Leia aqui as últimas informações sobre os vírus no MSN Messenger aqui. (informação retirada do site oficial do MSN)
Cuidado com o novo virus, o PERSONAL MSN MESSENGER, ele é divulgado
como se fosse um programa feito para o msn 7.5 e msn 8, e tem a capacidade
de fazer:
capacidade de resumir arquivos recebidos
suporte a navegação pelas conversas por janelas com abas
ver a webcam do seu contato sem pedir autorização e ainda a opção
de salvar o vídeo
ver quem te bloqueou na sua lista do Msn
roubar emotions pagos
criar imagens animadas grátis.
mas como já dito antes, esse programa não passa de um virus.
Um novo worm está se espalhando por meio do MSN Messenger. Ao ser executado, o usuário infectado faz parte de uma rede zumbi, que é controlada através de um canal de bate-papo IRC, um método comumente usado pelos Bots. Entre os comandos aceitos pelos zumbis, está um capaz de fazer ataques de negação de serviço, ou seja, derrubar usuários e sites da Internet.
O worm já é o segundo a se espalhar só neste mês. Na semana passada, a Linha Defensiva alertou os usuários sobre o Sapo Motoqueiro (post anterior - que também envia mensagens do Michael Jackson), e, até o momento, já foram registrados mais de 50 mil downloads das ferramentas de remoção.
O “Fofocas Brasil” recebe o seu nome pela endereço presente na mensagem enviada pelo vírus, que sempre possui “fofocasbrasil”:
********.fofocasbrasil.com.br/[removido] é vc mesmo nessas fotos?
Os ******** representam uma parte variável, que depende do usuário que está enviando a mensagem. Ali é incluído a parte de usuário do endereço do e-mail (antes do @), dando um ar de legitimidade à mensagem. O arquivo baixado é um executável que possui a extensão de programa de MS-DOS, “.com”, fazendo com que alguns usuários acreditem se tratar de um site e não um programa de computador.
Para se proteger desse worm, basta não clicar no link. É importante que você desconfie de todos os links recebidos através de qualquer meio e, na dúvida, confirme com o usuário que ele realmente enviou tal mensagem ou e-mail para você. Um simples pedido de confirmação é mais do que o necessário para evitar essa e muitas outras pragas.
Nos testes da Linha Defensiva, o worm não funcionou em Windows 9x/ME, apenas em Windows 2000 e XP. No Windows 98 ele funcionou parcialmente, mas foi desativado ao reiniciar a máquina.
Já no Windows 2000 e XP, o worm usa uma técnica interessante para camuflar os arquivos. Ele cria uma pasta chamada fonts.{0003000d-0000-0000-c000-000000000046}. Para o usuário, a pasta parece ser um arquivo de som, pois a informação entre chaves é o identificador interno do Windows para arquivo de som. Isso faz com que a pasta pareça ser um simples arquivo multimídia chamado “fonts”. A única maneira de abrir a pasta é clicando com o botão direito nela e selecionando a opção “Explorar”.
O arquivo dentro dessa pasta é inicializado com o uso de um serviço chamado Windows Logon Information. Como o Windows 98 não suporta serviços, é possível que o vírus não funcione nele devido a essa incompatibilidade. Se você usa Windows 98 e acredita estar infectado, entre em contato conosco.
O vírus também modifica a página inicial do Internet Explorer para o site “Festas Badaladas”, que, até o momento que essa reportagem foi escrita, está apenas exibindo uma mensagem de “parking” da Sedo.com. O site apresenta diversos links para supostos removedores de spywares e trojans.
Ferramenta de Remoção
Linha Defensiva desenvolveu uma ferramenta para remover o worm automaticamente do seu sistema. Para fazer o download, acesse:
http://linhadefensiva.uol.com.br/dl/msn-fofoca
Quando executar a ferramenta, você deve apertar Enter para permitir
que ela trabalhe. Depois você deve reiniciar a máquina imediatamente
para terminar a remoção. Não é necessário
reiniciar o computador em Modo de Segurança. Se você puder fazer
isso, no entanto, há mais chances de a ferramenta funcionar.
Um novo worm brasileiro está se espalhando pela rede do comunicador instantâneo MSN. Como as demais pragas do gênero, o vírus envia mensagens automatizadas, dessa vez prometendo um vídeo do “sapo motoqueiro”. Quando o usuário executar, será infectado pelo worm, que então enviará mensagens para sua lista de contatos e roubará senhas de banco.
A mensagem enviada pelo worm é a seguinte:
Da uma olhada nesse link é um video do sapo motoqueiro, é muito
legal.
http://[removido]/sapo_motoqueiro.cmd
A tática de enganação usada pelo worm é levada um passo adiante quando o vídeo do Sapo Motoqueiro é realmente exibido após a sua execução. O worm carrega uma animação do site VideosLegais.com.br chamada “sapo_motoqueiro.wmv” e a exibe no sistema do usuário, enquanto a praga termina de se instalar no sistema.
