Parece mentira, mas especialistas em segurança computacional acreditam que o poderoso vírus Conficker, criado para transformar vários computadores em zumbis, deve executar um comando simultâneo exatamente hoje.

O que ele deve fazer precisamente não se sabe. A certeza que se tem é da possibilidade de ocorrer um surto na grande rede, porque os botnets (robôs, em inglês) estão se munindo para atacar. “É assustador pensar sobre quanto controle um hacker poderia ter sobre todos esses computadores”, disse Mikko Hypponen, da empresa de segurança F-Secure, ao jornal britânico The Sun.

Na dúvida se este vírus vai mesmo cumprir o prometido ou virar a mais nova pegadinha de 1° de abril, o importante é garantir a segurança do seu computador. Comece por atualizar seu sistema operacional sobretudo corrigindo uma brecha no Windows explorada pelo malware, em seguida atualize seu navegador e principalmente seu antivírus. Dado que seu PC esteja sem esse tipo proteção, instale algum, que pode ser gratuito, como é o caso do AVG Anti-Vírus.

Finalmente, se você quer assegurar que o Conficker não está na sua máquina, as seguintes ferramentas podem detectá-lo e removê-lo:

W32.Downadup Removal Tool, da Symantec;
Anti.Downadup, da BitDefender;
F-Downadup, da F-Secure;
KidoKiller, da Kaspersky.

E, apesar das evidências, que seja esta apenas uma mentira.

O Tribunal informa a todos que tal “spam” não foi encaminhado pelo seu sistema e orienta aos que receberam o e-mail que o desconsiderem e não abram seu arquivo ou anexos dele em nenhuma hipótese. A Secretaria de Tecnologia da Informação do Tribunal não tem como identificar os destinatários do e-mail falso. Até o momento, a Secretaria recebeu ligações de servidor do Ministério da Cultura, de outros órgãos e, inclusive, de pessoas de outros estados.

Segue abaixo o teor do “spam” que não deve ser acessado por quem recebê-lo, sob pena de prejudicar a utilização do microcomputador do receptor da mensagem.

“Brasilia, 9 de março de 2009

SAFS – Quadra 06 – Lote 01 – Trecho III – CEP: 70095-900 – Brasília – DF
Telefone: (61) 3319-8900 | Informações Processuais: (61) 3319-9410
© 1996-2009 – Superior Tribunal de Justiça. Todos os direitos reservados.”

Fonte: Coordenadoria de Editoria e Imprensa do STJ

O Banco Central (BC) alerta para nova tentativa de golpe pela internet. Mensagem disparada para e-mails com a logomarca do Banco Central do Brasil convida clientes de várias instituições financeiras a atualizarem um suposto sistema de segurança.

Diante de mais essa tentativa de fraude, o BC orienta os usuários da internet para, em hipótese alguma, preencherem cadastro, copiarem arquivos ou executarem tarefas sugeridas por mensagens dessa natureza.

O BC reafirma que não envia e-mails diretamente a correntistas e usuários do sistema financeiro nacional, exceto quando responde a demandas específicas solicitadas por clientes de instituições financeiras.

O comunicado do BC, distribuído pela internet, afirma que quaisquer dúvidas devem ser esclarecidas nas centrais de atendimento do banco, por meio do telefone 0800 979 2345 ou pelo site www.bcb.gov.br, seção de atendimento ao cidadão (fale conosco).

Fonte: Agência Brasil

Sabe aquelas mensagens (recados, scraps) que você têm recebido convidando para entrar em comunidade, ver cartão de Natal, etc? Pois bem, a maioria é vírus – para não dizer todos -.

Veja abaixo alguns exemplos, entre aspas (em seguida, saiba como remover a infecção):

1.
“Fulano ,

****://www.orkut.com.br/Main#Community.aspx?cmm = 165439344”

O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = http://freedx01.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece um pequeno texto e abaixo um pedido pra votar numa foto, porém ao clicar o usuário é redirecionado para o site ****://tinyurl.com/5odm8f (URL denunciada e removida), que instala o malware.

2.
“Fulano ,

****://www.orkut.com.br/Main#Community.aspx?cmm = 165439344”

O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = http://xnewx01.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece o pedido “CLIQUE AQUI” “Para visualizar a foto e votar”, porém ao clicar você é redirecionado para o site ****://tinyurl.com/6t7jcn, que baixa o “fotos37.scr”, típica extensão de vírus.

O falso link de comunidade também nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = http://fotoyvip.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece o pedido “CLIQUE AQUI” “Para visualizar a foto e votar”, porém ao clicar você é redirecionado para o site ****://tinyurl.com/78u9wa, que baixa o “fotos306.scr”, típica extensão de vírus.

O falso link de comunidade ainda nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = http://blackorkx001x.blogspot.com/feeds/posts/default, que abre um feed. Nele aparece o pedido “CLIQUE AQUI” “Para visualizar a foto e votar”, porém ao clicar você é redirecionado para o site ****://tinyurl.com/4ynq54, que baixa o “fotos51.scr”, típica extensão de vírus.

