer algo to ferrada, valew
CurtirCurtir
Muito bem elaborada essa reportagem pessoal… mas eu tenho uma duvida,alguns dias atras eu recebi uma mensagem dessas no msn… abri sem nem prestar atençao no endereço…perguntas: seria o mesmo worm? o programa de remoçao da Linha de Defesa elimina ele também?
Valeu pessoal.
CurtirCurtir
Já fui salva por esse site quando “peguei” o vírus do sapo motoqueiro. E agora não tinha certeza se peguei o vírus das fotos, porque cheguei a clicar e cancelei a instalação, por suspeitar.
Então, saí lendo as dúvidas e verifiquei se tinha msbcs.exe e pude ver que meu pc não está infectado.
Muito obrigada pela ajuda!
CurtirCurtir
Marcio
Você está com outra variante do trojan. É preciso verificar o micro com um antivírus e ficar de olho no firewall para conexões estranhas.
Mirian
Veja o seguinte:
http://linhadefensiva.uol.com.br/remocao-de-virus/
Renata
Essa é uma clássica fraude. Veja mais na lista de fraudes.
Laura
Existem vários outros links circulando no Orkut. Procuramos sempre os mais comuns para alertar e criar as ferramentas. Veja o link Remoção de Vírus para conseguir instruções para remover outras pragas.
Raphael Clayverson
O antivírus não tem como detectar a praga até que pelo menos parte dela esteja no seu micro.
Marlon
A ferramenta não remove essa variante da praga.
Jose Silva
Não observamos o uso de nenhuma falha do Internet Explorer.
Carla
Para outros vírus, veja o linkRemoção de Vírus.
Jany
Assinaturas digitais não são garantia de segurança. A única garantia de uma assinatura digital é que um arquivo pertence ao desenvolvedor que ele diz pertencer.
Existem diversos spywares e adwares com assinaturas digitais.
CurtirCurtir
Guilherme
Seu endereço de e-mail não é publicado. Usamos ele apenas para verificar a autenticidade de um comentário. Comentários ofensivos geralmente utiilizam endereços de e-mails falsos, que rejeitamos.
CurtirCurtir
Acho que os grandes vilões dessa história de vírus no orkut são esses sites de mensagens automáticas!!!
O que vcs acham???
CurtirCurtir
Parabéns pela matéria, que foi excelente.
Tava ficando desesperado.
Obrigado pela ajuda!
CurtirCurtir
Gente, parabéns e muuuuuuuuuitíssimo obrigada pelo site de vcs!!! Nunca vi ninguém explicar minuciosamente os vírus e como eliminá-los tão bem qto vcs!!! Parabéns pela equipe! Sucesso!!!
CurtirCurtir