segunda-feira, 28 de maio de 2007

Win32:Agent.Heu.Virus? Hoax?

Toda vez que nos deparamos com um vírus e que não encontramos uma explicação ou uma informação sobre ele na Internet, começamos a pensar que pode ser um falso alarme, ou um Hoax que como um falso vírus é conhecido. Hoax- ( rouks) fraude, embuste, trapaça, engano, pregar uma peça. Na sexta-feira próxima passada me deparei com um caso que dava pistas de hoax, mas como sempre eu primeiro esgoto todas as possibilidades antes de formar minha opinião, e me deparei com uma situação que ainda hoje não esta 100% esclarecida. O vírus foi identificado pelo antivirus AVAST como sendo Win32:Agent.HEU, em todas a minhas anotações, em meus reportes que recebo mensalmente, nada constava. Nenhuma alusão, nota comentário, nada mesmo. Após 30 minutos de pesquisa na Internet vi a primeira nota sobre o Vírus, um Trojan Horse (Cavalo de Tróia) e quem dava a nota era o laboratório de antivirus Sophos, imediatamente me pus a ler sobre o caso e na aflição que me encontrava para ter uma resposta não percebi que o texto era simplesmente uma orientação para limpeza de um Cavalo de Tróia, não necessariamente o Agente.Heu, mas qualquer Cavalo de Tróia. Passado o susto, no sábado convoquei ajuda da equipe da HDDLAB para vermos o que estava acontecendo, e continuei com minha pesquisa. O que descobrimos foi que somente o Avast mais dois outros laboratórios faziam alusão direta ao vírus e nenhum outro laboratório apontava o Agent. Heu, mas eu tinha uma tabela de codinomes, o que me apontava que era vírus e que algo ocorrera, era só uma questão de tempo para termos uma informação que nos levaria a solução do mistério. O mais interessante da estória é que o vírus havia agido e que estava aparentando vir de um programa do site Hotconference, eu tenho este programa e o utilizei varias vezes naquele momento mas não tive nenhum indicio da infecção.

Bem o que se passou foi que em um primeiro momento descobriu-se que o Avast não estava protegendo contra o ataque e sim comunicando o usuário somente após a infecção, e que o meu antivirus e de outros usuário que também usam este tipo de programa (conference) não estavam sendo avisados mas estavam sendo protegidos.

O mistério se resolveu no domingo. O Avast identificou a infecção e não identificando o Trojan apresentou-o como Win32.Agent.Heu, isso significa: Agente infeccioso identificado heuristicamente, podendo ser ou não um vírus. Um dos colaboradores da HDDLAB, nos reportou que em contato com o site da Hotconference, o support sugeriu que poderia ocorrer o fato de se ter o utilitário sendo reconhecido como um Trojan dado o seu funcionamento.

Um dos vírus em minha tabela de codinomes que o HEU poderia ter (e esse realmente é um Trojan e muito perigoso) seria FCH, o laboratório de antivirus Norueguês Normam identificou o W32/Agent.FCH em 2003 como sendo um Trojan Horse e deu a ele o codinome HEU (veja tabela em artigo anterior). Passando a pesquisar o FCH me deparei com uma informação muito importante que irei reportar agora, esta em espanhol mas dá para entender muito bem.

"Agent.QT. Roba información y la envía a Internet" , esse agente é um dos codinomes do Agent.FCH, e vou passar a ficha técnica dele:

Nome: Agent.QT
Nome NOD32: Win32/Agent.QT
Tipo: Cavalo de Troia
Alias: Agent.QT, Adware.Look2ME, Adware/Yazzle, BackDoor-CVT, Generic3.AGD, TR/Crypt.PEC2X.Gen, Troj/Nebule-Gen, Trojan.Agent.qt, Trojan.Agent-1988, Trojan.Nebuler, Trojan.Win32.Agent.9407, Trojan.Win32.Agent.qt, Trojan/Agent.qt, W32/Agent.dam, W32/Agent.QT!tr, W32/Trojan.YLM, Win32.Agent.qt, Win32/Agent.QT, Win32:Agent-FCH
DATA: 25/jul/06
Atualiazado: 17/mar/07
Tamanho: 17,920 bytes (PECOMPACT)

Agora o que mais me impressionou foi essa afirmação sobre o Agent.QT:
" Caballo de Troya capaz de capturar información relacionada con servicios de acceso telefónico, la que luego puede enviar a un sitio Web determinado vía HTTP.
El troyano puede inyectar su código en otros procesos activos para intentar ocultar su actividad. El archivo puede ser descargado al visitar un sitio Web malicioso, y generalmente el archivo descargado se copia en el directorio de temporales de Internet con un nombre al azar."

O primeiro alarme do Win32:Agent.Heu, codinome Win32:Agent.FCH foi exatamente de um usuário que usa serviço VOIP em seu micro e o programa conference, na seqüência outros usuários de VOIP também deram o alerta.

Aqui o que recomendamos para se desinfetar ou tirar a prova de provável infecção:

1-Faca o download de 2 utilitários para poder fazer a verificação de seu micro.
1.1 O Stinger da McAfee nesse endereço (o utilitário é gratuito):
http://vil.nai.com/vil/stinger/default.aspx
1.2 O Cleaner da Norman nesse endereço
(o utilitário é gratuito):
Download Norman Malware Cleaner here

Após ter os utilitários em seu micro (faça um backup dos seus dados importantes), re inicie seu computador em modo de segurança.
Agora, faça uma varredura completa em seu micro, em todas as partições no caso de ter mais de uma.
Lembrem-se que este procedimento poderá ser usado em qualquer suspeita de infecção por um Cavalo de Tróia.

Bone chance!!!!!!!!!!!!!!!!!!!!!!!

Nenhum comentário:

Ads Inside PostM

Teste