A mensagem enviada pelo worm é a seguinte:
Da uma olhada nesse link é um video do sapo motoqueiro, é muito legal.
http://[removido]/sapo_motoqueiro.cmd
Confirmamos também outra variante do vírus que utiliza uma mensagem falando de um vídeo do Michael Jackson:
Olha q video doido. é um video das mil e uma faces do Michael Jackson http://[removido]/michael_jackson.cmd
A tática de enganação usada pelo worm é levada um passo adiante quando o vídeo do Crazy Frog (ou do Michael Jackson) é realmente exibido após a sua execução. O worm carrega uma animação do site VideosLegais.com.br e a exibe no sistema do usuário, enquanto a praga termina de se instalar no sistema. Note que o vídeo do site está limpo — o worm só carrega o vídeo para que o usuário pense que realmente baixou o vídeo e não um vírus.
É interessante também notar que o worm utiliza a extensão .cmd para se espalhar que, apesar de ser tratada com uma extensão executável qualquer, é raramente utilizada para isso.
Após instalada, a praga envia a mensagem espalhando o vírus quando o usuário abrir uma janela de contato no MSN. O usuário pode claramente ver que a mensagem foi enviada, o que significa que a tática de enganação do worm se torna inútil.
Além de espalhar, a praga é um clássico trojan “Banker”, pois monitora o título da janela do Internet Explorer e, caso a mesma possua certas palavras relacionadas à sites de bancos, o worm inicia um outro programa, que por sua vez configura um terceiro, que fica encarregado de roubar as senhas do usuário que utilizar os serviços de Internet Banking.
Ferramenta de Remoção
A Linha Defensiva está disponibilizando uma ferramenta de remoção para o worm, que pode ser baixada em:
http://linhadefensiva.uol.com.br/dl/msn-sapo
Apenas rode a ferramenta e confirme sua execução. Ela deverá remover o worm com sucesso.
FAQ
O vídeo está com vírus?
Não, o vídeo é apenas carregado pelo vírus para enganar o usuário e fazê-lo pensar que o arquivo era realmente um vídeo e não um vírus. O vídeo original está limpo e não possui qualquer código malicioso.
A ferramente serve para a versão Michael Jackson do vírus?
Sim, o vírus é exatamente o mesmo. Apenas a mensagem foi modificada.
Como sei que estou infectado? Como sei se a ferramenta funcionou?
Configure o Windows para ver todos os arquivos. Depois procure pela existência dos seguintes arquivos:
C:\WINDOWS\system\taskmam.exe (não confunda com o taskman.exe)
C:\WINDOWS\system\msnmsgr.cmd
Se existir um desses arquivos, você está infectado.
Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.
Ele rouba senhas de MSN?
Para evitar surpresas, recomendamos que troque a sua senha de MSN depois de ser infectado. Em nossos testes, no entanto, não confirmamos o roubo da senha do MSN.
Como faço para não me infectar?
Você apenas será infectado caso clique no link. Para não se infectar, basta não clicar no link. O worm não explora nenhum tipo de falha no MSN Messenger.
A ferramenta de remoção diz que ocorreu um erro (Não consigo remover o vírus)
Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague os dois arquivos mencionados acima. O computador será desinfectado por completo.
Se ainda tiver problemas, a Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Você pode saber como utilizá-lo nessa página. Não peça ajuda nos comentários.
Importante
Se você tem problemas para iniciar o computador no Modo de Segurança, veja o documento da Symantec para usar o MSConfig. Se você ainda tem problemas, consulte o nosso fórum de acordo com essas instruções.
