Worm SCVHOST.EXE Seg, 23.03.2009 01:11 vovó Vicki Segurança - Eliminando pragas
Avaliação:
/1 Dê sua nota
Pior
vote
com_content
Melhor
1075
http://w w w .numa
O pessoal que bolou este worm foi realmente sacana: deu-lhe um nome muito parecido com um executável do windows, só para confundir. O executável que o windows utiliza chama-se SVCHOST.EXE e está no diretório /windows/system32. Olhe só a treta, trocaram SVC por SCV!
O que é o SCVHOST.EXE Em alguns anti-vírus ele é detectado como W32/YahLover.Worm.gen (McAfee), em outros como Win32/Autorun.R.worm (NOD32). No meu (uso o ClamWin) ele foi denominado de Trojan.Agent-87054. Este worm é instalado no seu PC usando um arquivo autorun.inf contaminado, que possui um script que dispara a execução do SCVHOST.EXE. Ao ser executado, o worm se espalha por todo o sistema. Este tipo de arquivo costuma estar em discos removíveis para conferir-lhes a capacidade de autoplay, ou seja, assim que a gaveta for fechada o disco é acionado e roda o que estiver no script. Se for um script limpo, tudo bem; se for um script malicioso, o estrago estará feito em alguns segundos. O pior da história é que, se você estiver numa rede, o worm sai varrendo a rede contaminando o que encontrar pela frente. Como hoje em dia é comum ter redes domésticas, a encrenca pode ser séria.
Os sintomas •
Quando se usa Ctrl+Alt+Del, ele impede que o Gerenciador de Tarefas seja acionado (é uma tentativa de escondê-lo, pois ele apareceria na aba de Tarefas).
•
Ele bloqueia o Editor de Registro (para impedir que se elimine as entradas e as alterações no registro do windows).
•
Quando se tenta acionar o comando CMD, o computador é reinicializado.
•
As pastas compartilhadas vão replicar o worm em vários pontos. O worm duplicado usa um ícone de PASTA com uma extensão .exe.
•
Se você tiver o Yahoo Messenger, suas configurações foram modificadas.
Remoção manual do worm 1. Reinicie seu computador, digite F8 e selecione o Modo Seguro. 2. Faça login como Administrador. 3. Digite cd C:\windows\system32 (o caminho para esta pasta depende de como
seu windows foi instalado). 4. Digite /ah para mostrar todos os arquivos ocultos desta pasta. Você deve
encontrar os arquivos que são usados pelo worm para se disseminar: AUTORUN.INI, BLASTCLNNN.EXE e SCVHOST.EXE.
5. Digite ATTRIB -H -R -S SCVHOST.EXE 6. Digite ATTRIB -H -R -S BLASTCLNNN.EXE 7. Digite ATTRIB -H -R -S AUTORUN.INI
8. Digite DEL SCVHOST.EXE 9. Digite DEL BLASTCLNNN.EXE 10. Digite DEL AUTORUN.INI
11. Digite CD\ 12. Digite ATTRIB -H -R -S AUTORUN.INF 13. Digite DEL AUTORUN.INF
14. Reinicie seu PC. Estamos quase chegando lá. Quando a máquina estiver pronta, clique em Iniciar / Executar e digite REGEDIT. Agora será preciso fazer uma limpeza no registro do windows. Tome muito cuidado para não fazer trapalhada. O melhor é fazer um backup do registro antes de fazer as alterações, assim, caso alguma coisa dê errado, ainda tem como recuperar o registro e botar a máquina para funcionar novamente. Procure pela chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Se você encontrar uma entrada de nome Yahoo! Messengger (está escrito errado mesmo! o autor do worm, além de malicioso, é um panaca que não sabe escrever inglês) ou SCVHOST, delete-a. Procure pela chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Na entrada chamada SHELL, os dados são Explorer.exe,SCVHOST.EXE. Edite este valor e delete apenas SCVHOST.EXE. Os dados precisa ser apenas Explorer.exe. Taí, o SCVHOST.EXE já era
A minha história O worm se instalou na minha máquina a partir de um software que instalei. Busquei este soft na Internet e, por falta de cuidado, não passei o pacote pelo anti-vírus. É a velha história, bobeou... se ferrou. Só fui descobrir o estrago depois do anti-vírus ter escaneado todo o sistema (costumo deixar o anti-vírus rastreando durante a madrugada). Tive mais sorte do que juízo: o fornecedor do software infectado não soube fazer o serviço e apenas uma parte dos arquivos foi instalada. Como o worm estava capenga, não precisei entrar no Modo Seguro - bastou deletar os arquivos (não tinha os autorun) para me livrar da praga. Só que tem um detalhe. Analisando a data e hora dos arquivos que deviam ser eliminados, resolvi dar uma busca e encontrei mais duas gracinhas que vieram de brinde: BASSMOD. DLL e NTDETECT.dll. Dê uma olhada no diretório do windows e no windows/system32. Se achar estes malwares, aproveite e jogue-os no lixo.