Apesar de que aqueles que receberem o recado precisam clicar em um link para se infectar, a relação de confiança existente entre os amigos aumenta muito a possibilidade de o usuário clicar sem desconfiar de que o link leva para um worm. A mensagem enviada é a seguinte:

Dá uma olhada nas fotos da nossa festa, ficaram ótimas. [link malicioso]

Ao clicar no link, um arquivo bem pequeno é baixado para o computador do usuário. Ele se encarrega de baixar e instalar o restante das partes da praga, que enviará a mensagem para todos os contatos do Orkut.

Além de simplesmente se espalhar usando a rede do Orkut, o vírus também rouba senhas de banco, em outras palavras, é um clássico Banker. Bankers são muito comuns no Brasil e chegaram em segundo lugar no top10 das pragas mais ativas em abril.

É raro que um Banker inclua rotinas para se espalhar para outros sistemas, mas isso está ficando cada vez mais comum com as pragas que enviam mensagens pelo MSN e agora com este worm que envia automaticamente os recados para o Orkut.

Ferramenta de Remoção

Devido ao grande número de casos que foram avisados à Nível X Informática, estamos disponibilizando uma ferramenta de remoção capaz de remover a praga do sistema. A ferramenta pode ser baixada através do seguinte link:

http://www.nivelxinformatica.com.br/virus_msn_orkut

Basta executar a ferramenta, confirmar sua execução pressionando qualquer tecla e esperar a mensagem dizendo que tudo ocorreu bem. Depois de terminar de executar a ferramenta, a pasta C:\LinhaDefensiva\ pode ser removida para terminar a limpeza do micro.

Para evitar infecções como essa, é recomendável que você jamais clique em um link enviado por qualquer meio, incluindo Orkut, MSN e e-mail, sem antes confirmar com o remetente que o mesmo enviou o link.

Assim como perfis no Orkut podem ser comprometidos, mensagens no MSN podem ser enviadas por vírus e, no caso de e-mail, o campo “De” das mensagens pode ser facilmente falsificado. É importante que você fique sempre alerta e desconfie para evitar infectar o seu computador.

Perguntas Freqüentes

Devido ao grande número de comentários, estamos publicando uma lista de perguntas freqüentes.

Como faço para saber se estou infectado?

No Windows XP ou 2000, aperte CTRL+SHIFT+ESC, vá na aba “Processos” e verifique se estão na lista um desses:

                       msbcs.exe
                       cmrss.exe (não confunda com verdadeiro “csrss.exe”)
                       system32.exe (não confunda com o “System”)
                       lsass32.exe (não confunda com o verdadeiro “lsass.exe”)

A ferramenta remove esses quatro arquivos.

Usuários de Windows 98, 95 ou ME precisam do Process Explorer para verificar a presença desses processos.

Nota: Somente os dois primeiros arquivos são dessa infecção. Os outros dois são de outras variantes comuns de cavalos-de-tróia que roubam senhas de banco.

Depois de usar a ferramenta, posso usar meu banco com tranqüilidade?

É preciso lembrar que existem dezenas de outras pragas como essa que roubam as senhas de banco. A maioria delas não possui nenhum efeito visível, portanto não é possível percebê-las. Após se livrar dessa praga, é importante passar o seu antivírus no PC e trocar as suas senhas.

Se você não clicou em nenhum link duvidoso, seu PC está limpo, mas a ferramenta não poderá determinar isso.

Eu abri o link, vi que era um executável e cancelei. Estou infectado?

Não, mas é recomendável que você use o método descrito na primeira pergunta para confirmar..

O vírus funciona em um Mac? E Linux?

O vírus é um arquivo de Windows PE (Portable Executable) e não deve funcionar em um Mac ou Linux, sem o uso de um emulador ou máquina virtual.

Não cliquei em nenhum link, mas ainda enviam recados como se fosse eu.

Se sua senha do Orkut for fácil de ser descoberta é possível que ainda sejam enviados recados maliciosos para seus amigos. Além disso, diversas variantes dos Bankers também roubam senhas de Orkut para que os criminosos enviem os recados de forma manual, através de ferramentas de envio de scraps em massa. Em outras palavras, você pode estar infectado com outra praga, que não essa.