Você já ouviu falar de JambanMu, Alman ou Almanahe ?
Se nunca ouviu ou viu estes nomes você é uma pessoa de sorte ou então muito distraída, pois estes são nomes de um dos mais terríveis vírus idealizados por um programador ate os dias de hoje.
Oriundo da Malasya ou de algum individuo da região o JambanMu que em malásio se fala Jambam e significa "banheiro", esta normalmente em um html ( o que significa que você poderá ter seu primeiro contato com ele através da leitura de uma página de um website. Diz um colega de origem malasiana, que conheci em tempos de estudos de hard disk que na realidade a palavra JambanMu tem outro significado para eles, e esta relacionado a genitália feminina.
O que se noticia é que os antivírus mais comumente usado não são capazes de identificar esse Vírus, pelos menos não com a nominação JambanMu, o antivírus VirusTotal o reconhece como Alman ou Almanahe.
Os sintomas de um micro que esta infectado pelo JambanMu, Alman ou Almanahe nos iremos colocar aqui e também como é possível remove-lo de seu sistema operacional evitando assim a indesejável situação de perder os dados, creiam me somente que já vivenciou este fato poderá saber exatamente o que ele significa, algumas noite em claro, perda de emprego, complicações orçamentárias, entre outros aborrecimentos.
Você ira receber um arquivo com essa denominação - HELP ME!!.html - este arquivo(que é na realidade o W32.JambanMy.V2) estará normalmente no seu hard disk na raiz - C:\ disco. Ao abri-lo você irá receber uma mensagem com o sugestivo título: "MESSEGE FROM HELL!!" e a mensagem a seguir será normalmente um texto contendo insultos a empresas tipicamente Americana como a KFC,o McDONALD, 7 11 ( mais conhecido como Seven Eleven),alguma empresa distribuidora de Combustível, revendedor de bebidas, empresa distribuidora de eletricidade, ou mesmo alusões contendo as palavras: azam, zawawi, kamal, dzulkifli, israel, Bush and yahudi. No final da mensagem você verá uma linha com os dizeres: “Reported by 666. JambanMu.V2″.
A partir da visualização desta figura acima, uma seqüência de acontecimentos irão se suceder:
2- O Seu editor de registros do Windows será desabilitado, impossibilitando-o de retirar o que lá foi adicionado.
3- O CMD que é o comando do Xp que te permite ter acesso ao promt do (antigo – sistema operacional de disco – em inglês: Disque Operational System) DOS onde você poderia estar usando alguns recursos extras para elimina-lo ou pelos menos atenuar a ação que repentinamente tomou conta de seu sistema operacional.
4- Ao abrir o seu Gerenciador de tarefas do Windows para verificar que esta sendo executado no momento você identificara os programas da Macromidia em execução, o Flash.10.exe e o MAcromedia.10.exe.
5- Ao abrir seu gerenciador de disco local (o windows manager) a opção - Ferramentas - não aparecerá.
6- O sistema de busca de arquivos também não mais constara no menu iniciar.
7- Você não poderá acessar seu antivírus, e muito menos conseguira abrir o website de antivirus como o da VirusTotal, Symantec, para fazer uma busca e desinfecção Online, isso acontece porque o arquivo HOSTS que é responsável por esta função será modificado e você ao tentar ir a estes websites irá na realidade para o endereço 127.0.0.1.
O vírus Jambanmu se multiplica através de mapeamento de drives inclusive usando a porta USB.Ao se colocar um drive USB no computador infectado pelo JambanMu, este automaticamente cria um arquivo autorun.inf e um Flash.10.Setup.exe. Ao terminar essa tarefa o USB esta pronto para "distribuir" a infecção, pois ao ser colocado em uma porta USB ele ira executar o arquivo de autorun que executara o Flash.10.Setup.exe que irá instalar o vírus no computador. O JambanMu instala se no computador em um arquivo que contem o ícone de um arquivo flash.
Já aconteceram casos em que ao se colocar um USB drive que esta infectado com o vírus JambanMU em um computador, e primeiramente procurar fazer a busca por vírus usando-se o botão direito do mouse, um menu aparece com os dizeres "Scan for Viruses", mas nada acontece. Porque a maquina já recebeu a instrução para executar o JambanMu se um antivírus for acionado.
Vários testes, para desinfecção foram executados, como usar o AIMfix, o CaSIR, e mesmo o HijackThis e nenhuma dessas alternativas tiveram sucesso com o JambanMu. Após estes testes e varias pesquisas foi descoberto que o que é necessário para desinfetar um computador que esta com o JambanMu e executar 2 pequenos utilitários e automaticamente ele será removido, bem como se o processo for feito logo em seguida a infecção até mesmo poderá restaurar tudo o que o vírus estragou. Os utilitários que serão descritos a seguir não podem ser executados simultaneamente e sim na seqüência, primeiro execute o ComboFix, desligue e ligue seu computador e execute o SDFix (o processo obtém um melhor sucesso se o computador estiver sem a conexão de internet e também com o Windows em modo de segurança).
A- ComboFix
Não faça absolutamente nada enquanto o ComboFix não terminar a execução
B- SDFix
Procedimento para desinfecção:
Inicialmente, faça o download dos dois utilitários, após isso execute em primeiro lugar o ComboFix e após a execução desligue seu computador e re-inicie o sistema em modo de segurança e execute o SDFix.exe, após a execução torne a desligar e ligar seu computador e novamente coloque o windows em modo de segurança, o SDFix ira montar um subdiretório c:\sdfix e lá teremos o RunThis.bat, execute o arquivo e ai teremos finalmente a remoção do vírus JambanMu.
Nas pesquisas encontramos mais dois outros utilitários para desinfecção do JambanMu, mas eu não os testei e não tenho todo o procedimento de uso, de qualquer forma colocarei os nomes e os links aqui e se o leitor quiser se aventurar com os mesmo e o aconselho a procurar instruções detalhadas sobre o procedimento com os mesmos.
Nenhum comentário:
Postar um comentário