Ir ao conteúdo
  • Cadastre-se
Alpha-X

Informações Sobre Alguns Vírus

Recommended Posts

Olá pessoal, recentemente vejo muita gente com problemas de vírus e muitos não sabem reconhecer qual o tipo de vírus que infectou sua maquina. Por curiosidade resolvi fazer uma pesquisa e consegui algumas informações sobre alguns vírus, fiz um resumo e vou postar aqui:

Beagler (Bagler) e-mail RE:

Descrição: Contamina por e-mail, norlamente com o titulo RE: , e um arquivo anexado de várias extensões (.exe, src, bmp, etc). Após você executar o anexo do vírus, contamina o computador e utiliza as contas arquivadas para se "auto-reenviar".

Mais características

- Abre porta tcp 1080

- Tamanho aproximado +-20k

- Desabilita processos que estão relacionados com antivírus, como:

9XHtProtect

Antivírus

EasyAV

FirewallSvr

HtProtect

ICQ Net

ICQNet

Jammer2nd

KasperskyAVEng

MsInfo

My AV

NetDy

Norton Antivirus AV

PandaAVEngine

service

SkynetsRevenge

Special Firewall Service

SysMonXP

Tiny AV

Zone Labs Client Ex

VIRUS SASSER.E / LSASS Infecta somente windows xp/2000/nt (desliga o windows automaticamente)

CARACTERÍSTICAS:

Versão 'E' do vírus sasser (Variante de Sasser.A)

Este vírus explora uma falha no Windows para invadir o computador, e não necessita que o usuário abra seu e-mail para infectá-lo, além disto, desliga o Windows depois de alguns minutos. Esta falha do Windows que possibilita a entrada do vírus está documentada pela Microsoft ( Microsoft Windows vulnerability [MS04-011 vulnerability (CAN-2003-0533).

O sasser é o primeiro vírus que se propaga sem necessidade da interferência do usuário, o vírus se propaga analisando os computadores ligados na Internet e se autoduplica neles, O VIRUS SASSER NÃO SE PROPAGA POR EMAIL, como acontece com a maioria dos vírus, o vírus rastreias faixas de IP de computadores conectados e quando encontra WINDOWS XP ou WINDOWS 2000, ele procura falhas e encontrando, invade-os.

Descrição Avançada:

Infecta usando a porta 1022 e 1023, aproveitando a vulnerabilidade do Windows (Já corrigido pela Microsoft), então executa programas e se autocopia no Windows (normalmente, pasta ou winnt ou Windows), depois de instalado, ele vasculha a rede atual para se propagar pelos computadores dela, investigando os IPs:

127.0.0.1

10.n.n.n

172.16.n.n

172.31.n.n

192.168.n.n

169.254.n.n

Onde n, é um numero que varia de 0 a 255, se achar outro computador na rede (nos ips descrito), ele infecta também. Diferente do Sasser.A, o arquivo que ele instala é o LSASSS.EXE, da mesma forma, ele é chamado pelo tregistry do Windows. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run , onde aponta para o vírus (LSASSS - LSASSS.EXE) ,que é um nome semelhante a LSASS (arquivo que faz parte do Windows).

Sugestões para Windows XP: Para apagar o arquivo lsasss.exe (o vírus), reinicie o Windows XP, e quando o Windows estiver iniciando, pressione F8, ao aparecer opções de inicialização, opte por INICIAR COM PROMPT DE COMANDO, desta forma é mais fácil apagar o arquivo avserve2 em c:\windows\.

VIRUS SASSER.A / LSASS (desliga o Windows automaticamente) Infecta somente WINDOWS XP e WINDOWS 2000

CARACTERÍSTICAS:

Versão 'A' do vírus sasser

Este vírus explora uma falha no Windows para invadir o computador, e não necessita que o usuário abra seu e-mail para infectá-lo, além disto, desliga o Windows depois de alguns minutos. Esta falha do Windows que possibilita a entrada do vírus está documentada pela Microsoft ( Microsoft Windows vulnerability [MS04-011 vulnerability (CAN-2003-0533).

O sasser é o primeiro vírus que se propaga sem necessidade da interferência do usuário, o vírus se propaga analisando os computadores ligados na Internet e se autoduplica neles, O VIRUS SASSER NÃO SE PROPAGA POR EMAIL, como acontece com a maioria dos vírus, o vírus rastreias faixas de IP de computadores conectados e quando encontra WINDOWS XP ou WINDOWS 2000, ele procura falhas e encontrando, invade-os. A Microsoft já corrigiu este problema e você pode corrigir seu Windows no site http://windowsupdate.Microsoft.com

VIRUS BLASTER (POZI, LOVSAN)

CARACTERÍSTICAS:

Infecta o computador Windows 2000, Windows XP ou Windows NT4, utilizando-se uma falha de proteção que o sistema tem na porta 135 (RPC), após encontrar a falha no sistema, tem como característica fazer o shutdown (desligar) o computador, se aut-transfere por tftp e se instala normalmente em windows\system ou winnt\system32, logo após criará uma entrada no registry em HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run

windowsupdate=c:\windows\system32\msblaster.exe

windows auto update" = msblast.exe

É gerado o arquivo svchost.exe na pasta do Windows:

Ex: c:\windows\svchost.exe ou c:\winnt\svchost.exe

No entanto, observe que este nome de arquivo também existe em:

c:\windows\system ou em c:\winnt\svchost.exe

E estes arquivos não são nocivos, fazem parte do sistema Windows e não devem ser apagados; para saber se o arquivo é nocivo ou não, utilize o antivírus ou apague este arquivo e copie-o novamente.

Auto reinicialização da máquina em 60 segundos (1 minuto)

No caso do Windows XP ou 2003, o computador reinicia após 60 segundos, isto ocorre porque o sistema detecta um ataque via DCOM RPC e faz o computador desligar por motivo de segurança; no caso do Windows 2000 isto não ocorre.

Para corrigir isto, instale o patch da Microsoft.

Após remover o vírus, atualize seu Windows com o Patch que a Microsoft fornece para isto em:

Patch para atualizar o Windows

Sugestões para Windows XP: Para apagar o arquivo svchost.exe (o vírus), reinicie o Windows XP, e quando o Windows estiver iniciando, pressione F8, ao aparecer opções de inicialização, opte por INICIAR COM PROMPT DE COMANDO, desta forma é mais fácil apagar o arquivo svchost.exe em c:\windows\system32.

Vírus MyDoom

CARACTERÍSTICAS

Também conhecido com o Novarg o Mimail, infecta o computador criando o arquivo taskmon.exe na pasta do Windows e shimgapi.dll, que são inseridos no sistema para vigiar o computador e pela porta 3127, o objetivo maior é dificultar o acesso a pagina da empresa SCO que no momento está dificultando a distribuição de alguns sistemas baseados em Linux.

Normalmente invade o computador através de e-mail (arquivos atachados .exe, .scr, .zip or .pif) ou arquivos obtidos através do Kazaa ou outro sistema de distribuição de arquivos ou música.Como faz todo vírus tipo worm, ele recolhe endereço dos destinatários e se "auto envia" para eles, desta forma quem envia o vírus não sabe o que está acontecendo.

