Trojan Kardphisher, instruções para remove-lo.
A solução da infecção do trojan Kardphisher, que vamos colocar aqui foi dada pela Symantec, eu traduzi e fiz pequenos ajustes que considerei necessários. Estou postando aqui nesse espaço com o objetivo de colaborar com os usuários, os que usam o antivírus da Symantec e os que não usam. Uma análise concisa da solução foi realizada e demonstrou que os procedimentos funcionam para todos os usuários, mesmo os que usam antivírus de outras empresas. Quero deixar claro que recomendo o uso de um antivírus (seja ele de que laboratório for) e que o melhor antivírus em minha opinião é o que tem a atualização mais rápida e por isso se torna mais eficiente. A escolha por esse ou aquele antivírus deve ser de sua inteira responsabilidade. Os procedimentos aqui descritos foram por mim testados mas isso não impedira que um usuário possa se esquecer de um passo ou mesmo fazer uma pequena troca e com isso prejudicar ou comprometer todo o sistema. Para evitar transtornos o melhor a fazer em um primeiro momento após a descoberta da infecção e:
1- Desconectar o micro da Internet;
2- Em caso de terminal de rede, desconecte o micro da rede, se for o caso desconecte o cabo de rede;
3- Não desligue o micro;
4- FAÇA O BACKUP DOS DADOS CRÍTICOS IMEDIATAMENTE;
5- Faça re conexão da Internet;
6- Após tomar essas providencias, inicie a solução lembrando sempre que a responsabilidade de seus atos é exclusivamente sua. Por favor, leia toda a instrução antes de iniciar qualquer procedimento e no caso de não entender ou de alguma dificuldade, procure ajuda.
As instruções descritas a seguir foram dadas pela Symantec, responsável pelo grupo de produtos antivírus conhecido como Norton.
1- Desabilite o sistema de restauração (System Restore (Windows XP e ME));
2- Se ainda não fez o upgrade de seu antivírus, faça agora;
3- Faça uma varredura total de seu sistema, usando o antivírus;
4- Apague os valores que foram adicionados ao registro.
Vamos detalhar cada instrução acima, leia, por favor.
1. Para desabilitar o sistema de restauração (System Restore (Windows XP e ME)).
Se você tem em seu micro o Windows XP ou mesmo o Windows ME, é recomendado que você desabilite temporariamente o System Restore. O windows XP e o ME fazem uso dessa função, que é habilitada por default, para restaurar arquivos de seu computador em caso de terem sido danificados por ataque de um vírus, worm ou trojan que tenham infectado a maquina, acontece que ao realizar a tarefa o System Restore poderá fazer a cópia de segurança dos próprios vírus, worm ou trojan.
O windows faz controle de programas adicionais, incluindo os antivírus, para que não interfiram no System Restore. Mas isso também cria um problema, os antivírus ficam sem ação no caso de um vírus, worm ou trojan ser copiado para o diretório do System Restore. O resultado é que o System Restore acaba sendo a melhor arma do hacker para restaurar o vírus, worm ou trojan de volta para seu computador, mesmo após terem sido removidos de todos os locais onde se instalaram.
E também a varredura do antivírus pode detectar a ameaça no diretório do System Restore, mesmo após você ter removido-a.
Para poder remover o System Restore (no caso de você não ser um especialista ou um conhecedor de sistema operacional), leia as instruções na documentação do Windows, se não tiver mão ela esta disponível na Internet. Essa informação poderá ser encontrada nos seguintes artigos:
- How to disable or enable Windows Me System Restore
- How to turn off or turn on Windows XP System Restore
OBS: Ao terminar de remover o vírus, habilite o System Restore seguindo as instruções fornecidas nos documentos acima.
Em caso de necessitar informações adicionais ou mesmo uma alternativa para desabilitar o System Restore, procure na Microsoft pelo artigo:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455).
2. Fazendo o update das definições de seu antivírus.
Há duas maneiras de se conseguir fazer o update de seu antivírus:
1- O live update, que se estiver habilitado em seu antivírus, então provavelmente ele já estará atualizado (mas confira)
2- Procure pelo FTP do fabricante de seu antivírus, lá você encontrara um subdiretório que diz update definitions, os arquivos de update são normalmente pequenos e datados, e podem facilmente ser transferido para o diretório onde seu antivírus esta instalado (em caso de dúvida, leia o help de seu antivírus, ele contém uma explicação detalhada de como proceder seja ele o antivírus que for).