Worm carrega animação para enganar usuário
É interessante também notar que o worm utiliza a extensão .cmd para se espalhar que, apesar de ser tratada com uma extensão executável qualquer, é raramente utilizada para isso.
Após instalada, a praga envia a mensagem espalhando o vírus quando o usuário abrir uma janela de contato no MSN. O usuário pode claramente ver que a mensagem foi enviada, o que significa que a tática de enganação do worm se torna inútil.
Além de espalhar, a praga é um clássico trojan “Banker”, pois monitora o título da janela do Internet Explorer e, caso a mesma possua certas palavras relacionadas à sites de bancos, o worm inicia um outro programa, que por sua vez configura um terceiro, que fica encarregado de roubar as senhas do usuário.
Ferramenta de Remoção
A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A praga instala diversos arquivos no computador, mas somente dois precisam ser removidos para que o worm seja completamente desabilitado.
http://linhadefensiva.uol.com.br/files/bat/msn-sapo.bat
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C:\ ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
Depois que o worm brasileiro conhecido como a “Baratinha” se espalhou em setembro, os programadores de vírus nacionais lançaram outros worms do mesmo tipo na rede. O mais novo deles envia mensagens para todos os contatos no MSN com o link para o arquivo malicioso fotoimagem.exe.
A mensagem enviada pelo worm é a seguinte:
Olha minha foto >>>>http://[removido]/fotoimagem.exe
Ao clicar no link o usuário é infectado e começará a enviar a mesma mensagem para todos os contatos em sua lista do MSN, exatamente como era o caso com a Baratinha.
O arquivo fotoimagem.exe possui pouco mais de 30KB de tamanho, o que torna o download do programa rápido até mesmo em uma conexão discada. Ao ser executado, ele fará o download dos outros cavalos-de-tróia, inclusive um possível componente para roubar senhas de banco (de acordo com as companhias antivírus).
Esses componentes serão salvos em uma pasta chamada “service” dentro
da pasta de sistema (system32) e uma entrada no registro chamada “services” será criada
para executar o worm automaticamente toda vez que o sistema for iniciado.
Ferramenta de Remoção
A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A ferramenta de remoção possui pouco mais de 2KB e é um arquivo de scripting BAT. Ela foi testada em Windows 2000/XP, mas também deve funcionar em Windows 98/ME. O segundo link é a versão ZIP para quem tiver problemas para fazer o download do .bat (alguns sistemas possuem extensões como EXE e BAT bloqueadas):
http://linhadefensiva.uol.com.br/files/bat/msn-olhafoto.bat
http://linhadefensiva.uol.com.br/files/zip/msn-olhafoto.zip
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Com visual apenas parecido com um anuncio do MSN Messenger. O Vírus MSN Patch Plus, uma ferramenta que traria novas funções ao seu Messenger, ainda continua enganado alguns usuários.
Ele é enviado através de e-mail.
Nossas dicas:
A Microsoft (MSN) nunca disponibliza nenhum tipo de arquivo para download por e-mail.
Não instale nenhum programa que o remetende da mensagem seja desconhecido.
Um novo vírus que se aproveita do MSN Messenger apareceu pouco antes do final de 2005. O Nabload.U é um vírus que baixa outro, do tipo cavalo de Tróia, que por sua vez é capaz de descobrir senhas de bancos espanhóis. Por enquanto, ele não afeta usuários do Brasil, mas pode ganhar variantes que atinjam clientes de outros bancos. De acordo com a PandaLabs, esse é um vírus que mistura diversas técnicas e pode pegar informações sem deixar rastros. Para se prevenir, procure ter certeza da veracidade e procedência dos links enviados pelo Messenger, até mesmo dos seus amigos.
Quarta-feira, 28 dezembro de 2005 - 10:56
Embora ainda não exista uma versão pública do comunicador instantâneo MSN Messenger 8, muitos usuários têm sido alvo de uma praga virtual que envia um link falso para o download da versão beta do novo comunicador instantâneo da Microsoft. Para se propagar, a variante do vírus Virkel envia mensagens pelo próprio MSN Messenger usando a lista de contatos do usuário com o sistema infectado. Conforme informou a empresa de segurança de dados F-Secure, a vítima é infectada ao clicar no link e instalar o arquivo BETA8WEBINSTALL.EXE . A Microsoft chegou a lançar uma versão beta do MSN Messenger, em 12 de dezembro, para um número restrito de usuários, mas o sistema chama-se Windows Live Messenger esclarece uma porta-voz da companhia. "Nós desencorajamos qualquer um a fazer o download de versões beta em sites que não sejam Microsoft/MSN já que não podemos garantir sua autenticidade", ressaltou a porta-voz da Microsoft. Robert McMillan - IDG News Service, EUA