Uma mega contaminação iniciou-se em 26-1-2004 e está presente em mais de 50% de caixa postal de e-mail brasileira. Tem aproximadamente 22k e chega anexado ao e-mail com nomes variáveis.

SOBIG (versão F) (Alias: Rerteras)

CARACTERÍSTICAS:

Infecta o computador por e-mail, anexado ao arquivo, se executado criará um arquivo chamado WINPPR32.EXE e WINSTT32.DAT na pasta do Windows, e faz uma entrada no Registry do Windows para que ele seja executado a cada reinicio do Windows:

HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run

TrayX = "Windows\winppr32.exe /sinc"

O arquivo anexado aparece com vários formatos:

DBX HLP MHT WAB

HTML HTM TXT EML

your_document.pif

document_all.pif

thank_you.pif

your_details.pif

details.pif

document_9446.pif

application.pif

wicked_scr.scr

movie0045.pif

O título que o vírus envia:

Your details

Thank you!

Re: Thank you!

Re: Details

Re: Re: My details

Re: Approved

Re: Your application

Re: Wicked screensaver

Re: That movie

Re: That movie

Como conteúdo de Texto o vírus contém:

See the attached file for details

Please see the attached file for details

W32/Netsky.C@mm

Descrição:

O worm Netsky.C somente ataca sistemas que rodem um dos sistemas operacionais da Microsoft, desde o Windows 95 até o XP. Esse worm se dissemina através de e-mails enviados em massa e através de drives mapeados numa rede local. Esse worm tem outra característica que está se tornando meio de praze: ele desativa as ocorrências prévias de contaminação pelos worms MyDoom.A, MyDoom.B, NetSky.A, NetSky.B e Mimail.T.

As características dos e-mails que o NetSky.C envia são muito variáveis, pelo que se torna um pouco difícil se saber identificá-lo corretamente, apenas por estes detalhes. Abaixo todos os detalhes conhecidos:

Campo FROM (DE): um e-mail qualquer, capturado da máquina infectada que gerou a mensagem

Assunto e Corpo da Mensagem: retirado de uma extensa lista de alternativas, entre elas citamos as seguintes:

a crazy doc about you

abuse?

account?

already?

another pic, have fun! ... :->

Antispam is turned off. See file!

believe me

best?

bob the builder

child or adult?

child porn?

classroom test of you?

did you know from this document?

did you know that?

did you see her already?

did you sent it to me?

do not give up!

do not open the attachment!

do not show this anyone!

do not use my document!

do not use this creditcard!

fake?

fast food...

feel free to use it.

File is bad.

File is damaged.

File is self-decryting.

forgotten?

from the chatter (my photo!)

from your lover ;-)

here, the cheats

here, the introduction

here, the serials

O arquivo que vem anexado, com tamanhos variados, dependendo da compactação executada (25.353, 28.160, ou 24.064 bytes), vem em apenas dois tipos de extensão: ZIP ou EXE (embora possa vir com apenas uma extensão simples ou dupla - neste último caso as opções da segunda extensão são: .doc, .htm, .rtf e .text ). O nome desse arquivo em anexo também pode variar entre muitas alternativas, entre as quais destacamos as seguintes:

attach2, auction, transfer, bill, birth, dinner, disco, doc, yours, doc_ang, jokes, sexy, injection, intimate, stuff, letter.

O componente que caça endereços de e-mail, para que possa enviar sua carga viral, faz uma busca nos discos rígidos dentro de arquivos com as extensões:

.adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .oft, .php, .pl, .rtf, .sht, .shtm, .mensagem, .tbb, .txt, .uin, .vbs e .wab

entretanto ele rejeita qualquer endereço de e-mail cujo domínio tenha as seguintes strings: abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur, avp, spam, ymantec, antivi, icrosoft

obviamente para evitar que seja precocemente detectado pelas empresas de anti-vírus (de qualquer maneira não sei se este efeito é alcançado, já que nos últimos dois anos todas as pragas têm sido detectadas em seu primeiro dia de vida selvagem.

O Worm, ao infectar uma máquina se auto-copia, com o nome WINLOGON.EXE (tamanho de 25.353 bytes) para a pasta %WinDir% - a pasta de instalação do Windows na máquina - cuidado que existe um arquivo do próprio Windows, de mesmo nome, que fica gravado na pasta %WinSys% - a pasta de

sistema do Windows.

Em seguida o NetSky.C cria duas entradas no Registro do Windows, responsáveis por fazer o recarregamento do worm, a cada reinicialização do sistema. As chaves criadas são:

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run

"ICQ Net" = %WinDir%\WINLOGON.EXE -stealth

HKEY_CURRENT_USERS \SOFTWARE \Microsoft \Windows \CurrentVersion \Run

"ICQ Net" = %WinDir%\WINLOGON.EXE -stealth

Para poder se disseminar também por redes locais e redes P2P (como o KaZaA) o worm se auto-copia para todos os diretórios que contenham a string "SHAR" tanto nos drives locais, como os mapeados numa rede local. Essas cópias têm diversos nomes, podendo todos ou apenas uma parte ser encontrados num determinado sistema. Algumas das opções são:

1000 Sex and more.rtf.exe, 3D Studio Max 3dsmax.exe, Adobe Photoshop 9 full.exe, Adobe Premiere 9.exe, Ahead Nero 7.exe, Clone DVD 5.exe, Cracks & Warez Archive.exe, Dark Angels.pif, How to hack.doc.exe, Microsoft Office 2003 Crack.exe, Microsoft WinXP Crack.exe, Norton Antivírus 2004.exe, Screensaver.scr, Serials.txt.exe, Visual Studio Net Crack.exe, ACDSee 9.exe, Win Longhorn Beta.exe, XXX hardcore pic.jpg.exe.

Apelidos/Variantes: I-Worm/Netsky.C, W32.Netsky.C@mm, W32/Netsky.C.worm

W32/NetSky.D@mm

Descrição:

Mais uma versão do worm NetSky, a terceira em menos de 2 semanas, apareceu no primeiro dia de março de 2004. Ele recebeu a denominação de Netsky.D, e é bastante similar à versão C, com apenas uma grande alteração em relação à sua família viral. NetSky.D só se propaga por e-mail, não se propagando por sites P2P, como o KaZaA, nem por Redes Locais.

O worm somente ataca sistemas que rodem um dos sistemas operacionais da Microsoft, desde o Windows 95 até o XP. Esse worm se dissemina através de e-mails enviados em massa. Esse worm tem outra característica que está se tornando meio de praze: ele desativa as ocorrências prévias de

contaminação pelos worms MyDoom.A, MyDoom.B, NetSky.A, NetSky.B e Mimail.T.

