Segurança
Worm SCVHOST.EXE
Seg 23 Mar 2009 01:11 |
- Detalhes
- Categoria: Eliminando pragas
- Atualização: Segunda, 23 Março 2009 03:05
- Autor: vovó Vicki
- Acessos: 5761
O pessoal que bolou este worm foi realmente sacana: deu-lhe um nome muito parecido com um executável do windows, só para confundir.
O executável que o windows utiliza chama-se SVCHOST.EXE e está no diretório /windows/system32. Olhe só a treta, trocaram SVC por SCV!
O que é o SCVHOST.EXE
Em alguns anti-vírus ele é detectado como W32/YahLover.Worm.gen (McAfee), em outros como Win32/Autorun.R.worm (NOD32). No meu (uso o ClamWin) ele foi denominado de Trojan.Agent-87054.
Este worm é instalado no seu PC usando um arquivo autorun.inf contaminado, que possui um script que dispara a execução do SCVHOST.EXE. Ao ser executado, o worm se espalha por todo o sistema. Este tipo de arquivo costuma estar em discos removíveis para conferir-lhes a capacidade de autoplay, ou seja, assim que a gaveta for fechada o disco é acionado e roda o que estiver no script. Se for um script limpo, tudo bem; se for um script malicioso, o estrago estará feito em alguns segundos. O pior da história é que, se você estiver numa rede, o worm sai varrendo a rede contaminando o que encontrar pela frente. Como hoje em dia é comum ter redes domésticas, a encrenca pode ser séria.
Os sintomas
- Quando se usa Ctrl+Alt+Del, ele impede que o Gerenciador de Tarefas seja acionado (é uma tentativa de escondê-lo, pois ele apareceria na aba de Tarefas).
- Ele bloqueia o Editor de Registro (para impedir que se elimine as entradas e as alterações no registro do windows).
- Quando se tenta acionar o comando CMD, o computador é reinicializado.
- As pastas compartilhadas vão replicar o worm em vários pontos. O worm duplicado usa um ícone de PASTA com uma extensão .exe.
- Se você tiver o Yahoo Messenger, suas configurações foram modificadas.
Remoção manual do worm
- Reinicie seu computador, digite F8 e selecione o Modo Seguro.
- Faça login como Administrador.
- Digite cd C:\windows\system32 (o caminho para esta pasta depende de como seu windows foi instalado).
- Digite /ah para mostrar todos os arquivos ocultos desta pasta. Você deve encontrar os arquivos que são usados pelo worm para se disseminar: AUTORUN.INI, BLASTCLNNN.EXE e SCVHOST.EXE.
- Digite ATTRIB -H -R -S SCVHOST.EXE
- Digite ATTRIB -H -R -S BLASTCLNNN.EXE
- Digite ATTRIB -H -R -S AUTORUN.INI
- Digite DEL SCVHOST.EXE
- Digite DEL BLASTCLNNN.EXE
- Digite DEL AUTORUN.INI
- Digite CD\
- Digite ATTRIB -H -R -S AUTORUN.INF
- Digite DEL AUTORUN.INF
- Reinicie seu PC.
Estamos quase chegando lá. Quando a máquina estiver pronta, clique em Iniciar / Executar e digite REGEDIT. Agora será preciso fazer uma limpeza no registro do windows. Tome muito cuidado para não fazer trapalhada. O melhor é fazer um backup do registro antes de fazer as alterações, assim, caso alguma coisa dê errado, ainda tem como recuperar o registro e botar a máquina para funcionar novamente.
Procure pela chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Se você encontrar uma entrada de nome Yahoo! Messengger (está escrito errado mesmo! o autor do worm, além de malicioso, é um panaca que não sabe escrever inglês) ou SCVHOST, delete-a.
Procure pela chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Na entrada chamada SHELL, os dados são Explorer.exe,SCVHOST.EXE. Edite este valor e delete apenas SCVHOST.EXE. Os dados precisa ser apenas Explorer.exe.
Taí, o SCVHOST.EXE já era
A minha história
O worm se instalou na minha máquina a partir de um software que instalei. Busquei este soft na Internet e, por falta de cuidado, não passei o pacote pelo anti-vírus. É a velha história, bobeou... se ferrou. Só fui descobrir o estrago depois do anti-vírus ter escaneado todo o sistema (costumo deixar o anti-vírus rastreando durante a madrugada).
Tive mais sorte do que juízo: o fornecedor do software infectado não soube fazer o serviço e apenas uma parte dos arquivos foi instalada. Como o worm estava capenga, não precisei entrar no Modo Seguro - bastou deletar os arquivos (não tinha os autorun) para me livrar da praga. Só que tem um detalhe. Analisando a data e hora dos arquivos que deviam ser eliminados, resolvi dar uma busca e encontrei mais duas gracinhas que vieram de brinde: BASSMOD.dll e NTDETECT.dll. Dê uma olhada no diretório do windows e no windows/system32. Se achar estes malwares, aproveite e jogue-os no lixo.