Worm Scvhost
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Worm Scvhost as PDF for free.
More details
- Words: 724
- Pages: 2
Worm SCVHOST.EXE Seg, 23.03.2009 01:11 vovó Vicki Segurança - Eliminando pragas
Avaliação:
/1 Dê sua nota
Pior
vote
com_content
Melhor
1075
http://w w w .numa
O pessoal que bolou este worm foi realmente sacana: deu-lhe um nome muito parecido com um executável do windows, só para confundir. O executável que o windows utiliza chama-se SVCHOST.EXE e está no diretório /windows/system32. Olhe só a treta, trocaram SVC por SCV!
O que é o SCVHOST.EXE Em alguns anti-vírus ele é detectado como W32/YahLover.Worm.gen (McAfee), em outros como Win32/Autorun.R.worm (NOD32). No meu (uso o ClamWin) ele foi denominado de Trojan.Agent-87054. Este worm é instalado no seu PC usando um arquivo autorun.inf contaminado, que possui um script que dispara a execução do SCVHOST.EXE. Ao ser executado, o worm se espalha por todo o sistema. Este tipo de arquivo costuma estar em discos removíveis para conferir-lhes a capacidade de autoplay, ou seja, assim que a gaveta for fechada o disco é acionado e roda o que estiver no script. Se for um script limpo, tudo bem; se for um script malicioso, o estrago estará feito em alguns segundos. O pior da história é que, se você estiver numa rede, o worm sai varrendo a rede contaminando o que encontrar pela frente. Como hoje em dia é comum ter redes domésticas, a encrenca pode ser séria.
Os sintomas •
Quando se usa Ctrl+Alt+Del, ele impede que o Gerenciador de Tarefas seja acionado (é uma tentativa de escondê-lo, pois ele apareceria na aba de Tarefas).
•
Ele bloqueia o Editor de Registro (para impedir que se elimine as entradas e as alterações no registro do windows).
•
Quando se tenta acionar o comando CMD, o computador é reinicializado.
•
As pastas compartilhadas vão replicar o worm em vários pontos. O worm duplicado usa um ícone de PASTA com uma extensão .exe.
•
Se você tiver o Yahoo Messenger, suas configurações foram modificadas.
Remoção manual do worm 1. Reinicie seu computador, digite F8 e selecione o Modo Seguro. 2. Faça login como Administrador. 3. Digite cd C:\windows\system32 (o caminho para esta pasta depende de como
seu windows foi instalado). 4. Digite /ah para mostrar todos os arquivos ocultos desta pasta. Você deve
encontrar os arquivos que são usados pelo worm para se disseminar: AUTORUN.INI, BLASTCLNNN.EXE e SCVHOST.EXE.
5. Digite ATTRIB -H -R -S SCVHOST.EXE 6. Digite ATTRIB -H -R -S BLASTCLNNN.EXE 7. Digite ATTRIB -H -R -S AUTORUN.INI
8. Digite DEL SCVHOST.EXE 9. Digite DEL BLASTCLNNN.EXE 10. Digite DEL AUTORUN.INI
11. Digite CD\ 12. Digite ATTRIB -H -R -S AUTORUN.INF 13. Digite DEL AUTORUN.INF
14. Reinicie seu PC. Estamos quase chegando lá. Quando a máquina estiver pronta, clique em Iniciar / Executar e digite REGEDIT. Agora será preciso fazer uma limpeza no registro do windows. Tome muito cuidado para não fazer trapalhada. O melhor é fazer um backup do registro antes de fazer as alterações, assim, caso alguma coisa dê errado, ainda tem como recuperar o registro e botar a máquina para funcionar novamente. Procure pela chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Se você encontrar uma entrada de nome Yahoo! Messengger (está escrito errado mesmo! o autor do worm, além de malicioso, é um panaca que não sabe escrever inglês) ou SCVHOST, delete-a. Procure pela chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Na entrada chamada SHELL, os dados são Explorer.exe,SCVHOST.EXE. Edite este valor e delete apenas SCVHOST.EXE. Os dados precisa ser apenas Explorer.exe. Taí, o SCVHOST.EXE já era
A minha história O worm se instalou na minha máquina a partir de um software que instalei. Busquei este soft na Internet e, por falta de cuidado, não passei o pacote pelo anti-vírus. É a velha história, bobeou... se ferrou. Só fui descobrir o estrago depois do anti-vírus ter escaneado todo o sistema (costumo deixar o anti-vírus rastreando durante a madrugada). Tive mais sorte do que juízo: o fornecedor do software infectado não soube fazer o serviço e apenas uma parte dos arquivos foi instalada. Como o worm estava capenga, não precisei entrar no Modo Seguro - bastou deletar os arquivos (não tinha os autorun) para me livrar da praga. Só que tem um detalhe. Analisando a data e hora dos arquivos que deviam ser eliminados, resolvi dar uma busca e encontrei mais duas gracinhas que vieram de brinde: BASSMOD. DLL e NTDETECT.dll. Dê uma olhada no diretório do windows e no windows/system32. Se achar estes malwares, aproveite e jogue-os no lixo.