As características dos e-mails que o NetSky.D envia são variáveis, pelo que se torna um pouco difícil se saber identificá-lo corretamente, apenas por estes detalhes. Abaixo todos os detalhes conhecidos:

Campo FROM (DE): um e-mail qualquer, capturado da máquina infectada que gerou a mensagem

Assunto:

Re: Approved, Re: Details, Re: Document, Re: Excel file, Re: Hello, Re: Here, Re: Here is the document, Re: Hi, Re: My details, Re: Re: Document, Re: Re: Message, Re: Re: Re: Your document, Re: Re: Thanks!, Re: Thanks!, Re: Word file, Re: Your archive, Re: Your bill, Re: Your details, Re: Your document, Re: Your letter, Re: Your music, Re: Your picture, Re: Your product, Re: Your software, Re:

Your text, Re: Your website

Corpo da Mensagem:

Your file is attached., Please read the attached file., Please have a look at the attached file., See the attached file for details., Here is the file., Your document is attached.

O arquivo que vem anexado vem com um tamanho de 17.424 bytes, vem num único tipo de extensão:

PIF. O nome desse arquivo em anexo também pode variar entre muitas, alternativas:

all_document.pif, application.pif, document.pif, document_4351.pif, document_excel.pif, document_full.pif, document_word.pif, message_details.pif, message_part2.pif, mp3music.pif, my_details.pif, your_archive.pif, your_bill.pif, your_details.pif, your_document.pif, your_file.pif, your_letter.pif, your_picture.pif, your_product.pif, your_text.pif, your_website.pif, yours.pif

O componente que caça endereços de e-mail, para que possa enviar sua carga viral, faz uma busca, nos discos rígidos dentro de arquivos com as extensões:, .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .oft, .php, .pl, .rtf, .sht, .shtm, .mensagem, .tbb, .tx, .uin, .vbs, e .wab, entretanto ele rejeita qualquer endereço de e-mail cujo domínio tenha as seguintes strings:

abuse, antivi, aspersky, avp, cafee, fbi, f-pro, f-secur, icrosoft, itdefender, messagelabs, orman, orton, skynet, spam, ymantec.

O Worm, ao infectar uma máquina se auto-copia, com o nome WINLOGON.EXE (tamanho de 17.424, bytes) para a pasta %WinDir% - a pasta de instalação do Windows na máquina - cuidado que existe, um arquivo do próprio Windows, de mesmo nome, que fica gravado na pasta %WinSys% - a pasta de, sistema do Windows.,

Em seguida o NetSky.D cria uma entrada no Registro do Windows, responsável por fazer o recarregamento do worm, a cada reinicialização do sistema. A chave criada é a seguinte:

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run

"ICQ Net" = %WinDir%\WINLOGON.EXE -stealth

Dentro do código viral do NetSky.D existe a seguinte string:

"be aware! Skynet.cz - -->AntiHacker Crew<--"

Apelidos/Variantes: W32.Netsky.D@mm, W32/Netsky.d@MM, W32/Netsky-D, NetSky.D

W32/Zafi.B

Descrição:

Este vírus se espalha pelo envio de e-mails em massa, e-mails esses que ele próprio constrói, mentindo sobre o real remetente, e utilizando um engine SMTP próprio. Ele também se propaga através de diretórios de programas tipo P2P (tipo o KaZaA) se autocopiando em pastas que tenham no seu nome as strings share ou upload. Seu tamanho é de exatos 12.800 bytes, e contamina todas as versões do Windows

Os e-mails que esta praga obtém, vêm de arquivos gravados na máquina do usuário contaminado, que tenham a extensão: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml e pmr

Os e-mails que ele encontrar são mantidos gravados em 5 arquivos com a extensão DLL, com nomes gerados aleatoriamente, e que ficam gravados na pasta C:\WINNT\SYSTEM32. A referência para tais arquivos é mantida numa chave do Registro do Windows, que o Zafi.B cria. A chave é a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

A praga não envia mensagens se o e-mail contiver as seguintes strings: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, use, vir, webm, win ou yaho (por razões óbvias).

As mensagens que ele envia podem estar na linguagem do usuário, coisa que ele determina através do domínio utilizado. Há mensagens em inglês, espanhol, português, italiano, alemão e várias outras.

O Zafi.B constrói dezenas de mensagens diferentes, algumas das quais são mostradas abaixo:

To: claudia

Subject: Importante!

Attachment: "link.informacion.phpV23.text.message.pif"

Body: Informacion importante que debes conocer, -

To: katya

Subject: Katya

Attachment: "view.link.index.image.phpV23.sexHdg21.pif"

To: eva

Subject: E-Kort!

Attachment: "link.ekort.index.phpV7ab4.kort.pif"

Body: Mit hjerte banker for dig!

To: marica

Subject: Ecard!

Attachment: "link.showcard.index.phpAv23.ritm.pif"

Body: De cand te-am cunoscut inima mea are un nou ritm!

To: anna

Subject: E-vykort!

Attachment: "link.vykort.showcard.index.phpBn23.pif"

Body: Till min Alskade...

To: erica

Subject: E-Postkort!

Attachment: "link.postkort.showcard.index.phpAe67.pif"

Body: Vakre roser jeg sammenligner med deg...

To: katarina

Subject: E-postikorti!

Attachment: "link.postikorti.showcard.index.phpGz42.pif"

Body: Iloista kesaa!

To: magdolina

Subject: Atviruka!

Attachment: "link.atviruka.showcard.index.phpGz42.pif"

Body: Linksmo gimtadieno! ha

To: beate

Subject: E-Kartki!

Attachment: "link.kartki.showcard.index.phpVg42.pif"

Body: W Dniu imienin...

To:

Subject: Cartoe Virtuais!

Attachment: "link.cartoe.viewcard.index.phpYj39.pif"

Body: Content: Te amo... ,

To: alice

Subject: Flashcard fuer Dich!

Attachment: "link.flashcard.de.viewcard34.php.2672aB.pif"

Body: Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link:

http://flashcard.de/interaktiv/viewcards/v...?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr...

To: eva

Subject: Er staat een eCard voor u klaar!

Attachment: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"

Body: Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs...

To: hanka

Subject: Elektronicka pohlednice!

Attachment: "link.seznam.cz.pohlednice.index.php2Avf3.pif"

Body: Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -

To: claudine

Subject: E-carte!

Attachment: "link.zdnet.fr.ecarte.index.php34b31.pif"

Body: vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l´adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct...

To: francesca

Subject: Ti e stata inviata una Cartolina Virtuale!

Attachment: "link.cartoline.it.viewcard.index.4g345a.pif"

Body: Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.

To: jennifer

Subject: You`ve got 1 VoiceMessage!

Attachment: "link.voicemessage.com.listen.index.php1Ab2c.pif"

Body: Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen

your Virtual VoiceMessage at the following link:

http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team ®.

Nas mensagens sempre vêm um anexo, em geral com dupla extensão, cuja extensão final é .com, .exe ou .pif.

Quando ele se dissemina por redes P2P ele usa sempre dois nomes de arquivos:

Total Commander 7.0 full_install.exe e winamp 7.0 full_install.exe

O Zafi.B tem como principal, e crítico, payload a sobregravação de diversos arquivos executáveis que ele encontra na máquina do usuário, dentro da pasta Arquivos de Programas. Em geral ele escolhe arquivos de programas Anti-vírus e Firewalls, mas na falta desses ele escolhe outros arquivos de programas instalados.

Outro payload de que ele lança mão é a terminação de processos em memória de programas cujo nome tenha uma das seguintes strings: regedit, msconfig e task.

