Ferramenta de detecção e remoção dos efeitos do Download.Ject

Sumário

A Microsoft tomou conhecimento de um programa do tipo cavalo de Tróia, denominado W32/Berbew (variantes A a H), que é transferido após a infecção de um computador cliente baseado em Windows pelo software malicioso Download.Ject. Este problema ocorre quando um utilizador visita um Web site hospedado num servidor com o Microsoft IIS (Serviços de informação Internet - Internet Information Services) em execução que tenha sido infectado com o JS.Scob. As páginas Web transferidas para o computador do utilizador contêm um programa em JavaScript adicional que transfere o cavalo de Tróia Backdoor:W32/Berbew. O Backdoor:W32/Berbew também é conhecido por Backdoor-AXJ, Webber ou Padodor. Quando este cavalo de Tróia é executado no computador do utilizador, efectua várias acções, incluindo as seguintes:

  • Monitoriza o acesso à Internet. Quando o utilizador visita um de vários Web sites financeiros ou do ISP, o cavalo de Tróia captura informações confidenciais, como nomes de início de sessão, palavras-passe, entre outras. Em seguida, o cavalo de Tróia envia essas informações para um servidor da Web, para que o autor do mesmo as obtenha. Instala um servidor proxy que configura o computador do utilizador para utilização como um retransmissor, para acções como, por exemplo, envio de correio electrónico publicitário não solicitado (spam).

  • Abre caixas de diálogo falsas que pedem a introdução de informações confidenciais ao utilizador, como códigos de cartões ATM ou números de cartões de crédito. Em seguida, estas informações são enviadas para um servidor da Web, para que o autor do cavalo de Tróia as obtenha.

A Microsoft disponibilizou uma ferramenta para o ajudar a remover as variantes do cavalo de Tróia Backdoor:W32/Berbew do computador. Pode transferir esta ferramenta a partir do centro de transferências da Microsoft e executá-la no computador para remover infecções de Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G e Backdoor:W32/Berbew.H.Actualizações técnicas

  • 14 de Julho de 2004: foram actualizadas as secções "Sumário", "Resolução" e "Informações de utilização".

  • 13 de Julho de 2004: A Microsoft disponibilizou a versão 1.0 da ferramenta de detecção e remoção dos efeitos do Download.Ject no centro de transferências da Microsoft. A versão 1.0 detecta e remove todas as variantes actualmente conhecidas (A a H) do cavalo de Tróia Backdoor:W32/Berbew.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Sintomas

Poderá detectar um ou mais dos seguintes sintomas:

  • O desempenho do computador diminui ou a ligação de rede é lenta.

  • Recebe mensagens ou caixas de diálogo que solicitam números de segurança de ATM e informações de cartões de crédito quando visita determinados Web sites financeiros ou de ISP online.

Causa

Este comportamento ocorre porque o computador está infectado com o cavalo de Tróia Backdoor:W32/Berbew. O Backdoor:W32/Berbew é distribuído pelo cavalo de Tróia Download.Ject. Para obter mais informações sobre como determinar se o computador está infectado com uma variante do Backdoor:W32/Berbew, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/portugal/seguranca/incidentes/Download_Ject.mspx

Resolução

Um software antivírus com assinaturas actualizadas ajudá-lo-á a evitar que o cavalo de Tróia Backdoor:W32/Berbew infecte o seu computador.

Importante: recomenda-se também a utilização de um firewall da Internet e de um programa antivírus com assinaturas actualizadas, e que mantenha o Windows e os programas actualizados.

Para obter informações adicionais sobre como evitar vírus, e sobre como recuperar de infecções dos mesmos, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

129972 Descrição de vírus de computadores

Informações de transferência e instalação

O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:

Transferir o pacote 873108 agora.Data de edição: 13 de Julho de 2004

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Pré-requisitos

A ferramenta de detecção e remoção dos efeitos do Download.Ject tem os seguintes pré-requisitos:

  • O computador tem de ter o Microsoft Windows 2000 SP2 ou posterior, ou uma versão de 32 bits do Microsoft Windows XP.

  • Tem de iniciar sessão como administrador do computador ou como membro do grupo de administradores.

Para obter informações adicionais sobre como determinar se um computador tem uma versão de 32 ou 64 bits do Windows XP, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

827218 How to determine whether your computer is running a 32-bit version or 64-bit version of Windows XP

Se estes pré-requisitos não forem cumpridos, a instalação não funcionará e receberá uma mensagem de erro. Para obter mais informações sobre a mensagem de erro, consulte o seguinte ficheiro de registo:

%Windir%\Debug\Berbcln.logAlém disso, recomendamos que instale a actualização do Windows que desactiva o objecto ADODB.Stream no Internet Explorer, antes de executar a ferramenta de remoção. Apesar de a ferramenta de remoção remover o cavalo de Tróia de computadores infectados, não impedirá a reinfecção se o computador continuar vulnerável. Ao instalar a actualização crítica, poderá evitar transferências adicionais de software malicioso a partir de um servidor infectado com o Download.Ject.

Para obter informações adicionais sobre a actualização do Windows para desactivar o objecto ADODB.Stream, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

870669 Como desactivar o objecto ADODB.Stream do Internet Explorer

Necessidade de reinício

Não é necessário reiniciar o computador depois de instalar esta ferramenta.

Informações de utilização

Importante: antes de avançar para os passos que se seguem, certifique-se de que efectuou uma cópia de segurança de todos os dados importantes.