3.
“To deixando esse cartão de natal antecipado
Até achar um presente pra vc
É a sua cara rsrsrsrs

****://www.CartoesNatal.Net/OrkutEngracados”

O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = http://webamizades06.blogspot.com/feeds/posts/default, que abre um feed. Nele existe uma grande ilustração com o pedido “Abrir Recado”, porém ao clicar você é redirecionado para o site ****://www.novostop.kit.net, que baixa o “videos.scr”, típica extensão de vírus.

4.
“Passei so pra deixar um cartão
E sua cara rsrsrs
ja antecipando o natal xau xau

****://www.Animania.Net/OrkutGifs”

O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = http://cartaonatalfeliz.blogspot.com/feeds/posts/default, que abre um feed. Nele existe uma grande ilustração com um pedido para “Abrir” e “Ver Cartão de Natal”, porém ao clicar você é redirecionado para o site ****://www.cardevirtual.kit.net, que baixa o “cardvirtual.scr”, típica extensão de vírus.

5.
“Oi joia fiz esse cartao pra vc
abri uma piada que a sua cara kkkkkk

****://www.orkut-girf.br.zipcard.net”

O falso link de comunidade nos leva ao endereço ****://www.orkut.com.br/Main#ViewFeed.aspx?feedurl = http://dogcartao.blogspot.com/feeds/posts/default, que abre um feed. Nele existe uma grande ilustração com o pedido “Abrir Recado”, porém ao clicar você é redirecionado para o site ****://www.amoreco0.kit.net, que baixa o “amizade.scr”, típica extensão de vírus.

Muitas outras amostras eu poderia expor, entretanto essas são suficientes para caracterizar o problema.

Para solucionar o caso, não encontrei nenhuma ferramenta que automatize o processo, mas o passo a passo manual é bem simples:

1. Copie esta postagem no editor de textos de sua preferência;
2. Feche seu(s) navegador(es): Mozilla Firefox, Internet Explorer, Chrome, entre outros;
3. Aperte simultaneamente as teclas Ctrl + Alt + Del (Delete);
4. O “Gerenciador de tarefas do Windows” deverá abrir na aba “Aplicativos”, clique na que possui o nome “Processos”, localize, observando a coluna “Nome da Imagem”, os processos “ree1.exe”, “ree2.exe” e/ou “ree3.exe”;
5. Individualmente, clique sobre cada um e aperte no botão “Finalizar processo”, que fica na parte inferior dessa mesma tela;
6. Abra o “Meu computador”, aperte F3 para abrir a pesquisa do Windows, selecione na coluna à direita “Todos os arquivos e pastas”, no campo “Todo ou parte do nome do arquivo” digite “ree” (sem aspas), então clique em “Mais opções avançadas”, marque as opções “Pesquisar pastas do sistema” e “Pesquisar arquivos e pastas ocultos”, e aperte no botão “Pesquisar”;
7. Concluída a pesquisa, clique com o botão direito do mouse sobre um dos arquivos encontrados (ree1, ree2 ou ree3) e depois em “Abrir pasta recipiente” ou “Abrir local do arquivo”;
8. Na pasta recipiente deverá ter todos os arquivos resultantes na pesquisa, portanto selecione-os e exclua-os;
9. Clique com o botão direito do mouse sobre a Lixeira e escolha “Esvaziar lixeira”;
10. Vá em Iniciar > Executar > digite “msconfig” (sem aspas) e aperte no botão “OK” para abrir o “Utilitário de configuração do sistema”. Na guia “Inicializar” retire da inicialização os arquivos com os nomes já citados.
11. Após as alterações é só clicar no botão “OK”. Irá aparecer uma janela perguntando se você deseja reiniciar o computador. Salve algum trabalho que tenha deixado aberto e reinicie a máquina.
12. Quando entrar novamente no Windows aparecerá uma janela de aviso, informando que foram feitas alterações na inicialização do sistema. Marque a opção “Não mostre esta mensagem ou iniciar o utilitário de configuração do sistema ao iniciar o Windows” e aperte no botão “OK” para fechar. Caso não marque esta opção, ao clicar no botão “OK” irá abrir o utilitário e toda vez que iniciar o sistema esta mensagem surgirá.
13. Pode entrar no Orkut normalmente, mas lembre-se de não clicar em links suspeitos. Confira sempre se o endereço que aparece na mensagem (apenas colocando o mouse em cima do link) é o mesmo exibido na barra de status do navegador. Não sendo, clique apenas com a autorização do seu amigo (ainda desconfiando dela).
    Nunca abra ou salve arquivos com extensão “.scr”. Ela é utilizada pelos protetores de tela (screensavers) do Windows, mas é também o principal formato para disseminação de vírus. Quer segurança? Fique longe deles!
    Reafirmo. Em todas as mensagens falsas citadas acima ocorreram vários redirecionamentos e levaram o usuário a executar arquivos “.scr” (poderia ser “.exe”, “.com”, “.bat”, etc.). Sempre desconfie disso.
14. Recomendo utilizar a ferramenta disponibilizada pelo portal Linha Defensiva, chamada BankerFix. Ela pode ser baixada no endereço http://www.linhadefensiva.org/dl/bankerfix, havendo informações adicionais em http://www.linhadefensiva.org/bankerfix/;
15. Persistindo os sintomas, marque uma visita com um técnico de sua confiança.