Sintomas de Infecção:

O worm se auto-copia para a pasta SYSTEM32 do sistema, usando um nome aleatório, e extensão .exe, e outro com a extensão .dll.

Ele também cria a chave no registro do Windows citada anteriormente, e encera a execução de anti-vírus e firewalls, além de aumentar o tráfego na rede local, e diminuir a performance do sistema.

Esse worm não se aproveita de nenhum "exploit", e portanto depende da ignorância do usuário, que deverá executá-lo para que ele contamine seu sistema.

Apelidos/Variantes: I-Worm.Zafi.b, PE_ZAFI.B, W32.Erkez.B@mm, Win32.Hazafi.30720

W32/Mimail.c WORM

Descrição:

Este worm foi distribuído num esquema de spam (mass mailing), e contém um arquivo de nome undelivered.hta que cria o arquivo mware.exe que é o código viral do Mimail.C. Quando esse arquivo hta é executado aparece a mensagem "Your message will be sent again in 1 hour. If it doesn´t arrive - we

will delete it from queue."

O worm Mimail.C se espalha como um arquivo .ZIP - com um tamanho de 12.958 bytes - e executa um ataque de Negação de Serviço e rouba informações da máquina infectada.

Esta versão, embora tenha muitas similaridades com a versão original do Mimail, não explora as falhas "Codebase" e "MHTML", já corrigidas pela Microsoft através dos documentos MS02-015 e MS03-014 respectivamente.

Um resumo das características desse worm são indicadas abaixo:

1. Contém seu próprio mecanismo de envio de mensagens (SMTP);

2. Se envia com um arquivo .ZIP anexado às mensagens;

3. Coleta endereços de e-mail existentes na máquina contaminada;

4. Captura informações e envia-as por e-mail para 4 endereços;

Ao coletar os e-mails da máquina infectada esse worm grava-os num arquivo de nome EML.TMP na pasta do Windows. Muitos e-mails coletados são inválidos, devido a um erro na programação do Mimail.C.

As mensagens que esse worm envia têm as seguintes características básicas:

Assunto: Re[2]: our private photos (seguido de 8 caracteres gerados aleatoriamente)

Anexo: PHOTOS.ZIP (12.958 bytes) que contém o arquivo PHOTOS.JPG.EXE (12.832 bytes)

Corpo da Mensagem:

Hello Dear!,

Finally, i´ve found possibility to right u, my lovely girl :)

All our photos which i´ve made at the beach

(even when u´re withou ur bh:))

photos are great! This evening i´ll come and we´ll make the best SEX :)

Right now enjoy the photos.

Kiss, James.

(8 caracteres aleatórios - os mesmos que aparecem no campo assunto)

As mensagens tem os seguintes campos X-headers (o header das mensagens):

X-Mailer: The Bat!

(v1.62)

X-Priority: 1 (High)

O campo "De" muitas vezes são construídos pelo nome james, seguido pelo domínio do provedor de mensagens da máquina que recebe a mensagem, exemplo: james@terra.com.br

O worm Mimail.C faz um ataque de negação de serviço (DoS) sobre os domínios: darkprofits.net, darkprofits.com, www.darkprofits.net e www.darkprofits.com, sendo que todos apontam para apenas um único IP. Ele envia um grande volume de dados através da porta 80, assim que ele detecta uma conexão ativa - ele usa o endereço google.com para fazer a checagem da conexão.

O worm também rouba informações das máquinas infectadas, as quais ele encaminha para quatro endereços deferentes de e-mail: omnibbb@gmx.net, drbz@mail15.com, omnibcd@gmx.net, kxva@mail15.com Entre as informações roubadas estão as fornecidas na atual conexão e página ativa, implicando, com isso, a possibilidade real do hacker receber o login e a senha de bancos e cartões-de-crédito.

Indicações de Infecção:

-presença dos arquivos EXE.TMP e ZIP.TMP;

- um firewall informando que um arquivo NETWATCH.EXE está tentando acessar a Internet;

- Grandes volumes de dados sendo enviados através da porta 80;

Método de Infecção: Quando executado na máquina da vítima, o worm instala-se dentro da pasta %WinDir% com o nome de NETWATCH.EXE.

Três outros arquivos são criados na pasta %WinDir%:

- EML.TMP - contém a lista dos e-mails coletados na máquina;

- EXE.TMP - cópia do código viral;

- ZIP.TMP - um arquivo .ZIP com o código viral;

A seguinte chave é criada no Registro do Windows, responsável pela execução do worm a cada reinicialização da máquina:

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion

\Run "NetWatch32" = C:\WINNT\NETWATCH.EXE

Apelidos/Variantes: I-Worm.Mimail.c, I-Worm.WatchNet, W32.Mimail.C@mm, W32/Bics@MM, W32/Mimail-C

W32/Mimail.S

Descrição:

Esta nova versão da família MiMail chega por e-mail, cujo anexo tem um tamanho de 11.520 bytes, e se dissemina enviando-se através de seu próprio motor SMTP. Tem como principal função roubar os dados de cartão de crédito de suas vítimas, através de "engenharia social" que engana usuários mais crédulos com uma tela da Microsoft, informando que a licença do Windows instalado já expirou, e que

uma nova licença pode ser obtida apenas com o preenchimento dos dados do cartão.

O worm Mimail.S garimpa os endereços de e-mail no computador contaminado e anexa as extensões .org, .net ou .com em certas strings que ele encontra em arquivos na pasta C:\Program Files. estes endereços de e-mail são gravados no arquivo c:\windows\outlook.cfg.

Os campos Assunto e o Corpo das mensagens de e-mail que ele envia são construídos por strings encontradas no próprio código viral do worm. Alguns exemplos são:

Assunto: here is the file you asked for

Corpo: Hi! Here is the file you asked for!

Anexo: document.txt.scr

Similarmente, arquivos e extensões usadas para nomear os anexos são construídas por strings encontradas no próprio código viral do worm. As extensões utilizadas são as seguintes:

.pif .scr .exe .jpg.scr .jpg.pif .jpg.exe .gif.exe .gif.pif e .gif.scr

Roubo dos Dados do Cartão de Crédito

Este worm tenta roubar os dados do cartão de crédito da vítima mostrando uma tela falsa de um Licenciamento do Windows. Os dados obtidos do próprio usuário são enviados para endereços de e-mail codificados dentro do código viral do worm. Os domínios utilizados são @mail15.com e @ziplip.com. Os dados roubados ficam gravados no arquivo C:\XX

Indicações de infecção

O worm checa a consistência do número do cartão de crédito digitado, para evitar receber um dado falso ou incorreto. Nessas situações ele mostra uma janela de erro com a frase: "Enter correct credit card #"

Os seguintes arquivos são criados após a execução do worm:

C:\ms.hta - código html para criar a tela falsa de licença do Windows

C:\WINDOWS\outlook.cfg - endereços de e-mail

C\WINDOWS\rabbit.exe - corpo do worm

C:\WINDOWS\x - corpo do worm

A seguinte chave de Registro do Windows é criada para garantir a execução do worm a cada reinicialização do sistema:

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run

"RabbitWannaHome"= %WINDIR%\rabbit.exe

Só existe uma maneira de se contaminar com essa praga: executar manualmente o anexo recebido por e-mail, já que este worm não lança mão de nenhuma vulnerabilidade dos produtos Microsoft, apenas usa técnica de engenharia social para convencer as vítimas a voluntariamente fazer o jogo dos hackers.

