Total Security - totalsecurity.com.br
Gerais
Terça - 13 de Dezembro de 2005 às 18:57
Por: escritor

    Imprimir


Depois que o worm brasileiro conhecido como a “Baratinha” se espalhou em setembro, os programadores de vírus nacionais lançaram outros worms do mesmo tipo na rede. O mais novo deles envia mensagens para todos os contatos no MSN com o link para o arquivo malicioso fotoimagem.exe.

A mensagem enviada pelo worm é a seguinte:

Olha minha foto >>>>http://[removido]/fotoimagem.exe

Ao clicar no link o usuário é infectado e começará a enviar a mesma mensagem para todos os contatos em sua lista do MSN, exatamente como era o caso com a Baratinha. Nos testes da Linha Defensiva, a execução do arquivo resultou em um erro fatal, mas alguns componentes ainda foram instalados mesmo assim.

O arquivo fotoimagem.exe possui pouco mais de 30KB de tamanho, o que torna o download do programa rápido até mesmo em uma conexão discada. Ao ser executado, ele fará o download dos outros cavalos-de-tróia, inclusive um possível componente para roubar senhas de banco (de acordo com as companhias antivírus).

Esses componentes serão salvos em uma pasta chamada “service” dentro da pasta de sistema (system32) e uma entrada no registro chamada “services” será criada para executar o worm automaticamente toda vez que o sistema for iniciado.
Ferramenta de Remoção

A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A ferramenta de remoção possui pouco mais de 2KB e é um arquivo de scripting BAT. Ela foi testada em Windows 2000/XP, mas também deve funcionar em Windows 98/ME. O segundo link é a versão ZIP para quem tiver problemas para fazer o download do .bat (alguns sistemas possuem extensões como EXE e BAT bloqueadas):

http://linhadefensiva.uol.com.br/files/bat/msn-olhafoto.bat
http://linhadefensiva.uol.com.br/files/zip/msn-olhafoto.zip

A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec (a href=http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/brdocid/20030227101520924 target=_blank>http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/brdocid/20030227101520924) sobre o assunto.

Essa ferramenta poderá ser atualizada se as novas variantes do worm continuarem simples como essa.


Fonte:Linha Defensiva






Comentários

Deixe seu Comentário

URL Fonte: http://totalsecurity.com.br/noticia/983/visualizar/