Você está na página 1de 2

Worm SCVHOST.

EXE
Seg, 23.03.2009 01:11 vovó Vicki Segurança - Eliminando pragas

Avaliação: /1
Dê sua nota vote com_content

Pior Melhor
1075 http://w w w .numa

O pessoal que bolou este worm foi realmente sacana: deu-lhe um nome muito parecido
com um executável do windows, só para confundir.
O executável que o windows utiliza chama-se SVCHOST.EXE e está no diretório
/windows/system32. Olhe só a treta, trocaram SVC por SCV!
O que é o SCVHOST.EXE
Em alguns anti-vírus ele é detectado como W32/YahLover.Worm.gen (McAfee), em
outros como Win32/Autorun.R.worm (NOD32). No meu (uso o ClamWin) ele foi
denominado de Trojan.Agent-87054.
Este worm é instalado no seu PC usando um arquivo autorun.inf contaminado, que
possui um script que dispara a execução do SCVHOST.EXE. Ao ser executado, o worm
se espalha por todo o sistema. Este tipo de arquivo costuma estar em discos removíveis
para conferir-lhes a capacidade de autoplay, ou seja, assim que a gaveta for fechada o
disco é acionado e roda o que estiver no script. Se for um script limpo, tudo bem; se for
um script malicioso, o estrago estará feito em alguns segundos. O pior da história é que,
se você estiver numa rede, o worm sai varrendo a rede contaminando o que encontrar
pela frente. Como hoje em dia é comum ter redes domésticas, a encrenca pode ser séria.
Os sintomas
• Quando se usa Ctrl+Alt+Del, ele impede que o Gerenciador de Tarefas seja
acionado (é uma tentativa de escondê-lo, pois ele apareceria na aba de Tarefas).
• Ele bloqueia o Editor de Registro (para impedir que se elimine as entradas e as
alterações no registro do windows).
• Quando se tenta acionar o comando CMD, o computador é reinicializado.
• As pastas compartilhadas vão replicar o worm em vários pontos. O worm
duplicado usa um ícone de PASTA com uma extensão .exe.
• Se você tiver o Yahoo Messenger, suas configurações foram modificadas.
Remoção manual do worm
1. Reinicie seu computador, digite F8 e selecione o Modo Seguro.
2. Faça login como Administrador.
3. Digite cd C:\windows\system32 (o caminho para esta pasta depende de como
seu windows foi instalado).
4. Digite /ah para mostrar todos os arquivos ocultos desta pasta. Você deve
encontrar os arquivos que são usados pelo worm para se disseminar:
AUTORUN.INI, BLASTCLNNN.EXE e SCVHOST.EXE.
5. Digite ATTRIB -H -R -S SCVHOST.EXE
6. Digite ATTRIB -H -R -S BLASTCLNNN.EXE
7. Digite ATTRIB -H -R -S AUTORUN.INI
8. Digite DEL SCVHOST.EXE
9. Digite DEL BLASTCLNNN.EXE
10. Digite DEL AUTORUN.INI
11. Digite CD\
12. Digite ATTRIB -H -R -S AUTORUN.INF
13. Digite DEL AUTORUN.INF
14. Reinicie seu PC.
Estamos quase chegando lá. Quando a máquina estiver pronta, clique em Iniciar /
Executar e digite REGEDIT. Agora será preciso fazer uma limpeza no registro do
windows. Tome muito cuidado para não fazer trapalhada. O melhor é fazer um backup
do registro antes de fazer as alterações, assim, caso alguma coisa dê errado, ainda tem
como recuperar o registro e botar a máquina para funcionar novamente.
Procure pela chave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Se
você encontrar uma entrada de nome Yahoo! Messengger (está escrito errado mesmo!
o autor do worm, além de malicioso, é um panaca que não sabe escrever inglês) ou
SCVHOST, delete-a.
Procure pela chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon. Na entrada chamada SHELL, os dados são
Explorer.exe,SCVHOST.EXE. Edite este valor e delete apenas SCVHOST.EXE. Os
dados precisa ser apenas Explorer.exe.

Taí, o SCVHOST.EXE já era


A minha história
O worm se instalou na minha máquina a partir de um software que instalei. Busquei
este soft na Internet e, por falta de cuidado, não passei o pacote pelo anti-vírus. É a
velha história, bobeou... se ferrou. Só fui descobrir o estrago depois do anti-vírus ter
escaneado todo o sistema (costumo deixar o anti-vírus rastreando durante a
madrugada).
Tive mais sorte do que juízo: o fornecedor do software infectado não soube fazer o
serviço e apenas uma parte dos arquivos foi instalada. Como o worm estava capenga,
não precisei entrar no Modo Seguro - bastou deletar os arquivos (não tinha os autorun)
para me livrar da praga. Só que tem um detalhe. Analisando a data e hora dos arquivos
que deviam ser eliminados, resolvi dar uma busca e encontrei mais duas gracinhas que
vieram de brinde: BASSMOD. DLL e NTDETECT.dll. Dê uma olhada no diretório do
windows e no windows/system32. Se achar estes malwares, aproveite e jogue-os no
lixo.