O worm já é o segundo a se espalhar só neste mês. Na semana passada, a Linha Defensiva alertou os usuários sobre o Sapo Motoqueiro (post anterior - que também envia mensagens do Michael Jackson), e, até o momento, já foram registrados mais de 50 mil downloads das ferramentas de remoção.

O “Fofocas Brasil” recebe o seu nome pela endereço presente na mensagem enviada pelo vírus, que sempre possui “fofocasbrasil”:

********.fofocasbrasil.com.br/[removido] é vc mesmo nessas fotos?

Os ******** representam uma parte variável, que depende do usuário que está enviando a mensagem. Ali é incluído a parte de usuário do endereço do e-mail (antes do @), dando um ar de legitimidade à mensagem. O arquivo baixado é um executável que possui a extensão de programa de MS-DOS, “.com”, fazendo com que alguns usuários acreditem se tratar de um site e não um programa de computador.

Para se proteger desse worm, basta não clicar no link. É importante que você desconfie de todos os links recebidos através de qualquer meio e, na dúvida, confirme com o usuário que ele realmente enviou tal mensagem ou e-mail para você. Um simples pedido de confirmação é mais do que o necessário para evitar essa e muitas outras pragas.

Nos testes da Linha Defensiva, o worm não funcionou em Windows 9x/ME, apenas em Windows 2000 e XP. No Windows 98 ele funcionou parcialmente, mas foi desativado ao reiniciar a máquina.

Já no Windows 2000 e XP, o worm usa uma técnica interessante para camuflar os arquivos. Ele cria uma pasta chamada fonts.{0003000d-0000-0000-c000-000000000046}. Para o usuário, a pasta parece ser um arquivo de som, pois a informação entre chaves é o identificador interno do Windows para arquivo de som. Isso faz com que a pasta pareça ser um simples arquivo multimídia chamado “fonts”. A única maneira de abrir a pasta é clicando com o botão direito nela e selecionando a opção “Explorar”.

O arquivo dentro dessa pasta é inicializado com o uso de um serviço chamado Windows Logon Information. Como o Windows 98 não suporta serviços, é possível que o vírus não funcione nele devido a essa incompatibilidade. Se você usa Windows 98 e acredita estar infectado, entre em contato conosco.

O vírus também modifica a página inicial do Internet Explorer para o site “Festas Badaladas”, que, até o momento que essa reportagem foi escrita, está apenas exibindo uma mensagem de “parking” da Sedo.com. O site apresenta diversos links para supostos removedores de spywares e trojans.

Ferramenta de Remoção

Linha Defensiva desenvolveu uma ferramenta para remover o worm automaticamente do seu sistema. Para fazer o download, acesse:

http://linhadefensiva.uol.com.br/dl/msn-fofoca

Quando executar a ferramenta, você deve apertar Enter para permitir que ela trabalhe. Depois você deve reiniciar a máquina imediatamente para terminar a remoção. Não é necessário reiniciar o computador em Modo de Segurança. Se você puder fazer isso, no entanto, há mais chances de a ferramenta funcionar.

Fonte: Linha defensiva

  FÓRUM MESSBRASIL

Acesse o fórum MessBrasil e saiba mais sobre os vírus.