Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Gerais
Terça - 14 de Fevereiro de 2006 às 07:44
Por: escritor

    Imprimir


Foi encontrado um novo worm que se espalha pela rede do comunicador instantâneo da Microsoft. Semelhante ao worm Olha Minha Foto, que se espalhou pelo MSN em dezembro de 2005, a mensagem enviada pelo novo worm sugere que o usuário tenha encontrado uma foto sua na Internet.

A mensagem enviada pelo worm é a seguinte:

Acho q ví uma foto sua na net e vc mesmo olha ai >>> http://www11.rapidupload.com/file.php?filepath=[removido]

Como o arquivo malicioso foi enviado ao servidor “RapidUpload”, não é possível saber que o link leva a um executável (EXE).

Ao clicar no link, o download do arquivo “suafoto.exe” é iniciado. Ao ser executado, o cavalo-de-tróia faz o download de outro código malicioso, que é salvo como ‘configipchain.exe’. Esse, por sua vez, cria o arquivo SVCH0ST.EXE (com um zero ao invés de um ‘o’), que é iniciado junto com o Windows.

O arquivo SVCH0ST.EXE também é copiado para a pasta “Inicializar” do menu Iniciar.

A praga, além de se espalhar via MSN, também monitora a atividade no Internet Explorer, possivelmente para roubar senhas em serviços home banking.

Remoção do worm
Para remover o worm é necessário apagar os arquivos criados e as entradas no registro. A ferramenta, até o momento, foi apenas testada em um computador de teste.

Ferramenta de remoção. IMPORTANTE: Link externo. A ferramenta não foi testada pela TS, pois o administrador é usuário de Linux. Não nos responsabilizamos pelo seu uso.

A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.

Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C: ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.

Perguntas & Respostas
Como sei que estou infectado? Como sei se a ferramenta funcionou?
Basta verificar a presença do SVCH0ST.EXE no “Inicializar” ou “Iniciar” no Menu Iniciar, como mostra a figura acima.

É importante que você não confunda com o svchost.exe, que fica na pasta system32, tem nome em letras minúsculas e possui um “o” no lugar do zero. Esse é um arquivo legítimo do Windows que não deve ser removido.

Por que preciso do Modo de Segurança? O que fazer lá?
O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar os arquivos sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).

Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele sera reiniciado em Modo Normal.

A ferramenta de remoção diz que ocorreu um erro ou o arquivo SVCH0ST.EXE continua no menu iniciar
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. Após isso, apague os arquivos seguintes arquivos:

C:WINDOWSconfigipchain.exe
C:WINDOWSsystem32SVCH0ST.EXE — Importante: Não confunda com o svchost.exe!
O SVCH0ST.EXE no “Inicializar” ou “Iniciar” do Menu Iniciar
A ferramenta não vai conseguir apagar o “SVCH0ST.EXE” do menu Iniciar em versões do Windows que não sejam em Português, portanto é necessário que você o remova manualmente.


Fonte:www.linhadefensiva.org




Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/1140/visualizar/