3. Fazendo uma busca completa em seu hard disk, com o antivírus.
1- Seu antivírus deve esta em funcionamento, se não estiver inicie-o e confira como ele está configurado com relação a varredura (scan, files and directories). Configure a opção para que varra todos os arquivos e diretórios. Em caso de dúvida leia o help do seu antivírus.
2- Inicie a varredura de seu sistema
3- Em caso de descoberta de uma infecção leia a instrução que o seu antivírus irá disponibilizar a você, desinfetar um arquivo não é apaga-lo. Cuidado seu antivírus poderá indicar que não consegue desinfetar um arquivo e propor que o mesmo seja apagado, confira se isso pode ser feito nesse momento, em caso de dúvida procure ajuda.
Não desligue e ligue seu computador durante o processo de desinfecção, mensagens solicitando esse procedimento devem ser ignoradas até o termino integral do trabalho de desinfecção. O procedimento de desinfecção de seu computador poderá em alguns casos ser melhor se o seu sistema operacional estiver funcionando em modo de segurança. Se for o caso coloque-o nesse modo, se não estiver familiarizado com esse procedimento leia as instruções na documentação. How to start the computer in Safe Mode
Ao reiniciar seu micro em modo de segurança faça nova varredura. Após ter seguido todos as instruções e terminado o procedimento com a desinfecção de todos os arquivos, re inicie seu computador.
Após ter re iniciado seu computador algumas mensagens de perigo ou aviso de infecção poderão aparecer em sua tela, uma vez que ainda não terminamos a remoção da ameaça. Ignore as mensagens elas irão desaparecer após a remoção estar completa e após um segundo re inicio do computador. As mensagens poderão ser do tipo:
Titulo: [FILE PATH]
Corpo da mensagem: O Windows não consegue encontrar o seguinte arquivo [nome do arquivo]. Observe se você digitou corretamente o nome do arquivo e tente de novo. Para procurar um arquivo vá em inicio e digite procure (search).
4. Apagando os valores do registro do Windows:
Importantíssimo: é recomendado que se faça uma cópia de segurança do registro antes da realização de qualquer mudança no mesmo.
Mudanças incorretas no registro do Windows podem resultar em acidentes com a perda total dos dados do computador, não modifique nada além das que vamos demonstrar. Como fazer o backup do registro do seu Windows siga as instruções na documentação:How to make a backup of the Windows registry.
Após ter feito a cópia de segurança do registro:
1. Pressione iniciar e selecione >executar;
2 Na janelinha seguinte escreva regedit;
3 Pressione enter.
Obs: se o registro não abrir, isso se dará porque o vírus modificou o seu registro de forma a impedir o acesso. O Security Response tem uma função para corrigir este problema, (Tool) execute-o ( Download and run this tool) solucione o problema e continue com o procedimento.
4. Navegue através de do registro procurando pelas seguintes chaves (o editor que abre o registro tem uma função para realizar a busca):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soft2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\sft\c
-AO ENCONTRA-LAS APAGUE-AS
5. Terminando o procedimento, saia do editor de registro
Se você seguir as instruções corretamente, irá com certeza eliminar a ameaça de seu sistema, gostaria de dizer que se prestarem atenção e estudarem os procedimentos que descrevi irão perceber que acabaram de aprender a eliminar ameaças semelhantes. O nome do trojan nos diz que ele é do tipo phisher, isso quer dizer que ele usa de artifícios semelhantes aos trojan que se alojam no provedor de um banco e sobrepõe a tela inicial do banco com intuito de armazenar as informações que o usuário disponibiliza ao entrar em seu Internet Bank. Essa pratica é muito comum e ocorre o tempo todo. Por isso a leitura dos artigos irá lhe ajudar e esclarecer como isso acontece e como se prevenir e mesmo se livrar desse tipo de ataque.
De qualquer forma, gostaria de lembrar uma frase de minha avó (obrigado querida pelo carinho e cuidado que você dedicou a mim durante os 16 anos que tive a oportunidade de convivermos, você esta em minha lembrança todos os dias de minha vida. Que deus a tenha, quanta saudade!!!) - "Sua alma, sua palma". Este post é dedicado a memória de Alzira Cure Muanes, minha avó.
3 comentários:
Excelente abordagem do trojan Kardphisher, tenho certeza que vários usuários do windows, ficarão agradecidos com a sua tradução do site da symantec, vou fazer uma postagem indicando seu blog, ok ?
Boa Tarde, Gostei muito das informacoes de seu blog, muito funcionais, parabens.
fernando tonolli
Caro amigo, obrigado pela visita ao meu blog e já adicionei estas instruções ao mesmo. Parabêns pelo trabalho.
Code Oracle
Postar um comentário