Apelidos/Variantes: W32.Mimail.R, W32/Mimail.Q, WORM_MIMAIL.S

W32/MyDoom.A

Descrição:

Uma nova praga eletrônica conhecida como MyDoom, que vem se espalhando pela Internet via spam, desde o dia 26 de janeiro, pode abrir portas em computadores pessoais permitindo a invasão de hackers.

O novo vírus, que também é conhecido pelos nomes de Novarg, Mimail.R ou Shimgapi, não tira vantagem de nenhuma falha ou vulnerabilidade de software, e foi projetado para convencer os destinatários de um e-mail a abrir um arquivo anexo e executar os programas nele contidos.

O vírus tem dois grandes objetivos:

1. fazer um ataque em massa (DoS) contra o site da empresa SCO - http://www.sco.com. Esse ataque específico começará no dia 1º de fevereiro de 2004 e cessará no dia 12 do mesmo mês.

2. uso de um componente tipo backdoor (através do componente SHIMGAPI.DLL) que abre as portas 3127 à 3198, permitindo que o hacker possa tomar controle da maquina infectada remotamente; esta parte do vírus não é desativada em nenhum momento.

A praga chega às caixas de mensagem com um arquivo com extensão exe, .cmd, .scr, .zip, .bat ou .pif, e pode conter na linha de assunto uma de várias expressões: Status, Error, Hi, Mail Delivery System, Test, Server Report, Mail Transaction Failed ou Hello.

O corpo das mensagens pode ser um de três alternativas:

- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

- The message contains Unicode characters and has been sent as a binary attachment.

- Mail transaction failed. Partial message is available.

Quanto ao anexo, ele sempre tem um tamanho de 22.528 bytes.

Os usuários que receberem o vírus e o ignorarem ou apagarem a mensagem evitarão quaisquer danos. O tipo de anexo mais comum parece ser o .zip.

Devido ao fato de que o anexo vem em formato .zip e, para que o ataque tenha sucesso, o destinatário precisa abrir o arquivo .zip e executar um dos programas que ele contém, fica claro o uso da conhecida expressão: "Engenharia Social".

O vírus MyDoom cria uma nova chave no Registro do Windows:

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run

"TaskMon" = %SysDir%\taskmon.exe

O MyDoom também se transmite aos endereços de e-mail arquivados no computador infectado e está congestionando servidores de e-mail e prejudicando o desempenho de redes corporativas, segundo os especialistas. Ele também, como quase a totalidade dos vírus criados nos últimos 24 meses, mente sobre o real remetente, dificultando assim que o usuário realmente contaminado possa ser avisado pelos amigos que tiverem um Anti-vírus atualizado.

Existe uma outra forma de propagação, que usa o programa KaZaA, desse vírus.

Nesse tipo de propagação o Mydoom.A realiza o seguinte processo: cria cópias de si mesmo dentro da pasta compartilhada do KaZaA. Estas cópias possuem nome variável, que consiste de nome e extensão gerados aleatoriamente.

As várias possibilidades são:

WINAMP5, ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES, ROOTKITXP,

OFFICE_CRACK, NUKE2004.

Em cada um desses casos os arquivos podem ter as seguintes extensões: PIF, SCR, BAT, EXE.

A praga está se difundindo rapidamente (o que só pode ser explicado pela enorme carga de ignorância dos usuários que são infectados) e ataca computadores que usem o sistema operacional Windows e qualquer programa de e-mail.

Indicação da Infecção

A primeira indicação da infecção por esta praga é que, após a ocorrência da infecção, o vírus abre o NotePad (Bloco de Notas) com uma tela cheia de caracteres aleatoriamente gerados.

A existência dos seguintes arquivos no disco rígido:

- c:\Program Files\KaZaA\My Shared Folder\activation_crack.scr

- %SysDir%\taskmon.exe (cuidado, existe o arquivo legal de mesmo nome na pasta %WinDir%)

- %SysDir%\shimgapi.dll

Apelidos/Variantes: Novarg, W32.Novarg.A@mm, Win32/Shimg, WORM_MIMAIL.R

Espero que isso possa ajudar a quem procura informações sobre vírus. Quanto a paths e vacinas eu decidi não colocar nenhum link pois creio que no tópico abaixo já se encontra tudo:

Ferramentas Para Remoção De Vírus...

[]s

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Alpha-X tudo bem?

Gostaria de saber se você conhece algum programa chamado Instant Access.

este programa deve ser algum víurs porque meu sobrinho recentemente vistou um site pornô e fez um download desse programa, consequentemente quando acesso à internet as páginas desse site ficam abrindo toda hora e quando fecho a janela desse site, todas as outras páginas que estou visitando são fechadas também!. Você sabe me informar que tipo de virus é esse?. Como faço para removê-lo?. Por favor agradeço à ajuda.

Grato,

Vagalboy

Compartilhar este post


Link para o post
Compartilhar em outros sites

oi td bem!!

Bom vou logo ao assunto. Eu gostaria de saber se alguem pode me ajudar a remover um virus. Pelo q eu entendo deve ser um spyware pois ele fica mandando mensagems para meus contato no msn a mensagem e´mais ou menos assim (Man SICK CAREER YOU GOT

http://dima.n0share.com/career.php?name=ge...om&careerid=12) e alem disso ele fica abrindo janelas de proagandas, tambem não consigo ver meus comentarios do flog, não comsigo fazer download pois aparece uma mensagem assim ( suas configurações de segurança atuais não permitem o download desse tipo de arquivo). Tambem aparece em baixo da barra de endereços uma barra dourada q fala sobre a configuração do activ x e por isso nãom abre tambem alguns links de alguns sites. Ja passei o anti virus AVG tenho fire wal e tambem Anti spy sweeper. e meu windows e´o XP. Por favor se alguem puder me ajudar responda ou entre em contato no meu msn ( geusti@hotmail.com ). Obrigado

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Postado Originalmente por Geusti@25 de julho de 2005, 19:26

oi td bem!!

Bom vou logo ao assunto. Eu gostaria de saber se alguem pode me ajudar a remover um virus. Pelo q eu entendo deve ser um spyware pois ele fica mandando mensagems para meus contato no msn a mensagem e´mais ou menos assim (Man SICK CAREER YOU GOT

http://dima.n0share.com/career.php?name=ge...om&careerid=12)

Aproveitando a mensagem do colega aí de cima. Eu chorei de rir nesse sábado. Quando eu estava na casa do meu primo, ele estava usando o msn. O amigo dele perguntou se ele ainda estava namorando. Aí começou a maluquice. Apareceu a seguinte mensagem: Não, eu estou desiludido, virei ###. Depois apareceu outra mensagem do nada: Eu quero dar o bumbum. Ele não digitou porque ele estava atendendo o tel na hora que apareceu.

