A praga usa o Active Desktop, o que faz com que a página inicial do navegador fique como um papel de parede da Área de Trabalho. Desabilita a Restauração de Sistema e várias configurações de segurança da máquina, e também bloqueia o acesso ao Painel de Controle, Prompt de Comando, Gerenciador de Tarefas, ferramentas de remoção de vírus e também de análise de malwares.
A praga também lê um arquivo de configuração do FileZilla, possivelmente roubando senhas desse software. O FileZilla é um software de FTP e as senhas armazenadas nele normalmente dão acesso a websites.
O vírus é tecnicamente um worm, pois ele se espalha através de pastas compartilhadas na rede e através de mídias de armazenamento removível, ocultando as pastas pessoais das vítimas e criando atalhos com o mesmo nome dos arquivos/pastas pessoais. O atalho aponta para o executável do malware, que é um script e também está oculto na mídia.
O código malicioso também gera um alto tráfego de dados para o endereço etpsoprc.ru, localizado na Rússia, do qual ele baixa novos scripts e arquivos de configuração.
O worm é capaz de infectar desde o Windows XP ao Windows 7, incluindo os 64 bits.
Outras versões do Windows não foram observadas, portanto a Linha Defensiva não pode afirmar se a praga é compatível também com o Windows 8 ou não.
A praga tem como alvo os clientes pessoa física e jurídica dos principais bancos brasileiros e tem uma alta capacidade de propagação. Tudo isso demonstra o empenho dos criminosos brasileiros em busca de novas técnicas para infectar uma quantidade maior de computadores, além de dificultar a remoção da praga.
Fonte: http://www.linhadefensiva.org/2013/08/virus-brasileiro-muda-a-pagina-inicial-para-brasil-pesquisa-pw/
NOTA: Um dos aplicativos que podem impedir e até mesmo fazer a remoção da praga é o Malwerebyte. Você pode baixa-lo aqui: http://www.malwarebytes.org/products/malwarebytes_free/
Nenhum comentário:
Postar um comentário