Atualizado: February 13, 2007 11:39:42 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: Low
Nomes de arquivos: upmod.dll udpmod-1.dll questmod.dll questmod-1.dll tl7000.dll
Sistemas afetados: Windows

Comportamento


O Adware.Sa é um Browser Helper Object (BHO) que altera as configurações das URLs e pode enviar informações sobre o sistema. Também pode discar um número telefônico de alto custo utilizando conexões via modem.

Nota : as detecções com data de 1º de abril de 2005 ou anteriores podem detectar esse adware como Adware.SurfAssistant.

Sintomas


Um ou mais arquivos são detectados como Adware.Sa.

Transmissão


O Adware.Sa é instalado manualmente.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release May 07, 2018 revisão 034
  • Versão inicial diária certificada November 29, 2004
  • Última versão diária certificada May 08, 2018 revisão 023
  • Data da versão inicial semanal certificada December 01, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:39:42 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: Low
Nomes de arquivos: upmod.dll udpmod-1.dll questmod.dll questmod-1.dll tl7000.dll
Sistemas afetados: Windows


O Adware.Sa é um BHO que tenta conectar-se à um website específico quando uma URL termina com .com, .co.uk ou .biz e quando arquivos .txt são visualizados no Internet Explorer. Também pode discar um número telefônico de alto custo utilizando conexões abertas via modem.

Quando o Adware.Sa é ativado, ele executa as seguintes ações:

  1. Cria o mutex "M99Stub" de forma que somente uma cópia do adware seja executada de cada vez.

  2. Tenta conectar-se aos seguintes domínios:

    • sa-001.com, sa-002.com
    • sa-001.biz, sa-002.biz
    • sa-001.co.uk, sa-003.co.uk
    • dd.tibsystems.com

      Nota: a URL pode variar de sistema para sistema. Há registros de que a URL é semelhante a:
      [domínio]/sa/?a=[CLSID aleatório]&b=14&c=0&d=1&e=0&f=0&g=5.1&h=3&i=e0010000&j=<system-time>&k=15

  3. Adiciona alguns dos seguintes arquivos:

    • %Windir%\questmod.dll
    • %Windir%\questmod-1.dll
    • %Windir%\upmod.dll
    • %Windir%\upmod-1.dll
    • %Windir%\sasent.dll
    • %Windir%\Downloaded Program Files\tl7000.dll

      Nota: %Windir% é uma variável que refere-se a pasta de instalação do Windows. Por padrão é C:\Windows ou C:\Winnt.

  4. Adiciona as seguintes chaves de registro quando o Adware.Sa é adicionado ao registro do Windows:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\
    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D47BD4DE-B880-4610-8A8B-C173DEC4272F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{85A886B2-29BB-4189-8046-A66733B242E9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{18E6C36A-C45F-4B60-A1A4-5C0BB16D4CC2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{00A322E2-7D50-4DBA-BEA4-5C8078D47269}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{0191ABF4-9421-435E-9FFD-CD827A2A82D8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{8A94C367-815A-4D4F-A6B6-D4EB877A126C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{CED445E2-8C78-4F40-87D7-F7FB6F1B6791}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    SBITAX7.SBITAX7Ctrl
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ SBITAX7.SBITAX7Ctrl .1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{3CA4F168-FDC3-425D-8812-BB1379581E85}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{D6637F05-74ED-4CCF-80AB-20C8EC66877A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{8EA362BD-39CB-40F5-9226-73CD40999095}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Classes\Interface\{D6188A7D-376C-4970-91AD-675BFCF3762E }

  5. Adiciona o valor:

    " {38D4D5D0-423E-4220-B6F9-30918C2AE4A4}" =""

    à sub-chave de registro:

    HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Atualizado: February 13, 2007 11:39:42 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: Low
Nomes de arquivos: upmod.dll udpmod-1.dll questmod.dll questmod-1.dll tl7000.dll
Sistemas afetados: Windows


As instruções a seguir aplicam-se a todos os produtos antivírus Symantec atuais e recentes, incluindo as linhas de produtos Symantec AntiVirus e Norton AntiVirus.

  1. Desative a Restauração do Sistema (Windows Me/XP).
  2. Atualize as definições de vírus.
  3. Execute uma verificação completa do sistema e apague todos os arquivos detectados como Adware.Sa.
  4. Apague os valores adicionados ao registro.
Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Desativando a Restauração do Sistema (Windows Me/XP)
Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso Restauração do Sistema. Este recurso, ativado por padrão, é utilizado pelo Windows ME/XP para restaurar os arquivos do sistema no computador quando estes são danificados. Quando um computador é infectado por um vírus, worm ou cavalo de Tróia é possível que arquivos infectados sejam recuperados pela Restauração do Sistema.

Por padrão, o Windows evita que os arquivos criados e mantidos pela Restauração do Sistema sejam alterados por programas externos, inclusive programas anti-vírus. Dessa forma, os arquivos criados por este recurso que tenha sido infectados não poderão ser corrigidos. Assim, ao utilizar este recurso mais tarde, é possível que você restaure em seu sistema um arquivo infectado ou que verificadores on-line detectem uma ameaça na pasta onde esses arquivos são armazenados.

Para instruções sobre como desativar a Restauração do Sistema, consulte a seção abaixo referente ao seu sistema operacional.
    Desativando a Restauração do Sistema no Windows Me
    1. Clique em Iniciar > Configurações > Painel de controle.
    2. Clique duas vezes em Sistema.