Faça sua parte e contribua para uma navegação segura.

PS.: Os passos indicados são baseados no Windows XP, mas devem funcionar também no Windows Vista. Apesar de não utilizar aquele sistema, nem tê-lo instalado, creio que seja o mais afetado pela praga.

A cara-de-pau dos scammers (golpistas da Internet) realmente não tem limites. Prova disso é o falso e-mail que foi detectado hoje, 2 de junho, circulando pela rede. Como se já não bastasse a confusão causada por worms, como Netsky e Bagle, e os avisos de contaminação enviados de programas antivírus para usuários inocentes, os golpistas criaram uma mensagem fraudulenta baseada num desses avisos. Quem cair na armadilha poderá ter sua conta bancária “zerada”.

Para entender o golpe, é preciso conhecer o funcionamento de alguns worms atuais e de softwares antivírus instalados em servidores. Um desses worms é o Netsky, cujo nome foi utilizado no esquema fraudulento. O Netsky consegue infectar uma máquina A e recolher quantos endereços de e-mail puder encontrar no sistema. Em seguida, cria uma mensagem infectada usando o endereço de e-mail de um usuário B e a envia para um usuário C. Ambos os endereços estavam presentes na máquina A.

Só isso já é suficiente para criar uma bela confusão, pois o usuário B pode jamais ter tido sua máquina infectada e mesmo assim seu endereço estará circulando como remetente de vírus pela Internet. Mas para piorar ainda mais a situação, alguns provedores instalaram antivírus no gateway de seus servidores e deixaram habilitada uma configuração que avisa o suposto remetente de uma mensagem contaminada, quando esta é detectada pelo sistema.

Acontece que, como o Netsky e outros worms semelhantes forjam o endereço dos remetentes destas mensagens, vários usuários receberão avisos de um provedor sem nunca ter enviado vírus a ninguém. Ou seja, o remédio se torna pior do que a doença, e muitos usuários têm ficado desesperados ao receberem os tais avisos.

Foi nesta brecha que os golpistas se infiltraram. Aproveitando um dos avisos em português, gerado pelo MAV Antivírus, criaram uma falsa mensagem com um link para “atualizar o antivírus” e “remover o vírus” do sistema. Mas o link, na verdade, leva a um trojan, que até o momento em que este texto foi ao ar ainda estava disponível no endereço http://www.meumundo.americaonline.com.br/vacinas2004/MAV-Antivirus.exe.

O trojan foi identificado como Troj_Bancos.P, um programa projetado para simular teclados virtuais de vários bancos brasileiros, entre eles o Banco do Brasil, o Itaú e o Bradesco, roubar as senhas dos correntistas e enviar, por e-mail, as informações para os golpistas.

A falsa mensagem é um primor de cinismo. Os textos originais foram modificados, de tal forma a indicar que se trata de uma fraude, mas de maneira sutil o suficiente para enganar os usuários menos atentos. A frase “vírus enviado pelo seu computador”, por exemplo, foi substituída por “vírus enviado para seu computador”. Já a frase “a mensagem foi enviada para a(s) seguinte(s) pessoa(s)”, seguida do endereço de e-mail para onde o vírus teria sido enviado, foi substituída simplesmente por “esse vírus foi enviado para vária(s) pessoa(s)”.

Neste ponto, deve-se frisar também que o aviso legítimo do MAV Antivírus, comercializado no Brasil pela Mais Informática, é, por si só, uma pérola. Sem considerar as possibilidades de falsificação de remetentes empregadas por vários worms modernos, a mensagem declara categoricamente: “Nosso antivírus detectou que você mandou um e-mail contendo o(s) seguinte(s) vírus”. Logo depois, vem a indicação do vírus detectado. Quem recebe uma mensagem como esta e não tem noção das técnicas de disseminação dos worms atuais, sofre um verdadeiro choque, principalmente usuários novatos ou mais impressionáveis, que se assustam apenas com a menção da palavra “vírus”.

Vários outros produtos antivírus têm enviado avisos semelhantes a internautas inocentes, mas a mensagem do MAV Antivírus, ao afirmar que “você mandou um e-mail” contendo um vírus, é uma das mais ostensivas. Uma cópia da mensagem verdadeira pode ser vista aqui, e comparada com a mensagem falsa, aqui.

Fonte: InfoGuerra