Como as demais pragas do gênero, o vírus envia mensagens automatizadas, dessa vez prometendo um vídeo do “sapo motoqueiro”. Quando o usuário executar, será infectado pelo worm, que então enviará mensagens para sua lista de contatos e roubará senhas de banco.
A mensagem enviada pelo worm é a seguinte:
Da uma olhada nesse link é um video do sapo motoqueiro, é muito legal.
http://[removido]/sapo_motoqueiro.cmd
A tática de enganação usada pelo worm é levada um passo adiante quando o vídeo do Sapo Motoqueiro é realmente exibido após a sua execução. O worm carrega uma animação do site VideosLegais.com.br chamada “sapo_motoqueiro.wmv” e a exibe no sistema do usuário, enquanto a praga termina de se instalar no sistema.
Worm carrega animação para enganar usuário
É interessante também notar que o worm utiliza a extensão .cmd para se espalhar que, apesar de ser tratada com uma extensão executável qualquer, é raramente utilizada para isso.
Após instalada, a praga envia a mensagem espalhando o vírus quando o usuário abrir uma janela de contato no MSN. O usuário pode claramente ver que a mensagem foi enviada, o que significa que a tática de enganação do worm se torna inútil.
Além de espalhar, a praga é um clássico trojan “Banker”, pois monitora o título da janela do Internet Explorer e, caso a mesma possua certas palavras relacionadas à sites de bancos, o worm inicia um outro programa, que por sua vez configura um terceiro, que fica encarregado de roubar as senhas do usuário.
Ferramenta de Remoção
A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A praga instala diversos arquivos no computador, mas somente dois precisam ser removidos para que o worm seja completamente desabilitado.
http://linhadefensiva.uol.com.br/files/bat/msn-sapo.bat
A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.
Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C: ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.
Para saber mais acesse: http://linhadefensiva.uol.com.br/noticias/