E quem já não foi um dia? (quando a vida era mansa e mamãe pagava tudo...)

terça-feira, 22 de setembro de 2009

Virus Jornal de Brasilia e Clica Brasilia

Ao Acessar o site do Jornal de Brasília ou Clica Brasília, aparece uma mensagem do JAVA, dizendo que vai atualizar a versão e instalar um complemento.

Você não presta atenção, confia no site e POW! Infectado.

Esta praga é complicada, difícil de remover. Rodei vários programas, dentre eles o Symantec Corporate Antivirus, Ad-Aware, Malware Bytes Antimalware, Super antiSpyware, Windows Defender, Microsoft Virus Removal Tool e outro que não me recordo, pois já removi.

No gerenciador de tarefas, encontrei o Infosys32.exe (maldito!) e alguns fáceis e detectáveis javaxxx.exe (xxx são números aleatorios).

Parei os processos, fui ao WINDOWS\SYSTEM32 e removi os executáveis.

Recomendo que façam isto no modo de segurança, pois eles conseguem se bloquear quando querem.

O mais interessante é que, logo após o boot, voltou a praga toda! Perdi minha conexao com a internet, o MSN não presta e etc.

Como já sou surrado, fui olhar as configurações de conxão, para conferir se meu proxy estava corretamente configurado. TCHARAM!

O safado do trojan muda o endereço e manda seu browser buscar um script de configuração automática no endereço http://69.65.53.244/MicrosoftSecurityBrowser.bin conforme exibo abaixo:


A imagem acima é a praga modificando o Internet Explorer.




Já nesta imagem acima, vemos que ele também ataca o Firefox! Safadinho, hein!

Removi os atalhos e executáveis que ele chamava do registro (não me recordo, desculpem) e agora vou pra mais um boot, em modo de segurança para testar se funciona a remoção.

Oremos.

================
Atualizado - REMOVIDO!!!
================

Removi o maldito.

Um scan completo com o Ad-Aware + limpeza manual do registro finalizou o problema.
Entrei em modo de segurança e fiz o procedimento.

Uma coisa importante é ir no registro e procurar por 69.65.53.244 ou MicrosoftSecurityBrowser e excluir a chave, pois é ela que força o browser a se conectar ao endereço maldito do vírus .bin
Atentar-se também para o fato que ele remove suas permissões locais. Deve ir no painel de controle, contas de usuário e restaurar a permissão de administrador do seu usuário (meu caso).

Espero ajudar algumas pessoas que vão sofrer com isto também, hehe.

Marcadores: , , , , ,

postado por Vitor Hugo Discodancer às 11:51 AM | 3 Comentários