Autor |
Mensagem |
Admin Moderador |
# fev/06
citar
Veja como remover o tal worm:
http://linhadefensiva.uol.com.br/2006/02/msn-sua-foto/
|
pagode nem morto Veterano |
# fev/06
citar
· votar
Obrigado por avisar! Por isso que quando eu formatei o HD voltou tudo ao normal...
|
pagode nem morto Veterano |
# fev/06
citar
· votar
Poxa, mas eu não me lembro de ter recebido esse worm. Deve ter sido meu irmão então...
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Admin
Não tem outro link ai mano?
a palavra msn ta bloqueada aqui =(
|
maggie Veterana |
# fev/06
citar
· votar
O TEXTO
Foi encontrado um novo worm que se espalha pela rede do comunicador instantâneo da Microsoft. Semelhante ao worm Olha Minha Foto, que se espalhou pelo MSN em dezembro de 2005, a mensagem enviada pelo novo worm sugere que o usuário tenha encontrado uma foto sua na Internet.
A mensagem enviada pelo worm é a seguinte:
Acho q ví uma foto sua na net e vc mesmo olha ai >>> http://www11.rapidupload.com/file.php?filepath=[removido]
Como o arquivo malicioso foi enviado ao servidor “RapidUpload”, não é possível saber que o link leva a um executável (EXE).
Ao clicar no link, o download do arquivo “suafoto.exe” é iniciado. Ao ser executado, o cavalo-de-tróia faz o download de outro código malicioso, que é salvo como ‘configipchain.exe’. Esse, por sua vez, cria o arquivo SVCH0ST.EXE (com um zero ao invés de um ‘o’), que é iniciado junto com o Windows.
O arquivo SVCH0ST.EXE também é copiado para a pasta “Inicializar” do menu Iniciar.
Screenshot: SVCH0ST.EXE no menu iniciar
A praga, além de se espalhar via MSN, também monitora a atividade no Internet Explorer, possivelmente para roubar senhas em serviços home banking.
Remoção do worm
Para remover o worm é necessário apagar os arquivos criados e as entradas no registro. A ferramenta, até o momento, foi apenas testada em um computador de teste.
http://linhadefensiva.uol.com.br/files/bat/msn-suafoto.bat
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C:\ ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
Perguntas & Respostas
Como sei que estou infectado? Como sei se a ferramenta funcionou?
Basta verificar a presença do SVCH0ST.EXE no “Inicializar” ou “Iniciar” no Menu Iniciar, como mostra a figura acima.
É importante que você não confunda com o svchost.exe, que fica na pasta system32, tem nome em letras minúsculas e possui um “o” no lugar do zero. Esse é um arquivo legítimo do Windows que não deve ser removido.
Por que preciso do Modo de Segurança? O que fazer lá?
O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar os arquivos sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).
Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.
A ferramenta de remoção diz que ocorreu um erro ou o arquivo SVCH0ST.EXE continua no menu iniciar
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. Após isso, apague os arquivos seguintes arquivos:
* C:\WINDOWS\configipchain.exe
* C:\WINDOWS\system32\SVCH0ST.EXE — Importante: Não confunda com o svchost.exe!
* O SVCH0ST.EXE no “Inicializar” ou “Iniciar” do Menu Iniciar
A ferramenta não vai conseguir apagar o “SVCH0ST.EXE” do menu Iniciar em versões do Windows que não sejam em Português, portanto é necessário que você o remova manualmente.
Tenho outros vírus/ainda não consegui me livrar da praga
A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
aqui não funcionou...
|
maggie Veterana |
# fev/06 · Editado por: Moderador
citar
· votar
O LINK
http://linhadefensiva.uol.com.br/files/bat/msn-suafoto.bat
http://rapidshare.de/files/13727586/msn-suafoto.bat.html
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows
|
maggie Veterana |
# fev/06
citar
· votar
AdAware
http://www.lavasoftusa.com/software/adaware/
Firefox :)
http://www.mozilla.com/firefox/
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Agora funcionou aqui... seguinte... peguei o worm com o Ad-Aware Personal.
|
Admin Moderador |
# fev/06
citar
· votar
Ed_Vedder
realmente resolveu o problema?
|
maggie Veterana |
# fev/06
citar
· votar
Ed_Vedder
Agora funcionou aqui... seguinte... peguei o worm com o Ad-Aware Personal.
é nóis
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Admin
então man... num primeiro momento resolveu... ai tive que fechar a janela e pimba... tive que logar novamente... agora parece que normalizou =)
|
Admin Moderador |
# fev/06
citar
· votar
Ed_Vedder
parece que normalizou =)
Normalizou como? Bichado ou consertado? Resolveu ou não resolveu o problema?
|
maggie Veterana |
# fev/06
citar
· votar
Ed_Vedder
faça o
Full Scan
e apague o que tiver lá
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Admin
Normalizou consertado =)
maggie
Yes Sir, ja tinha feito =)
|
Admin Moderador |
# fev/06
citar
· votar
çó. =)
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Admin
muita brecha esse Xp... eu recebo o e-mail da empresa alem do meu pessoal (empresa@dominio.com.br) esse e-mail sua foto caiu no da empresa... deletei na hora, nem abri o corpo da mensagem, e mesmo assim ele instalou o trojan...
|
Admin Moderador |
# fev/06
citar
· votar
Ed_Vedder
nem abri o corpo da mensagem, e mesmo assim ele instalou o trojan...
Se vc usa XP com service pack 2 instalado eu acredito é que vc vacilou e clicou no link lá.
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Admin
qualé, ta pensando que eu não sou bobo...
|
Admin Moderador |
# fev/06
citar
· votar
uh... tô. hahahaha... =)
|
maggie Veterana |
# fev/06
citar
· votar
eu acho...
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
maggie
eu acho...
vc cale-se =D
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Admin
Então, se fechar a janela... tem que logar novamente =(
|
Admin Moderador |
# fev/06
citar
· votar
Ed_Vedder
fica fuçando nas preferencias do IE... abrindo email pornô... isso que dá.
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Admin
hahaha
qual é... sou um cidadão consciente, não um fanático.
|
Deji Veterano |
# fev/06 · Editado por: Deji
citar
· votar
tem que ser muito amador pra pegar um worm
|
Ed_Vedder Veterano |
# fev/06
citar
· votar
Deji
=(
|
Deji Veterano |
# fev/06
citar
· votar
Ed_Vedder
({)
|
Kirk_Hammett Veterano |
# fev/06
citar
· votar
Que bom que descobriram =)
|
TASIVA Veterano |
# fev/06
citar
· votar
nada a ver
é tudo culpa do ruivo hering
mas eu num descobri nenhum treco desses no pc.....continua..;P
ah deixa pra la mesmo
|