Quando instala a ferramenta de detecção e remoção dos efeitos do Download.Ject e aceita o contrato de licença do utilizador final (EULA), o pacote de instalação extrai o ficheiro Berbcln.exe para uma pasta temporária e, em seguida, a ferramenta de remoção é executada. A ferramenta de remoção verifica se o computador cumpre os pré-requisitos listados na secção "Pré-requisitos". Se os pré-requisitos forem cumpridos, a ferramenta de remoção efectua as seguintes acções:

  1. A ferramenta verifica a existência de entradas adicionadas pelo cavalo de Tróia nas seguintes subchaves do registo:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. A ferramenta verifica a existência de indícios do componente principal do cavalo de Tróia Backdoor:Win32/Berbew na memória. Se a ferramenta de remoção encontrar este componente, o processo é terminado.

  3. A ferramenta procura os seguintes ficheiros de dados, criados pelo cavalo de Tróia. Estes ficheiros poderão conter dados pessoais confidenciais. A ferramenta elimina estes ficheiros.

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. A ferramenta elimina todos os ficheiros associados ao cavalo de Tróia Backdoor:W32/Berbew. Estes ficheiros foram identificados nos passos 1 e 2.

  5. A ferramenta remove as entradas do registo identificadas no passo 1. Se um valor de registo do Berbew já não apontar para um ficheiro do disco rígido, a ferramenta de remoção não remove o valor de registo órfão porque este não provocará qualquer dano se o ficheiro associado não existir no disco.

  6. Como parte do respectivo método de funcionamento, o cavalo de Tróia executa duas instâncias do Microsoft Internet Explorer em janelas ocultas. Estas janelas tentam estabelecer ligação a Web sites maliciosos. Uma das instâncias tenta enviar dados pessoais roubados e a outra procura actualizações de software para o cavalo de Tróia. Se a ferramenta detectar o cavalo de Tróia Backdoor:W32/ Berbew no computador, termina todas as instâncias do Internet Explorer actualmente em execução.

  7. A ferramenta apresenta uma mensagem que descreve o resultado do processo de detecção e remoção. A lista que se segue contém as mensagens que poderá receber e o respectivo significado.

    Mensagem

    Significado

    No infection detected

    O cavalo de Tróia Backdoor:Win32/Berbew não foi detectado neste computador.

    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.

    O cavalo de Tróia Backdoor:Win32/Berbew foi removido. Não é necessária nenhuma acção adicional.

    This tool must be run by an administrator.

    Tem de terminar a sessão e iniciar sessão novamente, como administrador.

    Fatal error, please review log file.

    Consulte o ficheiro %Windir%\Debug\Berbcln.log para obter mais informações.

    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.

    Tente executar novamente a ferramenta e verifique a existência de erros no ficheiro de registo.

    This tool requires Windows 2000 or Windows XP.

    A ferramenta não é suportada em versões do Windows diferentes do Windows 2000 e Windows XP.

    Incorrect Windows version (Win32s)

    Esta ferramenta não é suportada no Windows 3.1 com Win32s.

    Quando fechar a caixa de mensagem, a ferramenta de remoção será terminada e o ficheiro Berbcln.exe será eliminado da pasta temporária. Poderá agora eliminar o ficheiro Windows-KB873018-ENU-V1.exe manualmente.

  8. A ferramenta de remoção cria um ficheiro de registo denominado Berbcln.log na pasta %Windir%\Debug. Pode visualizar este ficheiro de registo para determinar se foram detectadas e removidas infecções de Backdoor:W32/Berbew.gen.

Parâmetros da linha de comandos

O programa de instalação da ferramenta de remoção suporta os seguintes parâmetros da linha de comandos:

  • /Q - utiliza o modo silencioso ou suprime mensagens quando os ficheiros estão a ser extraídos.

  • /Q:U - utiliza o modo silencioso de utilizador. Este modo apresenta algumas caixas de diálogo ao utilizador.

  • /Q:A - utiliza o modo silencioso de administrador. Este modo não apresenta quaisquer caixas de diálogo ao utilizador.

  • /T:
    caminho - especifica a localização da pasta temporária utilizada pelo programa de configuração da ferramenta de detecção e remoção dos efeitos do Download.Ject ou a pasta de destino para extrair os ficheiros (quando utilizado com o parâmetro /C).

  • /C - extrai os ficheiros sem os instalar. Caso /T:
    caminho não seja especificado, é-lhe pedida a especificação de uma pasta de destino.

  • /C:
    cmd - especifica o caminho e o nome de outro ficheiro Setup.inf ou um ficheiro .exe a utilizar para instalar a ferramenta.

  • /R:N - nunca reinicia o computador após a instalação.

  • /R:I - solicita ao utilizador que reinicie o computador, se for necessário, excepto quando este parâmetro é utilizado com o parâmetro /Q:A.

  • /R:A - reinicia sempre o computador após a instalação.

  • /R:S - reinicia o computador após a instalação sem solicitar a confirmação do utilizador.

Para obter informações adicionais sobre os parâmetros de instalação suportados, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

197147 Command-line switches for IExpress software update packages

A ferramenta de remoção suporta o seguinte parâmetro da linha de comandos:

  • /S - activa o modo silencioso para a ferramenta. Este parâmetro suprime a caixa de diálogo sobre o estado de infecção que recebe após a execução da ferramenta.

Informações de remoção

O ficheiro Berbcln.exe é automaticamente eliminado da localização temporária após a execução da ferramenta de remoção. Pode eliminar o programa de instalação da ferramenta depois de instalar a mesma.

Nota: após a instalação da ferramenta de detecção e remoção dos efeitos do Download.Ject, esta não é apresentada na lista de programas instalados da ferramenta Adicionar/remover programas (Add/Remove Programs) do Painel de controlo (Control Panel).

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×