Avaliação:
/1 Dê sua nota
Pior
vote
com_content
Melhor
1075
http://w w w .numa
O pessoal que bolou este worm foi realmente sacana: deu-lhe um nome muito parecido com um executável do windows, só para confundir. O executável que o windows utiliza chama-se SVCHOST.EXE e está no diretório /windows/system32. Olhe só a treta, trocaram SVC por SCV!
O que é o SCVHOST.EXE Em alguns anti-vírus ele é detectado como W32/YahLover.Worm.gen (McAfee), em outros como Win32/Autorun.R.worm (NOD32). No meu (uso o ClamWin) ele foi denominado de Trojan.Agent-87054. Este worm é instalado no seu PC usando um arquivo autorun.inf contaminado, que possui um script que dispara a execução do SCVHOST.EXE. Ao ser executado, o worm se espalha por todo o sistema. Este tipo de arquivo costuma estar em discos removíveis para conferir-lhes a capacidade de autoplay, ou seja, assim que a gaveta for fechada o disco é acionado e roda o que estiver no script. Se for um script limpo, tudo bem; se for um script malicioso, o estrago estará feito em alguns segundos. O pior da história é que, se você estiver numa rede, o worm sai varrendo a rede contaminando o que encontrar pela frente. Como hoje em dia é comum ter redes domésticas, a encrenca pode ser séria.
Os sintomas •
Quando se usa Ctrl+Alt+Del, ele impede que o Gerenciador de Tarefas seja acionado (é uma tentativa de escondê-lo, pois ele apareceria na aba de Tarefas).
•
Ele bloqueia o Editor de Registro (para impedir que se elimine as entradas e as alterações no registro do windows).
•
Quando se tenta acionar o comando CMD, o computador é reinicializado.
•
As pastas compartilhadas vão replicar o worm em vários pontos. O worm duplicado usa um ícone de PASTA com uma extensão .exe.
•
Se você tiver o Yahoo Messenger, suas configurações foram modificadas.
Remoção manual do worm 1. Reinicie seu computador, digite F8 e selecione o Modo Seguro. 2. Faça login como Administrador. 3. Digite cd C:\windows\system32 (o caminho para esta pasta depende de como
seu windows foi instalado). 4. Digite /ah para mostrar todos os arquivos ocultos desta pasta. Você deve
encontrar os arquivos que são usados pelo worm para se disseminar: AUTORUN.INI, BLASTCLNNN.EXE e SCVHOST.EXE.
5. Digite ATTRIB -H -R -S SCVHOST.EXE 6. Digite ATTRIB -H -R -S BLASTCLNNN.EXE 7. Digite ATTRIB -H -R -S AUTORUN.INI
8. Digite DEL SCVHOST.EXE 9. Digite DEL BLASTCLNNN.EXE 10. Digite DEL AUTORUN.INI
11. Digite CD\ 12. Digite ATTRIB -H -R -S AUTORUN.INF 13. Digite DEL AUTORUN.INF
14. Reinicie seu PC. Estamos quase chegando lá. Quando a máquina estiver pronta, clique em Iniciar / Executar e digite REGEDIT. Agora será preciso fazer uma limpeza no registro do windows. Tome muito cuidado para não fazer trapalhada. O melhor é fazer um backup do registro antes de fazer as alterações, assim, caso alguma coisa dê errado, ainda tem como recuperar o registro e botar a máquina para funcionar novamente. Procure pela chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Se você encontrar uma entrada de nome Yahoo! Messengger (está escrito errado mesmo! o autor do worm, além de malicioso, é um panaca que não sabe escrever inglês) ou SCVHOST, delete-a. Procure pela chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Na entrada chamada SHELL, os dados são Explorer.exe,SCVHOST.EXE. Edite este valor e delete apenas SCVHOST.EXE. Os dados precisa ser apenas Explorer.exe. Taí, o SCVHOST.EXE já era
A minha história O worm se instalou na minha máquina a partir de um software que instalei. Busquei este soft na Internet e, por falta de cuidado, não passei o pacote pelo anti-vírus. É a velha história, bobeou... se ferrou. Só fui descobrir o estrago depois do anti-vírus ter escaneado todo o sistema (costumo deixar o anti-vírus rastreando durante a madrugada). Tive mais sorte do que juízo: o fornecedor do software infectado não soube fazer o serviço e apenas uma parte dos arquivos foi instalada. Como o worm estava capenga, não precisei entrar no Modo Seguro - bastou deletar os arquivos (não tinha os autorun) para me livrar da praga. Só que tem um detalhe. Analisando a data e hora dos arquivos que deviam ser eliminados, resolvi dar uma busca e encontrei mais duas gracinhas que vieram de brinde: BASSMOD. DLL e NTDETECT.dll. Dê uma olhada no diretório do windows e no windows/system32. Se achar estes malwares, aproveite e jogue-os no lixo.
Related Documents
Worm Scvhost
May 2020 4
Worm
June 2020 20
Worm
April 2020 25
Worm-drives.pdf
November 2019 17
Worm Propogation
May 2020 21