Fiquei na dúvida em postar isso aqui, porque acho que ninguém vai acreditar, mas será que alguém poderia estar invadindo o pc dele? Mais uma vez, eu não estou brincando. Alguém sabe o que pode ser isso?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por Danelon@07 de março de 2006, 20:36

Aproveitando a mensagem do colega aí de cima. Eu chorei de rir nesse sábado. Quando eu estava na casa do meu primo, ele estava usando o msn. O amigo dele perguntou se ele ainda estava namorando. Aí começou a maluquice. Apareceu a seguinte mensagem: Não, eu estou desiludido, virei ###. Depois apareceu outra mensagem do nada: Eu quero dar o bumbum. Ele não digitou porque ele estava atendendo o tel na hora que apareceu.

Fiquei na dúvida em postar isso aqui, porque acho que ninguém vai acreditar, mas será que alguém poderia estar invadindo o pc dele? Mais uma vez, eu não estou brincando. Alguém sabe o que pode ser isso?

Talvez seja ### mesmo. =/

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por Danelon@07 de março de 2006, 20:36

Aproveitando a mensagem do colega aí de cima. Eu chorei de rir nesse sábado. Quando eu estava na casa do meu primo, ele estava usando o msn. O amigo dele perguntou se ele ainda estava namorando. Aí começou a maluquice. Apareceu a seguinte mensagem: Não, eu estou desiludido, virei ###. Depois apareceu outra mensagem do nada: Eu quero dar o bumbum. Ele não digitou porque ele estava atendendo o tel na hora que apareceu.

Fiquei na dúvida em postar isso aqui, porque acho que ninguém vai acreditar, mas será que alguém poderia estar invadindo o pc dele? Mais uma vez, eu não estou brincando. Alguém sabe o que pode ser isso?

Ou cara, isso é normal, é um programa para MSN que ele copia o nick do outro amigo e a fonte etc e o que você escreve em sua maquina, aparece como se foi ele que digitou, o nick dele, a fonte fica igualzinho, entende?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante

Sei não. Isso é muito louco... Tenho mais uma dúvida que também é um alerta: NÃO BAIXEM TEMAS PARA WINDOWS NO BAIXAKI! Tanto eu como um amigo pegamos o mesmo vírus, Win32: Tenga é o nome dele. Ataca arquivos .exe . Não causa mais nenhum dano fora isso. Apenas corrompe arquivos .exe . Alguém sabe como remover esse vírus do hd? OBS: o meu hd é particionado 2. O vírus está na partição 2 que não tem nenhum sistema operacional instalado nessa partição, mas tem muitos arquivos que eu não gostaria de perder... Gostaria de uma solução que não necessitasse de formatar o hd se possível. Usei o Avast. Ele até parece tirar o vírus, mas toda hora que eu ponho um arquivo .exe no hd, depois de algumas horas utilizando o pc, o arquivo é infectado...ou seja, o vírus ainda está lá... Fico muito agradecido a quem puder dar qualquer tipo de ajuda... :help::help::help:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sou novo no Clube do Hardware, estou com um problema, quando estou sem acessar a internet meu avast não dá alerta de vírus, basta eu me conectar que aparece o alerta de 3 vírus diferentes. São eles:

Arquivo: http://85.255.113.84/users/smell/web/files/encodex.jpg

nome do malware: Win32:Agent-IU [Trj]

tipo :Cavalo de Tróia

vps(versão) 0612-1, 22/03/2006

Arquivo:http://85.255.115.187/users/fill/web/images/logo_big.jpg

nome do malware:Win32:Small-EK [Trj]

tipo :Cavalo de Tróia

vps(versão):0612-1, 22/03/2006

http://85.255.115.187/users/fill/web/images/sphlp32.jpg

Win32:Adan-094 [Adw]

Adware

0612-1, 22/03/2006

http://85.255.115.187/users/fill/web/images/pppcgm.jpg

Win32:Adan-078 [Adw]

Adware

0612-1, 22/03/2006

Eu não sei como entrou, já desinstalei o Limewire, aumentei o rigor do firewall, tirei o shareaza das exceções do firewall, sobre este programa, eu verifiquei no item rede do shareaza q havia vários pedidos de conexão q não foram feitos, pois não conectei o programa, como se alguém quisesse pegar meus arquivos de compartilhamento, e como este não estava conectado aparecia sempre a não permissão de acesso.

Gostaria q alguém pudesse me esclarecer sobre o q estaria acontecendo, e como faço para resolver este problema, pois quando estou na internet a cada 15 minutos toca sirene do avast

Compartilhar este post


Link para o post
Compartilhar em outros sites

:( Gente, eu queria saber sobre uma coisa na quarentena do avast!

C:\Arquivos de programas\WinFixer 2005\df_u42.sys - Infectado por Win32:Trojano-2062 [trj], em 04 de fevereiro de 2006

C:\Arquivos de programas\VVSN\SET151.tmp - Infectado por Win32:Adware-Gen. [adw], em 05 de março de 2006

C:\Arquivos de programas\VVSN\SET187.tmp - Infectado por Win32:Adware-Gen. [adw], em 11 de março de 2006

C:\Arquivos de programas\LingoCom\LingoWare\REFERALS\VVSNINST.exe\VVSN.exe - Infectado por Win32:Adware-Gen. [adw], em 04 de fevereiro de 2006

C:\Documents and Settings\master\Configurações locais\Temp\VVSNInst.exe\VVSN.exe - Infectado por Win32:Adware-Gen. [adw], em 05 de março de 2006

C:\Arquivos de programas\themexp\Themexp.org File\VVSNInst.exe\VVSN.exe - Infectado por Win32:Adware-Gen. [adw], em 11 de março de 2006

É comum pegar dois vírus de cada vez?

É ruim um vírus cair nos arquivos temporários da internet?

É ruim ter tantos adwares no PC?

Devo confiar nos avisos do Windows, como "Para proteger a sua segurança, o Windows bloqueou o download do arquivo"?

Observação: Eu peguei estes vírus ao baixar os seguintes programas:

WinFixer 2005 (Shareware), da WinSoftware

LingoWare Dictionary (Shareware), da LingoCom

ThemeXP.org, da Stardock

3DAdamantiumStream, da 7art

11view Image Viewer, da Starpoint

BugDoctor (Shareware), da BugDoctor

Isso significa que estes programas, ou as empresas que os fabricam, não são confiáveis?

:tantan:

E, se alguém tiver o antivírus avast!, como eu retiro os vírus do computador?

Meu sistema é Windows XP Home Edition SP2.

Fico aguardando.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por Danelon+--><div class='quotetop'>QUOTE(Danelon)</div>
Fiquei na dúvida em postar isso aqui, porque acho que ninguém vai acreditar, mas será que alguém poderia estar invadindo o pc dele? Mais uma vez, eu não estou brincando. Alguém sabe o que pode ser isso?

É uma probabilidade. Atualize o Windows e faça um scan em algum antivírus on-line.

