Symantec

Backdoor.Badcodor

Categoria 1
Data da descoberta: 10/06/2003
Data da última atualização: 22/02/2006

O Backdoor.Badcodor é um Cavalo de tróia que fornece a seu criador acesso total ao computador infectado. A existência do arquivo Los.exe ou do arquivo Msdosdll.exe é uma indicação de possível infecção.
O Backdoor.Badcodor também possui a capacidade de registrar os eventos do teclado.

Em 18 de agosto de 2003 o Symantec Security Response foi notificado de uma tentativa de fazer com que destinatários de uma mensagem de e-mail façam o download do Backdoor.Badcodor. A mensagem de e-mail, em Português, reproduz de maneira falsa uma página da Web da Symantec.

A falsa página da web contém o título:

"Virus Win32 Prejudicial e capiturador. Como fazer uma varredura no Windows, Ultilize o VarreSystem"

e contém um link para um arquivo em certo website. Caso o link seja acessado, ele tenta fazer o download do Backdoor.Badcodor.

Em outros casos a mensagem falsa clama ter sido enviada pela Microsoft, sugerindo que os usuários atualizem seu software antivírus da Symantec clicando no link indicado no e-mail.

A falsa mensagem da Microsoft, com o título de "norton anti-virus" (sic), contém o seguinte texto:

"Proteja seu computador com anti-virus
Atualize sempre o Norton
clique aqui e atualize
A rede de computadores mundial se preocupa com sua segurança."

Da mesma forma, caso o link seja acessado, ele tenta fazer o download do Backdoor.Badcodor.

As mensagens mencionadas acima não foram enviadas pela Symantec nem pela Microsoft. Se você as receber, exclua-as.

Também conhecido como: Backdoor.Badcodor.b [KAV], Keylog-Spider [McAfee], BKDR_BADCODOR.B [Trend], TROJ_SPIDER.C [Trend], Troj/Spider-D [Sophos]
Tipo: Trojan Horse
Tamanho da infecção: 482,816 bytes, 601,600 bytes
Sistemas afetados: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemas não afetados: Windows 3.x, Macintosh, OS/2, UNIX, Linux

proteção
  • Definições de vírus (LiveUpdate™ semanal)

    • 11/06/2003
  • Definições de vírus (Intelligent Updater)

    • 11/06/2003

    avaliação da ameaça

    Propagação

    Estatísticas da ameaça
    Baixo Médio Baixo

    Propagação:
    Baixo

    Dano:
    Médio

    Distribuição:
    Baixo

    Dano

    detalhes técnicos

    Quando o Backdoor.Badcodor é executado, ele faz o seguinte:

    1. Cria as seguintes linhas na pasta %System%:
      • File.bck
      • Los.exe
      • KeyChar.dll
      • Kt_dll.dll
      • List.txt
      • Msdosdll.exe
      • MsdosDll.ine
      • Winsee32.ver

        NOTA: Apenas os arquivos Los.exe e Msdosdll.exe são virais. Portanto, estes serão os únicos a serem detectados como tal.

    2. Adiciona o valor:

      "load system"="C:\WINDOWS\SYSTEM\MSDOSDLL.EXE"

      a chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    recomendações

    O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:

    • Desative e exclua os serviços de que não precisa. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que nem todos utilizam, como clientes FTP, telnet e servidores Web. Só que esses serviços são verdadeiras vias de ataque. Se removidos, além de menos vias de ataque, você terá menos serviços e, assim, menos atualizações de correções com que se preocupar.
    • Se uma ameaça diversificada atingir serviços de rede, desative-os ou bloqueie acesso a eles até poder aplicar uma correção.
    • Mantenha seus níveis de correção sempre atualizados, especialmente no caso de computadores que abrigam serviços públicos e são acessíveis através do firewall, como os de HTTP, FTP, correio e DNS.
    • Adote uma senha. As senhas compostas dificultam a quebra dos arquivos de senha dos computadores afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.
    • Configure seu servidor para bloquear ou remover e-mail que tenha arquivos anexados com extensões comumente usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.
    • Isole rapidamente os computadores infectados, a fim de evitar um ainda maior comprometimento de sua empresa. Faça uma análise posterior e restaure o computador usando meios confiáveis.
    • Treine os funcionários a não abrir os anexos não esperados. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode promover infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.
    instruções de remoção


    Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.
    1. Desabilite a Restauração do sistema (Windows Me/XP).
    2. Atualize as definições de vírus.
    3. Siga um dos seguintes passos:
      • Windows 95/98/Me: Reinicie o computador no Modo de Segurança.
      • Windows NT/2000/XP: Finalize o processo do Cavalo de tróia.
    4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como Backdoor.Badcodor.
    5. Reverta as alterações feitas no registro pelo Cavalo de tróia.
    Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.

    1. Para desabilitar a Restauração do sistema (Windows Me/XP)
    Usuários do Windows Me e do Windows XP devem desligar, temporariamente, a Restauração do Sistema. Esta característica, habilitada por padrão, é usada pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que esses arquivos sejam restaurados pela Restauração do Sistema.

    Por padrão, o Windows previne que a Restauração do Sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, restaure um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desligar a Restauração do Sistema, leia a documentação do Windows ou um dos seguintes artigos:
    Para informações adicionais e como alternativa a desabilitar a Restauração do Sistema, veja na Microsoft Knowledge Base o artigo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID do Artigo: Q263455. (Este recurso encontra-se em inglês.)

    2. Para atualizar as definições de vírus

    O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:

    • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.
    • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

    Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.


    3. Para localizar e interromper o processo do Cavalo de tróia
    Windows 95/98/Me
    reinicie o computador em Modo de segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o Windows 95/98/Me no Modo de Segurança.

      Windows NT/2000/XP
      Para finalizar o processo do Cavalo de tróia:
      1. Pressione as teclas Ctrl+Alt+Delete uma vez.
      2. Clique em Gerenciador de Tarefas.
      3. Clique na guia Processos.
      4. Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
      5. Role a lista e procure por Los.exe e por Msdosdll.exe.
      6. Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
      7. Saia do Gerenciador de Tarefas.

    4. Para executar uma verificação completa no sistema
    1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
    2. Execute uma verificação completa do sistema.
    3. Se houver arquivos detectados como infectados com Backdoor.Badcodor, clique em Excluir.

    5. Para remover o valor do registro

    CUIDADO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
    1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
    2. Digite regedit

      e clique em OK. (O Editor do Registro será aberto)

    3. Navegue até a seguinte chave:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    4. No painel direito, exclua os seguinte valor:

      "load system"="C:\WINDOWS\SYSTEM\MSDOSDLL.EXE"
    5. Saia do Editor do Registro.

    Histórico de revisões:

    10 de julho de 2003: Adicionada informação de codinome.


    Relatório feito por: Atli Gudmundsson