Nós não temos o costume de falar muito sobre vírus de computador, já que existem milhares deles por aí. Só realmente quando existe uma epidemia que esteja atingindo milhões de usuários é que falamos no assunto. Duas semanas atrás ensinamos como remover o vírus MTX, que tornou-se uma praga pública. Neste mês surgiram dois novos vírus que usam o mesmo método de transmissão do MTX: o e-mail. Esses dois novos vírus, o Navidad.exe e o Hybris, estão se alastrando com uma velocidade assustadora e por aqui nós temos recebido pelo menos 10 e-mails infectados por dia com essas "gracinhas".
A semelhança entre os vírus MTX, Navidad.exe e Hybris é que quando o seu micro está infectado, ele envia automaticamente o vírus por e-mail para seus amigos, sem que você perceba. Assim, seus amigos receberão o vírus, pensarão que é algo importante (pois está vindo de alguém conhecido) e ficarão com a máquina infectada também.
Após o micro ter sido infectado pelo Navidad.exe, você não conseguirá mais executar nenhum arquivo Exe. Outra característica é a existência, na barra de tarefas, de um ícone de um olho que, quando clicado, aparece uma caixa com a mensagem "Nunca presionar este boton". Clicando nesta caixa, a mensagem "Lamentablemente cayo en la tentacíon y perdio su computadora
Figura 1
Figura 2
Figura 3
Remover o Navidad.exe de seu micro é relativamente fácil. O ideal é usar um antivírus atualizado, que faz isso para você automaticamente, mas se você quiser fazer manualmente, basta pressionar Control-Alt-Del, remover da memória o vírus (Navidad e WINSVRC). Apague os arquivos Winsvrc.vxd (em C:windowssystem) e Navidad.exe. Edite o registro do Windows (Executando o Regedit.exe) e altere o valor padrão da chave HKEY_CLASSES_ROOTexefileshellopencommand para "%1" %*. Em HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, apague todas as referências ao Navidad e ao Winsvrc existentes. Apague também a chave HKEY_CURRENT_USERSoftwareNavidad. O vírus estará removido.
Nota: Já que o vírus não permite a execução de arquivos EXE em sua máquina, o passo a ser realizado para executar o regedit.exe, é renomeá-lo para regedit.com, após isto basta executar o arquivo regedit.com.
Já o vírus Hybris é uma praga. São arquivos enviados por e-mail geralmente com títulos pornô, como "Branca de Neve Pornô" e arquivos que, a uma primeira vista, parecem ser animações pornô (Xuxa.exe, rape.exe, leather.exe, cum.exe, lesbians.exe, etc). O grande problema desse vírus é que os e-mails enviados através da máquina infectada possuem o cabeçalho alterado, de forma que você não consegue ver quem enviou a mensagem (geralmente o remetente aparece como hahaha@sexyfun.net). Assim, não temos como saber quem está enviando a mensagem, ou seja, que amigo nosso está com o micro infectado.
Em micros infectados, o arquivo Wsock32.dll é alterado, de forma a enviar esses e-mails. A chave HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce é alterada, o valor padrão passa a chamar o vírus (que é acrescentado nessa chave com um nome aleatório, como CCMBOIFM.EXE - você pode apagar tudo o que existir nessa chave do registro sem problemas, já que em micros "limpos" essa chave fica normalmente vazia). Se sua máquina estiver infectada por esse vírus, passe um bom antivírus. E tome o cuidado para não abrir essas mensagens que vêm com attachs aparentemente pornô. |
