Ferramenta de detecção e remoção dos efeitos do Download.Ject

• Monitoriza o acesso à Internet. Quando o utilizador visita um de vários Web sites financeiros ou do ISP, o cavalo de Tróia captura informações confidenciais, como nomes de início de sessão, palavras-passe, entre outras. Em seguida, o cavalo de Tróia envia essas informações para um servidor da Web, para que o autor do mesmo as obtenha. Instala um servidor proxy que configura o computador do utilizador para utilização como um retransmissor, para acções como, por exemplo, envio de correio electrónico publicitário não solicitado (spam).
• Abre caixas de diálogo falsas que pedem a introdução de informações confidenciais ao utilizador, como códigos de cartões ATM ou números de cartões de crédito. Em seguida, estas informações são enviadas para um servidor da Web, para que o autor do cavalo de Tróia as obtenha.

Actualizações técnicas

• 14 de Julho de 2004: foram actualizadas as secções "Sumário", "Resolução" e "Informações de utilização".
• 13 de Julho de 2004: A Microsoft disponibilizou a versão 1.0 da ferramenta de detecção e remoção dos efeitos do Download.Ject no centro de transferências da Microsoft. A versão 1.0 detecta e remove todas as variantes actualmente conhecidas (A a H) do cavalo de Tróia Backdoor:W32/Berbew.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Poderá detectar um ou mais dos seguintes sintomas:

• O desempenho do computador diminui ou a ligação de rede é lenta.
• Recebe mensagens ou caixas de diálogo que solicitam números de segurança de ATM e informações de cartões de crédito quando visita determinados Web sites financeiros ou de ISP online.

Este comportamento ocorre porque o computador está infectado com o cavalo de Tróia Backdoor:W32/Berbew. O Backdoor:W32/Berbew é distribuído pelo cavalo de Tróia Download.Ject. Para obter mais informações sobre como determinar se o computador está infectado com uma variante do Backdoor:W32/Berbew, visite o seguinte Web site da Microsoft:

Um software antivírus com assinaturas actualizadas ajudá-lo-á a evitar que o cavalo de Tróia Backdoor:W32/Berbew infecte o seu computador.

Importante: recomenda-se também a utilização de um firewall da Internet e de um programa antivírus com assinaturas actualizadas, e que mantenha o Windows e os programas actualizados.

Para obter informações adicionais sobre como evitar vírus, e sobre como recuperar de infecções dos mesmos, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Informações de transferência e instalação

O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:
Data de edição: 13 de Julho de 2004

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Pré-requisitos

A ferramenta de detecção e remoção dos efeitos do Download.Ject tem os seguintes pré-requisitos:

• O computador tem de ter o Microsoft Windows 2000 SP2 ou posterior, ou uma versão de 32 bits do Microsoft Windows XP.
• Tem de iniciar sessão como administrador do computador ou como membro do grupo de administradores.

Para obter informações adicionais sobre como determinar se um computador tem uma versão de 32 ou 64 bits do Windows XP, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): Se estes pré-requisitos não forem cumpridos, a instalação não funcionará e receberá uma mensagem de erro. Para obter mais informações sobre a mensagem de erro, consulte o seguinte ficheiro de registo: Além disso, recomendamos que instale a actualização do Windows que desactiva o objecto ADODB.Stream no Internet Explorer, antes de executar a ferramenta de remoção. Apesar de a ferramenta de remoção remover o cavalo de Tróia de computadores infectados, não impedirá a reinfecção se o computador continuar vulnerável. Ao instalar a actualização crítica, poderá evitar transferências adicionais de software malicioso a partir de um servidor infectado com o Download.Ject.

Para obter informações adicionais sobre a actualização do Windows para desactivar o objecto ADODB.Stream, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Necessidade de reinício

Não é necessário reiniciar o computador depois de instalar esta ferramenta.

Informações de utilização

Importante: antes de avançar para os passos que se seguem, certifique-se de que efectuou uma cópia de segurança de todos os dados importantes.

Quando instala a ferramenta de detecção e remoção dos efeitos do Download.Ject e aceita o contrato de licença do utilizador final (EULA), o pacote de instalação extrai o ficheiro Berbcln.exe para uma pasta temporária e, em seguida, a ferramenta de remoção é executada. A ferramenta de remoção verifica se o computador cumpre os pré-requisitos listados na secção "Pré-requisitos". Se os pré-requisitos forem cumpridos, a ferramenta de remoção efectua as seguintes acções:

1. A ferramenta verifica a existência de entradas adicionadas pelo cavalo de Tróia nas seguintes subchaves do registo:
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
2. A ferramenta verifica a existência de indícios do componente principal do cavalo de Tróia Backdoor:Win32/Berbew na memória. Se a ferramenta de remoção encontrar este componente, o processo é terminado.
3. A ferramenta procura os seguintes ficheiros de dados, criados pelo cavalo de Tróia. Estes ficheiros poderão conter dados pessoais confidenciais. A ferramenta elimina estes ficheiros.
   Neh2x32.vxd
   Neh2x32.dat
   Glumx32.vxd
   Glumx32.dat
   Tt32.vxd
   Tt32.dat
   Gart32.vxd
   Gart32.dat
   Jcole32.vxd
   Jcole32.dat
   Kk32.dll
   Kk32.dll
   Dnkk.dll
   Surf.dat
   Kkq32.dll
   Kkq32.vxd
   Dnkkq.dll
   Kar32.dll
   Kar32.vxd
   Dkk32.dll
   Zurfs.dat
4. A ferramenta elimina todos os ficheiros associados ao cavalo de Tróia Backdoor:W32/Berbew. Estes ficheiros foram identificados nos passos 1 e 2.
5. A ferramenta remove as entradas do registo identificadas no passo 1. Se um valor de registo do Berbew já não apontar para um ficheiro do disco rígido, a ferramenta de remoção não remove o valor de registo órfão porque este não provocará qualquer dano se o ficheiro associado não existir no disco.
6. Como parte do respectivo método de funcionamento, o cavalo de Tróia executa duas instâncias do Microsoft Internet Explorer em janelas ocultas. Estas janelas tentam estabelecer ligação a Web sites maliciosos. Uma das instâncias tenta enviar dados pessoais roubados e a outra procura actualizações de software para o cavalo de Tróia. Se a ferramenta detectar o cavalo de Tróia Backdoor:W32/ Berbew no computador, termina todas as instâncias do Internet Explorer actualmente em execução.
7. A ferramenta apresenta uma mensagem que descreve o resultado do processo de detecção e remoção. A lista que se segue contém as mensagens que poderá receber e o respectivo significado.
   Reduzir esta tabelaExpandir esta tabela

   Mensagem	Significado
   No infection detected	O cavalo de Tróia Backdoor:Win32/Berbew não foi detectado neste computador.
   Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.	O cavalo de Tróia Backdoor:Win32/Berbew foi removido. Não é necessária nenhuma acção adicional.
   This tool must be run by an administrator.	Tem de terminar a sessão e iniciar sessão novamente, como administrador.
   Fatal error, please review log file.	Consulte o ficheiro %Windir%\Debug\Berbcln.log para obter mais informações.
   Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.	Tente executar novamente a ferramenta e verifique a existência de erros no ficheiro de registo.
   This tool requires Windows 2000 or Windows XP.	A ferramenta não é suportada em versões do Windows diferentes do Windows 2000 e Windows XP.
   Incorrect Windows version (Win32s)	Esta ferramenta não é suportada no Windows 3.1 com Win32s.

   Quando fechar a caixa de mensagem, a ferramenta de remoção será terminada e o ficheiro Berbcln.exe será eliminado da pasta temporária. Poderá agora eliminar o ficheiro Windows-KB873018-ENU-V1.exe manualmente.
8. A ferramenta de remoção cria um ficheiro de registo denominado Berbcln.log na pasta %Windir%\Debug. Pode visualizar este ficheiro de registo para determinar se foram detectadas e removidas infecções de Backdoor:W32/Berbew.gen.

Parâmetros da linha de comandos

O programa de instalação da ferramenta de remoção suporta os seguintes parâmetros da linha de comandos:

• /Q - utiliza o modo silencioso ou suprime mensagens quando os ficheiros estão a ser extraídos.
• /Q:U - utiliza o modo silencioso de utilizador. Este modo apresenta algumas caixas de diálogo ao utilizador.
• /Q:A - utiliza o modo silencioso de administrador. Este modo não apresenta quaisquer caixas de diálogo ao utilizador.
• /T: caminho - especifica a localização da pasta temporária utilizada pelo programa de configuração da ferramenta de detecção e remoção dos efeitos do Download.Ject ou a pasta de destino para extrair os ficheiros (quando utilizado com o parâmetro /C).
• /C - extrai os ficheiros sem os instalar. Caso /T: caminho não seja especificado, é-lhe pedida a especificação de uma pasta de destino.
• /C: cmd - especifica o caminho e o nome de outro ficheiro Setup.inf ou um ficheiro .exe a utilizar para instalar a ferramenta.
• /R:N - nunca reinicia o computador após a instalação.
• /R:I - solicita ao utilizador que reinicie o computador, se for necessário, excepto quando este parâmetro é utilizado com o parâmetro /Q:A.
• /R:A - reinicia sempre o computador após a instalação.
• /R:S - reinicia o computador após a instalação sem solicitar a confirmação do utilizador.

Para obter informações adicionais sobre os parâmetros de instalação suportados, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): A ferramenta de remoção suporta o seguinte parâmetro da linha de comandos:

• /S - activa o modo silencioso para a ferramenta. Este parâmetro suprime a caixa de diálogo sobre o estado de infecção que recebe após a execução da ferramenta.

Informações de remoção

O ficheiro Berbcln.exe é automaticamente eliminado da localização temporária após a execução da ferramenta de remoção. Pode eliminar o programa de instalação da ferramenta depois de instalar a mesma.

Nota: após a instalação da ferramenta de detecção e remoção dos efeitos do Download.Ject, esta não é apresentada na lista de programas instalados da ferramenta Adicionar/remover programas (Add/Remove Programs) do Painel de controlo (Control Panel).