      Nota: se o ícone Sistema não for visível, clique em Exibir todas as opções do Painel de controle.
    3. Clique na guia Desempenho > Sistema de arquivos.
    4. Clique na guia Solução de problemas e selecione Desativar Restauração do Sistema.
    5. Clique em OK.
    6. Clique em Fechar.
    7. Clique em Sim quando for solicitado a reinicializar o Windows.


    Desativando a Restauração do Sistema no Windows XP

    Notas:
    • Você deve fazer o login como Administrador para fazer isso. Se não fizer o login como Administrador, a guia do recurso de restauração do sistema não será exibida. Se não souber como fazer o login como Administrador, entre em contato com o Administrador de Sistemas (se estiver em rede) ou consulte a documentação do seu sistema operacional.
    • A desativação do recurso de restauração eliminará todos os pontos prévios de restauração.


    1. Clique em Iniciar > Programas > Acessórios > Windows Explorer.
    2. Clique com o botão direito em Meu computador > Propriedades.
    3. Clique na guia Restauração do Sistema.
    4. Selecione Desativar Restauração do Sistema ou Desativar Restauração do Sistema em todas as unidades.
    5. Clique em Aplicar > OK.
    6. Clique em Sim para confirmar a eliminação dos pontos prévios de restauração.
    7. Clique em OK.


Para instruções detalhadas sobre como configurar a Restauração do Sistema, consulte um dos documentos abaixo:

Para informações adicionais, consulte o artigo Q263455, em inglês, da Base de Conhecimento da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ).


2. Atualizando as definições de vírus
O Symantec Security Response efetua testes completos em todas as definições de vírus para garantir sua qualidade antes de disponibilizá-las em nossos servidores. Existem duas formas de se obter as definições de vírus mais recentes:
  • Executando o LiveUpdate: essa é a maneira mais fácil de se obter as definições de vírus. Estas definições são disponibilizadas nos servidores do LiveUpdate semanalmente (normalmente às quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se as definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento. Para mais informações sobre como executar o LiveUpdate, consulte o documento Executando o LiveUpdate.
  • Fazendo o donwload das definições de vírus usando o Intelligent Updater: as definições de vírus do Intelligent Updater são disponibilizadas nos Estados Unidos nos dias úteis (de segunda até sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste documento. Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater, clique aqui.

Reconfigurando o Norton AntiVirus
Se utilizar uma solução anti-vírus doméstica como o Norton AntiVirus, siga as etapas abaixo para reconfigurá-lo. Se for usuário de um produto corporativo, vá para a próxima seção.
  1. Inicie o Norton AntiVirus
  2. Clique em Opções > Norton AntiVirus.
  3. Clique em Verificação Manual.
  4. No painel esquerdo, clique em BloodHound.
  5. Selecione Nível mais alto de proteção.
  6. Clique em Exclusões.
  7. No painel direito, selecione cada uma das extensões listadas e clique em Remover.
  8. No painel esquerdo, clique em Categorias de Ameaça.
  9. Clique em Exclusões.
  10. No painel direito, selecione cada uma das extensões listadas e clique em Remover.
  11. Clique em OK.


3. Verificando e excluindo os arquivos infectados
  1. Inicie o produto antivírus Symantec e certifique-se de que esteja configurado para verificar todos os arquivos.
  2. Execute uma verificação completa do sistema.
  3. Se algum arquivo for detectado como Adware.Sa, clique em Excluir.


    Nota: se o produto antivírus Symantec informar que não pode excluir um arquivo infectado, é provável que o Windows esteja utilizando o arquivo. Para solucionar isso, execute a verificação no Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador em Modo de Segurança. Assim que tiver reiniciado em Modo de Segurança, execute a verificação novamente.

    (Após a detecção dos arquivos, pode-se manter o computador em Modo de Segurança e continuar com a seção 4. Ao completá-la, reinicie o computador em Modo Normal.)
4. Excluindo os valores do registro

Importante: A Symantec recomenda fazer um backup do registro antes de fazer quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as chaves especificadas. Consulte o documento Fazendo backup do Registro do Windows para mais informações.
  1. Clique em Iniciar > Executar.
  2. Digite   regedit
  3. Clique em OK.

  4. Navegue até as seguintes entradas e apague-as, se existirem:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\
    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D47BD4DE-B880-4610-8A8B-C173DEC4272F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{85A886B2-29BB-4189-8046-A66733B242E9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{18E6C36A-C45F-4B60-A1A4-5C0BB16D4CC2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{00A322E2-7D50-4DBA-BEA4-5C8078D47269}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{0191ABF4-9421-435E-9FFD-CD827A2A82D8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{8A94C367-815A-4D4F-A6B6-D4EB877A126C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{CED445E2-8C78-4F40-87D7-F7FB6F1B6791}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    SBITAX7.SBITAX7Ctrl
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ SBITAX7.SBITAX7Ctrl .1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{3CA4F168-FDC3-425D-8812-BB1379581E85}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{D6637F05-74ED-4CCF-80AB-20C8EC66877A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{8EA362BD-39CB-40F5-9226-73CD40999095}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Classes\Interface\{D6188A7D-376C-4970-91AD-675BFCF3762E }

  5. Navegue até a sub-chave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

  6. No painel direito, apague o seguinte valor, se existir:

    "{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}"=""

  7. Saia do Editor do Registro.