29/01/2004 16h35
Saiba como se livrar do MyDoom
Da Redação
Em São Paulo
O MyDoom, ou Novarg, ou Shimgapi, é um vírus do tipo worm que se auto-envia por email a todos os endereços encontrados na máquina infectada. Com esse mecanismo, ele aumenta o tráfego da rede corporativa e da Internet, tornando ambas lentas. Além disso, o vírus abre uma porta do computador para hackers. Ele se dissemina por e-mail e por arquivos compartilhados em redes P2P (peer-to-peer), como o KaZaA.
As principais fabricantes de antivírus já possuem vacinas para o novo vírus. Para se proteger, basta atualizar seu antivírus via Internet.
Caso você tenha sido infectado e seu antivírus não consiga remover a praga, é necessário mexer no registro do Windows. Veja como:
Características da mensagem e do vírus:
Assunto: (Aleatório)
Corpo da Mensagem: (Pode variar)
A mensagem não pode ser representada em código 7-bit ASCII e está sendo enviada em binário (anexo).
Anexo: (variado - chega em um arquivo .ZIP com o tamanho de 22,528 bytes)
O ícone usado pelo anexo faz com que o mesmo pareça ser um arquivo texto. Quando esse é executado, ele se copia para o sistema local com os seguintes nomes:
C:\Program Files\KaZaA\My Shared Folder\activation_crack.scr
C:\WINDOWS\Desktop\Document.scr
C:\WINDOWS\SYSTEM\taskmon.exe
O Mydoom também usa uma DLL que cria o seguinte arquivo no diretório System do Windows:
c:\WINDOWS\SYSTEM\shimgapi.dll (4,096 bytes)
Finalmente ele cria a seguinte chave de registro para que tenha seus códigos carregados na inicialização da máquina:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_CurrentVersion\
Run "TaskMon" = %SysDir%\taskmon.exe
Instruções de remoção:
- Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
- Digite regedit e clique em OK. (O Editor do Registro será aberto).
- Navegue até a seguinte chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
No painel direito, exclua o valor:
"Taskmon"="%System%\taskmon.exe"
Navegue até a seguinte chave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte chave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Apague-a.
Navegue até a seguinte chave:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
No painel direito, modifique o valor como abaixo:
"(Default)"="%System%\webcheck.dll"
Saia do Editor do registro e reinicie o computador. Passe o antivírus novamente para se certificar de que o micro não está mais infectado.
OBSERVAÇÃO: O Windows Me tem um sistema de backup automático das configurações do sistema. Antes de iniciar os procedimentos de remoção do vírus, é necessário desligar o backup.
Saiba mais:
UOL monta barreira contra vírus MyDoom
Saiba como se livrar do MyDoom
Prejuízos com o MyDoom já chegam a US$ 3 bilhões
Não precisa clicar no anexo para pegar Mydoom-B
Especialistas e FBI se mobilizam para controlar o MyDoom
Variante do vírus Mydoom preocupa peritos
Variante do MyDoom poder ser ainda mais perigoso
Mydoom-B barra acesso a downloads de segurança
Novo Mydoom agora quer derrubar a Microsoft
MyDoom passa o Sobig.F e é o pior vírus da história
SCO oferece US$ 250 mil por autor do MyDoom
Vírus MyDoom se espalha pela Web; veja como se livrar da praga
Praga MyDoom pode ser arma do mundo Linux contra a SCO
Vírus MyDoom se espalha rapidamente pela Internet
|
|
|