Postado Originalmente por fox_on_the_rox+--><div class='quotetop'>QUOTE(fox_on_the_rox)</div>
Ou cara, isso é normal, é um programa para MSN que ele copia o nick do outro amigo e a fonte etc e o que você escreve em sua maquina, aparece como se foi ele que digitou, o nick dele, a fonte fica igualzinho, entende?

Exato. Se eu não me engano o programa é o Messenger Discovery X.

Danaleon@

Sei não. Isso é muito louco... Tenho mais uma dúvida que também é um alerta: NÃO BAIXEM TEMAS PARA WINDOWS NO BAIXAKI! Tanto eu como um amigo pegamos o mesmo vírus, Win32: Tenga é o nome dele. Ataca arquivos .exe[...]

Envie um e-mail para o site Baixaki.com.br relatando o fato. Tente utilizar a seguinte ferramenta da Grisoft:

http://www.grisoft.cz/softw/70/filedir/uti...ir/vcleaner.exe

righoiq

Sou novo no Clube do Hardware, estou com um problema, quando estou sem acessar a internet meu avast não dá alerta de vírus, basta eu me conectar que aparece o alerta de 3 vírus diferentes.

Realmente é estranho os avisos do Avast. Poste um log do HijackThis no fórum "Remoção de Malwares" para verificar que seu log está limpo.

O endereço pertence ao Inhoster.

Postado Originalmente por Jonatan_7

1) É comum pegar dois vírus de cada vez?

2) É ruim um vírus cair nos arquivos temporários da internet?

3) É ruim ter tantos adwares no PC?

4) Devo confiar nos avisos do Windows, como "Para proteger a sua segurança, o Windows bloqueou o download do arquivo"?

1) Vírus não, mas outros tipos de malwares, como adwares, sim.

2) Não diria que é ruim nem bom. Só o fato de que você apagando os arquivos temporários ele geralmente sair é mais fácil.

3) Horrível.

4) Geralmente sim, a não ser que o site seja de confiança.

Observação: Eu peguei estes vírus ao baixar os seguintes programas:

WinFixer 2005 (Shareware), da WinSoftware

LingoWare Dictionary (Shareware), da LingoCom

ThemeXP.org, da Stardock

3DAdamantiumStream, da 7art

11view Image Viewer, da Starpoint

BugDoctor (Shareware), da BugDoctor

1) Isso significa que estes programas, ou as empresas que os fabricam,  não são confiáveis?

2) E, se alguém tiver o antivírus avast!, como eu retiro os vírus do computador?

1) Geralmente não, como é o caso do WinFixer, que força a instalação de seu programa, forçando o usuário a comprá-lo, além dele ser inútil. Mas outros programas instalam adwares para dar $uporte aos seus programas gratuitos, como é o caso do Kazaa Media Desktop 3.

2)Atualiza, rode e remova o que for encontrado. Caso seja algum vírus infector, tente a opção para reparar os arquivos.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Gostaria de saber:

Comparação entre cavalo de tróia e adware

Qual dos dois é mais destrutivo?

Que tipo de arquivo eles preferem?

A remoção de vírus deste tipo é fácil?

E, outra dúvida:

Qual vírus, entre todos os tipos, é o menos destrutivo? E qual é o mais destrutivo?

Meu antivírus, como eu já disse, é o avast!

avast! 4.6 Home Edition

Existe uma versão mais atual do avast!?

...

Ah! Kazaa K-Lite 2006 não me trouxe vírus, apesar das acusações de que os programas da Kazaa são vírus na certa.

Os programas da Kazaa que possuem vírus são outros?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por Jonatan_7

Comparação entre cavalo de tróia e adware

1) Qual dos dois é mais destrutivo?

2) Que tipo de arquivo eles preferem?

3) A remoção de vírus deste tipo é fácil?

4) Qual vírus, entre todos os tipos, é o menos destrutivo? E qual é o mais destrutivo?

5) Existe uma versão mais atual do avast!?

6) Os programas da Kazaa que possuem vírus são outros?

1) Geralmente trojans, pois alguns podem facilitar/permitir a entrada de crackers na sua máquina e causar algum dano.

2) Vírus que infectam arquivos executáveis.

3) Isso varia de trojan para trojan e adware para adware.

4) Pelo que eu entendi, vírus que você quis dizer são os malwares (nomenclatura para todos os tipos de códigos maliciosos). Se as empresas de antivírus classificam os "cookies" como malicioso, este seria o menos "destrutivo". Os mais destrutivos na minha opinião são os vírus antigos que não estão mais a solta, como variantes do Stoned e CIH.

5) Acredito que não. Visite o site da Avast para obter informações sobre atualizações e notícias.

6) Somente algumas versões do Kazaa possuem adwares na instalação, mas quanto aos arquivos compartilhados é difícil determiná-los se eles são bons ou não (P2P.Worms).

OBS.: Postem somente dúvidas e informações sobre vírus. Outras dúvidas devem ser postadas nas suas respectivas áreas.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi pra todos!

Ontem, dia 15, eu baixei do site da Microsoft um programa chamado Windows Defender. Dizem que ele protege o PC contra spywares.

Assim que eu instalei o Defender, ele iniciou uma análise do sistema, onde apontou 9 spywares e eliminou todos.

Mas, aí, aconteceu algo que eu não imaginava: ele eliminou do sistema o programa WinFixer 2005 e anulou o Hotbar Weather Service, sem desinstalar o Hotbar Toolbar.

Por acaso, o Hotbar trouxe spywares para o meu PC ou algum spyware foi parar numa pasta do Hotbar?

E, depois da anulação do Hotbar Weather Service, eu posso reativar o serviço sem o Defender acusar de spyware outra vez?

O avast! pode encontrar spywares?

A análise do Defender durou 40 minutos, pois ele precisava analisar a parte ocupada e a parte vazia do HD. Os resultados:

Ocupado: 9,55 GB (10.257.010.688 bytes)

Livre: 27,7 GB (29.750.718.464 bytes)

Total: 37,2 GB (40.007.729.152 bytes)

Sistema de arquivos: NTFS

Discos locais: apenas 1: C:

Drive de disquete: A: (disquete de 3,5 polegadas) - vazio

Drive de CD: D: (CD-RW) - vazio

E, pouco a pouco, o Defender mostrava um balão indicando novas configurações automáticas.

Ele faz isso mesmo?

Se isso ajuda, no mesmo dia baixei um pacote de ícones do Windows Vista, uma atualização para Internet Explorer 6 e outra para Windows Media Player 10.

E, sobre o Kazaa K-Lite 2006, baixar músicas da Internet usando ele é seguro? Alguém já fez isso?

...

Ah! Se eu estiver postando minhas dúvidas na categoria errada, por favor, me digam em que categoria devo postar estas dúvidas, pois sou novo aqui, e não tenho as categorias listadas e salvas.

Volto a informar: meu PC é Windows XP Home Edition SP2.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por Jonatan_7+--><div class='quotetop'>QUOTE(Jonatan_7)</div>
Mas, aí, aconteceu algo que eu não imaginava: ele eliminou do sistema o programa WinFixer 2005 e anulou o Hotbar Weather Service, sem desinstalar o Hotbar Toolbar.

Normal. A função dele é só apagar os arquivos e entradas do registro, não utilizar o desinstalador do programa.

