Trojan.Desktophijack.B

1. Cria os seguintes arquivos:
   
   • %System%\w8673492.exe (Uma cópia do W32.Desktophijack)
   • %System%\oleadm.dll
   • %System%\oleadm32.dll (detectado como W32.Desktophijack)
   • %System%\wp.bmp
   • %Temp%\Terms!.txt
     
     
2. Executa o %System%\w8673462.exe.
   
   
3. Adiciona o valor:
   
   "[Valor Aleatório]" = "[Caminho do Cavalo de tróia]"
   
   à subchave de registro:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   para que a ameaça seja iniciada quando da inicialização do Windows.
   
   
4. Cria a seguinte subchave de registro para fazer uma cópia das configurações da Área de Trabalho:
   
   HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
   
   
5. Adiciona os valores:
   
   "Background" = "0 0 0"
   "WallpaperStyle" = "0"  
   
   à subchave:
   
   HKEY_CURRENT_USER\Control Panel\Colors
   
   para alterar o papel de parede da Área de Trabalho.
   
   
6. Adiciona os valores:
   
   "NoDispBackgroundPage" = "1"
   "NoDispAppearancePage" = "1"
   
   à subchave:
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\System
   
   para alterar o papel de parede da Área de Trabalho.
   
   
7. Adiciona o valor:
   
   "NoActiveDesktopChanges" = "1"
   
   à subchave:
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\Explorer
   
   
8. Altera o papel de parede da Área de Trabalho para um plano de fundo azul com o seguinte texto:
   
   Warning! (Atenção!)
   Your computer is infected! (Seu computador está infectado!)
   
   
9. Tenta fazer o download de um upgrade para si mesmo a partir de [http://]206.161.200.34/[REMOVED]/PSGuardInstall.exe.

Recomendações

O Symantec Security Response incentiva todos os usuários e administradores a adotarem as "melhores práticas" de segurança básica a seguir:

• Desativar e remover os serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são essenciais, como um servidor de FTP, telnet e um servidor da Web. Esses serviços são verdadeiras vias de ataque. Se eles forem removidos, as ameaças combinadas terão menos vias de ataque e você terá menos serviços para atualizar através de patches.
• Se uma ameaça combinada explorar um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
• Mantenha sempre seus níveis de patch atualizados, especialmente em computadores que hospedam serviços públicos e que podem ser acessados através do firewall, como serviços de HTTP, FTP, correio e DNS (por exemplo, todos os computadores baseados em Windows devem ter o Service Pack atual instalado).. Além disso, aplique todas as atualizações de segurança mencionadas neste relatório, em boletins de segurança confiáveis ou em websites de fornecedores.
• Adote uma política de senha. As senhas complexas dificultam a quebra dos arquivos de senha em computadores comprometidos. Isso contribui para evitar ou limitar os danos quando um computador está comprometido.
• Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivos geralmente usados para espalhar vírus, como .vbs, .bat, .exe, .pif e .scr.
• Isole os computadores infectados rapidamente para impedir que sua empresa fique ainda mais comprometida. Faça uma análise posterior e restaure os computadores usando meios confiáveis.
• Treine os funcionários para não abrir anexos, a menos que os estejam esperando. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode causar infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.