Trojan.Desktophijack.C

1. Cria os seguintes arquivos:
   
   
   • %System%\intell32.exe (Um componente do Trojan.Desktophijack.C)
   • %System%\oleext.dll (Um componente do Trojan.Desktophijack.C)
   • %System%\oleext32.dll (Uma cópia do wininet.dll infectada com o W32.Desktophijack)
   • %System%\wppp.html (Um componente do Trojan.Desktophijack.C)
   • %Windir%\uninstIU.exe (Trojan.Desktophijack.B)
     
     Nota:
   • %System% é uma variável que se refere à pasta System. Por padrão, ela é C:\Windows\System (no Windows 95/98/Me), C:\Winnt\System32 (no Windows NT/2000) ou C:\Windows\System32 (no Windows XP).
   • %Windir% é uma variável que se refere à pasta de instalação do Windows. Por padrão, é C:\Windows (no Windows 95/98/Me/XP) ou C:\Winnt (no Windows NT/2000).
     
     
2. Adiciona o valor:
   
   "intell32.exe" = "%System%\intell32.exe"
   
   à subchave de registro:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
   
   para ser executado sempre que o Windows for iniciado.
   
   
3. Cria as seguintes subchaves de registro:
   
   HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update
   
   
4. Altera o valor:
   
   "Background" = "0 0 0"
   
   na subchave de registro:
   
   HKEY_CURRENT_USER\Control Panel\Colors
   
   para alterar a cor do plano de fundo da Área de Trabalho.
   
   
5. Altera o valor:
   
   "NoActiveDesktopChanges" = "1"
   
   na subchave de registro:
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   
   
6. Adiciona os valores:
   
   "WallpaperStyle" = "0"
   "Wallpaper" = "%SystemRoot%\%System%\wppp.html"
   
   à subchave de registro:
   
   HKEY_CURRENT_USER\Control Panel\Desktop
   
   para alterar o papel de parede da Área de Trabalho.
   
   
7. Adiciona os valores:
   
   "NoDispBackgroundPage" = "1"
   "NoDispAppearancePage" = "1"
   
   à subchave de registro:
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
   
   para alterar o papel de parede da Área de Trabalho.
   
   
8. Exibe o seguinte papel de parede da Área de Trabalho:
   
   
9. 
   
   Warning! (Atenção!)
   Your computer might be infected with spyware (Seu computador pode estar infectado com spyware ou adware !!!)
   
   Uma página inicial incomum, pop-ups, perda de dados importantes e funcionamento instável são os sintomas claros de que o computador está infectado.
   
   Clique aqui para obter o software mais recente de remoção de spyware
   
   
10. Coloca o seguinte ícone na bandeja do sistema:
    
    
    
    
11. Quando o ponteiro do mouse passa sobre o ícone, a seguinte mensagem é exibida:
    
    Your computer is infected. (Seu computador está infectado.)
    
    
12. Ao clicar duas vezes no ícone, ele abre a janela de um navegador utilizando a seguinte URL:
    
    [http://]www.psguard.com/[REMOVED]?aff=43&sub=0
    
    
13. Tenta fazer o download e executar o PSGuard a partir da seguinte URL:
    
    [http://]download.psguard.com/[REMOVED]/PSGuardInstall.exe
    
    
14. Tenta substituir o wininet.dll pela cópia infectada oleext32.dll após uma reinicialização.

Recomendações

O Symantec Security Response incentiva todos os usuários e administradores a adotarem as "melhores práticas" de segurança básica a seguir:

• Desativar e remover os serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são essenciais, como um servidor de FTP, telnet e um servidor da Web. Esses serviços são verdadeiras vias de ataque. Se eles forem removidos, as ameaças combinadas terão menos vias de ataque e você terá menos serviços para atualizar através de patches.
• Se uma ameaça combinada explorar um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
• Mantenha sempre seus níveis de patch atualizados, especialmente em computadores que hospedam serviços públicos e que podem ser acessados através do firewall, como serviços de HTTP, FTP, correio e DNS (por exemplo, todos os computadores baseados em Windows devem ter o Service Pack atual instalado).. Além disso, aplique todas as atualizações de segurança mencionadas neste relatório, em boletins de segurança confiáveis ou em websites de fornecedores.
• Adote uma política de senha. As senhas complexas dificultam a quebra dos arquivos de senha em computadores comprometidos. Isso contribui para evitar ou limitar os danos quando um computador está comprometido.
• Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivos geralmente usados para espalhar vírus, como .vbs, .bat, .exe, .pif e .scr.
• Isole os computadores infectados rapidamente para impedir que sua empresa fique ainda mais comprometida. Faça uma análise posterior e restaure os computadores usando meios confiáveis.
• Treine os funcionários para não abrir anexos, a menos que os estejam esperando. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode causar infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.