Super Infectados.

Pois é pessoal nessa segunda quinzena de maio os laboratorios
de informática da nossa querida escola foram infectados por vários
tipos de vírus e trojans, que fazem de tudo desde bloquear o seu
pen-drive até tranformar o seu pc em um zumbi(computador usado pelos
hackers para atacar outros pcs).
Bom vou passar agora o nome a descrição e o que cada um dos nossos queridos
amiguinhos é capaz de fazer.
Vamos começar com o que nós sabemos sobre JFVKCSY.BAT:

O arquivo JFVKCSY.BAT detectado pela primeira vez em Abril 29 2008 na União Europeia.
Ele também tem sido detectado nas seguintes regiões geográficas:
* EGITO no dia 2 de maio de 2008,
* No Reino Unido também no dia 2 de maio de 2008,
* Na ARGÉLIA no dia 15 de maio de 2008,
* Na ESPANHA também no dia 15 de maio de 2008,
* E mais recentemente no BRASIL no dia 17 de maio de 2008.
O nome do arquivo JFVKCSY.BAT refere-se a muitas versões de um programa executável.
O Tamanho mais comum do arquivo é de 260.796 bytes.
Mas os seguintes tamanhos foram também detectados:

* 133,120 bytes
* 104,448 bytes
* 124,928 bytes
* 104,269 bytes

O arquivos que usam este nome(JFVKCSY.BAT) estão associados com o malware do grupo KAVKOP: Trojan-A.
Estes arquivos não têm qualquer fornecedor, produto ou versão ou até memso informações especificadas no cabeçalho do arquivo.
O JFVKCSY.BAT é responsável pelos processos:

* O arquivo é encriptado utilizando um software processo de encriptação.
* Cria outros arquivos no disco.
* Ele elimina outros arquivos do disco.
* Executa um processo.
* Introduz o seu código em outros arquivos.
* Ele pesquisa quais os programas de segrança estão sendo executados no sistema.
* Desabilita o uso do modo de segurança.
* Analisa e altera o conteúdo do arquivo autoexec.bat.
* Lê e-mail e endereços ,do programa leitor de emails usado na maquina infectada.
* Utiliza o DNS para copiar o endereço IP utilizado pela máquina.
* Adiciona uma chave secreta (RUN) para iniciar programas no Auto-run.
* Sobrecarrega os processos da Memória Virtual (Seqüestro de memória).
* Visitas web sites sem o usuário saber.
* O arquivo é polimorfa e pode alterar a sua estrutura.

Além disso o JFVKCSY.BAT também é responsável pelos seguintes comportamentos:

* É executado como um processo.
* Criado como um processo em disco.
* Se auto copia para vários locais no sistema.
* Pode excluír um processo de disco.
* Auto inseri o seu código na Memória Virtual ocupando o espaço usado pelos programas.

O JFVKCSY.BAT também pode utilizar os seguintes nomes de arquivos:



Disk Knight

Tem umas duas semanas que eu notei uma coisa estranha. Toda vez que eu
colocava meu pendrive no computador aparecia um iconezinho dizendo
que o Disk Knight estava protejendo meu drive USB contra invasores.
No início achei que não tinha nenhum problema, que este era mais um
tipo de segurança do Windows. Mas o que achei estranho foi que quando
pluguei ele no meu computador, que usa o AVAST PROFISIONAL, E foi
detectado um programa indesejável... precisamente o Disk Knight.

Pesquisei na net e descobri que ele não é um vírus, mas age como um.
O que acontece é que um cara de Bangladesh, que estuda informática,
teve um pensamento muito simples: Se os vírus se espalham pelo USB do
flash drive durante o autorun do Windows, nada mais fácil do que fazer
um programa que desativa o mesmo, não? Até aí tudo bem, fosse o cara
fazer um site e espalhar a idéia, instala quem quer o negócio. Mas não,
ele teve uma idéia ainda mais brilhante: Vou fazer meu programa funcionar
como os vírus que ele combate.

Resultado: Quando você pluga seu pen drive em qualquer computador com
esta praga instalada, a mesma é automaticamente instalada no seu pen,
aí quando você pluga ele em outro computador ele se instala automaticamente
no novo computador. Aí quando você ou outra pessoa colocar um pen drive
ou MP4 ou MP3 no seu computador, ele se instala no pen drive e assim por diante,
eu soube que até Ipods ele infecta. Maravilhoso, não? NÃO! Eu nunca pedi a ajuda
desse cara! Eu amo meu autorun do USB, eu tomo cuidado onde plugo meu MP3 Player.

Agora vamos para a parte importante. Eu achei como desinstalar este programa do
computador, O crédito do tutorial que encontrei é da empresa de segurança digital
Precise Security, que publicou o tutorial abaixo em seu site.

1. Desabilite temporariamente o autorun do seu drive USB (WXP)
a. Abra o Windows Explorer ou pressione o botão do Windows + letra "E".
b. Clique com o botão direito do mouse no drive USB. Depois clique em Propriedades.
As propriedades do Drive vão aparecer.
c. Selecione a aba Execução Automática.
d. Clique em Ações.
e. Entre as últimas opções está "Nenhuma Ação", selecione a mesma e clique em Aplicar.
f. Clique em OK.

2. Mostrar arquivos ocultos
a. Abrir o Windows Explorer.
b. Clique em Ferramentas, depois em Opções de pasta.
c. Clique na aba Modos de Exibição, marque as opções "Mostrar pastas e arquivos ocultos"
e "Ocultar arquivos protegidos do sistema operacional".
d. Clique em OK

3. Delete os arquivos manualmente
a. Vá no seu pen drive e delete os arquivos "autorun.inf" e "Knight.exe".
b. Vá na pasta C: e delete o arquivo "autorun.inf", caso o mesmo exista.
c. Vá na pasta C:\Windows e delete o arquivo "Disk Knight.exe".


4.Limpe as entradas de registro do windows(Utilize o programa MV RegClean 5.5)
5. Conecte na internet e atualize seu antivírus

6. Reinicie seu computador em "Modo de Segurança"
a. Durante a inicialização do seu computador pressione repetidamente a tecla "F8"
até a tele de seleção aparecer.
b. Use as setas do teclado para selecionar a opção "Modo de Segurança".
c. Aperte o botão "Enter".

7. Com o computador em "Modo de Segurança" rode o seu antivírus deletando todos os
arquivos que aparecerem como infectados.

Agora você pode re-habilitar seu autorun.

O tutorial é enorme mas eu acho que é necessário para quem não quiser ter essa praga
no computador.


Bom espero ter tirado algumas das suas dúvidas sobre essas pragas que estão atacando os
laboratórios da nossa querida escola.OK.

FFFFFFFFUUUUUUUUIIIIIIIIIIIIIIIIIIIIIIIIII.
.