Estive na casa de um amigo vendo seu micro, que estava sem acesso à Internet. Uma das causas do problema era o software New.net, que permite ao computador acessar domínios especiais como “.loja”, “.gratis”, “.amor”, “.mp3”, entre outros, que somente a própria empresa New.net vende.

A maioria das companhias de anti-spyware e antivírus consideram o New.net um programa potencialmente indesejado, pois ele é instalado junto a programas “gratuitos”, que por sua vez também instalam outros programas indesejados, inclusive adwares. Além disso, o New.net também é instalado sem o consentimento do usuário em alguns casos.

Não bastasse isso, para permitir que o computador acesse esses domínios “especiais” (que são tecnicamente inválidos), o New.net modifica as configurações das LSPs do Windows, o que geralmente causa problemas na conexão com a Internet, como ocorreu no caso deste amigo.

Comprar domínios New.net (como os citados acima) não vale a pena porque seu preço é muito alto (US$ 25) e somente os usuários que possuem o software New.net instalado no computador são capazes de acessá-los. Domínios normais (como o “.com”, “.net” e “.com.br”) podem ser obtidos por preços menores e acessados por todas as pessoas conectadas à Internet, sem a necessidade de um software ou configuração adicional.

Mesmo com tudo isso, o New.net geralmente não causa maiores incômodos quando você o tem instalado… a não ser o “pequeno” problema da conexão com a Internet. A boa notícia é que o New.net tem uma entrada funcional no Adicionar/Remover Programas do Windows e, na maioria das vezes, o programa de desinstalação funciona perfeitamente, restaurando a conexão com a Internet completamente.

Conflito com o antivírus

O problema todo começou quando tentei desinstalar o programa do computador de meu amigo — o antivírus detectou o desinstalador como um Cavalo de Tróia e, em seguida, o removeu do disco. O Windows mostrou uma mensagem dizendo que o programa não poderia ser desinstalado, o que era verdade: o antivírus havia acabado de remover o desinstalador. Felizmente, o New.net cria duas cópias do programa de desinstalação — foi possível executar a segunda cópia sem problemas, após desativar o antivírus. O programa foi completamente removido do computador, e a conexão com a Internet, restaurada (após a troca do cabo da rede, que também estava com defeito).

O interessante é como o antivírus permitiu que o New.net fosse instalado, mas insistiu em não permitir sua desinstalação.

Fiz então um teste: enviei os programas de desinstalação e instalação do new.net para o VirusTotal e comparei os resultados. Das 27 engines usadas pelo VirusTotal, 17 detectam o programa de desinstalação do new.net como um trojan, entretanto, apenas um antivírus detectou o programa de instalação do New.net como um problema.

Um dos motivos dessa diferença pode ter sido o uso do programa de instalação oficial do New.net, obtido através do site da empresa. A lógica das companhias antivírus pode ser: “Se o usuário está baixando esse programa, ele realmente quer o New.net no micro e assim o programa deixa de ser indesejado”. Entretanto, o componente DLL do New.net (que é o programa em si) também foi detectado como malware por 17 engines, o que significa que o usuário verá um cavalo de Tróia na máquina após instalar o New.net, seja através de um programa patrocinado pelo software ou diretamente pelo site oficial.

Existem também casos onde o antivírus apaga a DLL do New.net, o que não pode ser feito. Se o New.net não for desinstalado pelo Painel de Controle, o computador simplesmente ficará sem conexão com a Internet. Nesses casos, o antivírus é o culpado pelo problema da conexão e também pela dificuldade para consertá-lo, já que ele apaga o programa de desinstalação.

É difícil saber se isso tudo é intencional ou um erro dos programas de segurança. Quando avisei uma companhia de antivírus sobre o problema, imediatamente o instalador foi adicionado na base de dados — o programa de desinstalação, no entanto, passará por uma reavaliação e talvez será removido. Se você já teve problemas parecidos com seu antivírus, é sempre bom entrar em contato com o suporte técnico ou diretamente com o time de pesquisa antivírus e dar a sua opinião, pois muitas vezes casos como esse precisam de uma análise mais completa. Você estará colaborando com todos os demais usuários do seu antivírus.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

2 comentários

  1. CGJunior 22/07/2006 às 16:10

    Incrivel coincidência. Meu irmão instalou um programa (WinMX MP3) que icluiu o New.Net (ou NewDotNet, NdotNet) na sua maquina. Ia remover pela sua própria ferramenta de desinstalação mais ao ler o TXT que listava 4 passos e não garantia que seria removido, percebi que era coisa de alguma empresa safada(http://www.newdotnet.com)!!!.

    Achei rapidamente no site da Symantec (http://www.symantec.com/security_response/writeup.jsp?docid=2004-020511-0558-99&tabid=3) instruções e uma ferramenta de remoção. O Problema é que depois da remoção voce tem que reconstruir as LSP´s com uma ferramenta chamada WinXP Fix (http://superdownloads.uol.com.br/download/i34495.html)

    Não posso te relatar nada sobre o antivirus pois não usamos.

    Abraços,

    Curtir

  2. Altieres Rohr 22/07/2006 às 16:17

    CGJunior

    O desinstalador funciona, na verdade. Pode usar. É o que usamos no fórum pra remover, e só em algumas raras ocasiões ele emperra. Aí usamos o Winsock Fix, que remove ele de vez.

    O motivo por não usar o WinsockFix de primeira é que ele também remove firewalls, antivírus e outros componentes que se instalam nas LSPs, o que significa que esses softwares podem precisar de uma reinstalação.

    Curtir

Os comentários estão encerrados.