Jonatan_7

1) Por acaso, o Hotbar trouxe spywares para o meu PC ou algum spyware foi parar numa pasta do Hotbar?

2) E, depois da anulação do Hotbar Weather Service, eu posso reativar o serviço sem o Defender acusar de spyware outra vez?

3) O avast! pode encontrar spywares?

4) E, sobre o Kazaa K-Lite 2006, baixar músicas da Internet usando ele é seguro? Alguém já fez isso?

1) Os programas da Hotbar são adwares. Ela é uma empresa que pratica tal ato.

http://www.symantec.com/avcenter/venc/data...are.hotbar.html

2) É recomendado a desinstalação de todos os produtos da Hotbar do seu PC.

3) Sim.

4) Depende de que tipo de música, pois estaria incentivando a pirataria.

OBS.: Postem somente dúvidas e informações sobre vírus. Outras dúvidas devem ser postadas nas suas respectivas áreas.

Hotbar, quarentena do Avast ou suposta invasão de MSN não vai trazer nenhum benefício ao tópico.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Muitas vezes que acesso à Internet, aparece uma janela com o título "Net-Offers", oferecendo programas que "reparam erros, vírus e outros...".

Que janela é essa, afinal?

Quando ela aparece, devo fechá-la?

Os programas oferecidos pela Net-Offers contém malwares?

...

Obs: nova versão do avast! disponível: 4.7

Acabei de atualizar.

avast! Antivirus

O site em português, avast! Brasil, está em reforma.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por Lucas C. Prevedello+--><div class='quotetop'>QUOTE(Lucas C. Prevedello)</div>
olá.... uso o outlook express e gostaria de saber se quando eu recebo e-mail e baixo pelo outlook só aparecendo no outlook e não abrindo ele eu pego virus se o e-mail tiver infectado... obrigado

As duas formas de se infectar pelo Outlook seria através de arquivos anexos maliciosos (na qual você teria que executá-los) ou através de execução de scripts pela visualização da mensagem de e-mail no formato HTML (que pode trazer até mesmo exploits), então a melhor opção é ler sem formatação. Leia no link abaixo:

http://www.microsoft.com/security/incident...ion127121120120

Jonatan_7

1) Muitas vezes que acesso à Internet, aparece uma janela com o título "Net-Offers", oferecendo programas que "reparam erros, vírus e outros...".

2) Que janela é essa, afinal?

3) Quando ela aparece, devo fechá-la?

4) Os programas oferecidos pela Net-Offers contém malwares?

1) Se aparecer as janelas independente de página que você esteja visitando, você pode estar infectado.

2) Estas janelas são os anúncios do programa.

3) Não só fechá-la como também verificar se você possui um adware instalado no computador.

4) Talvez, não os vi ainda, mas a possibilidade de serem ruins são grandes. O net-offers.net está incluido na lista dos hosts do www.mvps.org:

http://www.mvps.org/winhelp2002/hosts.txt

Além do mais não consegui mais informações do site, apenas que ele está relacionado ao HotBar. Whois:

http://www.dnsstuff.com/tools/whois.ch?ip=net-offers.net

Compartilhar este post


Link para o post
Compartilhar em outros sites

O meu Windows Defender já apontou que o meu PC estava infectado 41 vezes, contra 6 vezes do avast!.

Ao encontrar um arquivo infectado, esses programas faziam o seguinte:

avast!: Aparece uma janela com o título "Vírus encontrado". A recomendação é enviar o arquivo p/ a quarentena. Depois de um tempo, é recomendado usar o avast! Cleaner para reparar os vírus e mandar os arquivos de volta ao local original.

Defender: Aparece um balão com o título "Harmful software detected". A recomendação é eliminar os arquivos do sistema. Os arquivos eliminados são mostrados no histórico. Assim como o avast!, o Defender possui quarentena e também uma seção chamada "Allowed items".

Que seção é essa?

Voltando aos avisos do Defender, o Histórico aponta o seguinte:

High Risk: 8 acusações.

Medium Risk: 6 acusações.

Low Risk: Nenhuma acusação.

Unknown Risk: 27 acusações.

10 adwares foram encontrados.

Juntando com os dados do avast!, seriam 15 adwares encontrados, 1 trojan e 31 desconhecidos.

Esses dados são ruins?

Como posso evitar mais avisos como estes?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante

Pelo que o Jonatan_7 disse o Windows defender parece ser melhor do que o avast. Fora que até hoje ainda não consegui remover um vírus do meu pc (Win32: Tenga). Certos vírus não saem de jeito nenhum...

Alguém sabe um site seguro para baixar o Windows Defender? :-BEER

Compartilhar este post


Link para o post
Compartilhar em outros sites
Alguém sabe um site seguro para baixar o Windows Defender?

O Windows Defender pode ser baixado pelo site da própria Microsoft.

Ver mais sobre o Windows Defender

Baixar o Windows Defender

A Microsoft oferece o Defender com os novos computadores (Windows Vista).

Só para comparar, um PC XP e um PC Vista possuem, geralmente:

Um computador Windows XP vem com antivírus, Adobe Acrobat, Windows Media 10, Internet Explorer 6, MS Office 2003 ou equivalente.

Um computador Windows Vista vem com antivírus, Adobe Acrobat, Windows Media 11, Internet Explorer 7, MS Office 2007 ou equivalente, Windows Defender e outros.

Aqui, uma imagem do Windows Defender.

Obs.: O Windows Defender só está disponível em inglês.

Fora que até hoje ainda não consegui remover um vírus do meu pc (Win32: Tenga).

O avast! pode encontrar e reparar o Win32:Tenga. (Eu já conferi no banco de dados de vírus.)

O Win32:Tenga está classificado como vírus de grande disseminação que ataca arquivos .exe.

Mudando de assunto

Um programa chamado WindowBlinds serve para alterar o tema do desktop.

Mas quando eu vou abri-lo, aparece uma janela dizendo:

This machine MUST be rebooted after installing this version of WB5.

Please select one of the buttons below.

Reboot Now I'll reboot later

Mesmo reiniciando o PC, quando eu abro o WindowBlinds, aparece a janela novamente.

Será que é vírus ou spy?

Como eu resolvo isso?

...

E tem mais uma coisa:

A agulha do HD está fazendo um barulho como se estivesse "riscando" o HD.

Por que isso está acontecendo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi o meu PC está com um vírus que o AVG 7.1 não consegue desinfectar o nome é ADWARE GENERIC mas tipo ele tem várias extençoes, queria sabe com que é e o que afeta se eu excluir esses virus, detalhe tem 37 desse mesmo adwaregeneric.

Grato

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante

Caro Jonatan_7, o Avast não remove o vírus Win32: Tenga....ele apenas finge que remove ou repara. Passei o Avast no meu pc. Ele detectou e "deletou" tudo quanto era vírus....mas é só colocar um arquivo .exe no pc que ele é corrompido poucos minutos depois. :muro: Eu achava o Avast perfeito, até eu pegar esse vírus....não sai de jeito nenhum pelo Avast....

Win32: Tenga Alguém me ajude!!!! Valeu aí... :-BEER

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×