Linha Defensiva

Crônicas do CoolWebSearch

Altieres Rohr | 06/03/2005 02h58

Nota Importante

Tradução autorizada para o Português do Brasil de “The CoolWebSearch Chronicles”. O tradutor deste documento não possui qualquer direito sobre o conteúdo do documento original. Todos os direitos autorais pertencem à Trend Micro, Inc, a companhia que faz o antivírus PC-Cillin e adquiriu a InterMute, antiga proprietária deste documento.

Você pode ver o artigo original, em inglês, The CoolWebSearch Chronicles. Existe também uma versão antiga do documento que pode ser encontrada no site de Merijn. A tradução foi baseada na versão antiga, mantida por Merijn, pois contém informações mais detalhadas e é mais bem-humorada que a versão mantida pela Trend Micro.

Introdução

Este é um artigo que detalha as variantes do hijacker de navegador CoolWebSearch, conhecido como CWS. Nos últimos meses, as pessoas por trás desse nome conseguiram, na minha opinião, se tornar um problema ainda maior do que o conhecido Lop.com

A dificuldade para se remover uma variante do CWS cresceu de
simples até quase impossível nas variantes mais novas. Algumas das variantes usam até mesmo técnicas para se esconder que nunca foram usadas antes em qualquer spyware.

A ordem cronológica do aparecimento de cada variante está aqui, junto com datas aproximadas quando elas apareceram online pela primeira vez. Porém, como os programadores malvados por trás do CoolWebSearch lançaram mais de duas dúzias de variantes do hijacker em um período muito curto, é bem provável que este documento esteja desatualizado.

A ferramenta CWShredder[1] para remover o CoolWebSearchestará sempre atualizada quando novas variantes aparecerem.

Conteúdo

Mais informações

CWS.Datanotary

V1: Introdução à Destruição

Encontrado 27 de Maio de 2003
Sintomas Lentidão extrema no Internet Explorer, especialmente enquanto digita em campos de formulário
Inteligência 9/10
Remoção Manual Fácil se você souber onde procurar

Entradas no HijackThis

O19 – User stylesheet: c:\windows\my.css

A primeira variante do CoolWebSearch nem era identificada como tal. Só havia alguns usuários dizendo que o Internet Explorer ficava muito lento se eles digitassem mensagens em campos de texto. Alguns usuários disseram que demorava mais de um minuto para que o texto aparecesse depois de digitado, além de redirecionamentospara www.datanotary.com

A solução para o problema demorou um pouco para aparecer, mas depois de algumas semanas (o que é muito) alguém disse que o problema desaparecia se você fosse até as Opções do Internet Explorer, indo em Acessibilidade e desmarcasse o botão “Formatar documento usando minha folha de estilos”. Depois disso, a folha de estilos falsa poderia ser deletada.

O hijacker instalava uma folha de estilos em cascata que explorava uma falha no Internet Explorer que permitia que um arquivo .css executasse códigos JavaScript. O código no arquivo estava encriptado e criava um pop up fora da tela que redirecionava o usuário. Porém, essa rotina era chamada quando você fazia qualquer coisa no IE — isso se tornava mais óbvio enquanto digitava textos.

Voltar ao Topo

CWS.Bootconf

V2: Evolução

Encontrado 6 de Julho de 2003
Sintomas Internet Explorer lento e endereços ilegíveis na configuração da página inicial, redirecionamentos ao digitar um endereço incorretamente, página inicial modificada ao reiniciar
Inteligência 8/10
Remoção Manual Um pouco de edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.jetseeker.com/ie/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.coolwwwsearch.com/z/c/x1.cgi?100 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.coolwwwsearch.com/z/a/x1.cgi?100 (obfuscated)
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.jetseeker.com/ffeed.php?term=%s
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://search.xrenoder.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://search.xrenoder.com

A segunda variante se parecia com a primeira somente em um aspecto: ela usava o mesmo arquivo .css. Mas ela levou o hijacker um passo à frente, não por trocar a página inicial e a página de busca, mas trocando esses valores para lixo hexadecimal ilegível.

Somente quando esse lixo hexadecimal foi decifrado é que ficou claro que a CoolWebSearch é que estava por trás de tudo. É como se eles tivessem deixado a Datanotary fazer um test drive com o exploit da folhade estilos antesdeles usarem.

O hijack também mudava o erro “Servidor não encontrado” para a página principal do portal CoolWebSearch, usando o arquivo HOSTS e recarregando todo o hijacker quando o sistema reiniciasse usando o arquivo
bootconf.exe que inicia com o Windows.

Nós também começamos a ver alguns afiliados do CoolWebSearch, pois todos os links se direcionavam para www.coolwebsearch.com.

Voltar ao Topo

V3: Mande os afiliados

Encontrado 10 de Julho de 2003
Sintomas Extrema lentidão ao usar o Internet Explorer
Inteligência 2/10
Remoção Manual Um pouco de edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.coolwwwsearch.com/z/b/x1.cgi?656387 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.coolwwwsearch.com/z/a/ x1.cgi?656387 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.coolwwwsearch.com/z/b/ x1.cgi?656387 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://stopxxxpics.com
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.allhyperlinks.com/ redir?lang={S…201058341631385
R1 – HKCU\Software\Microsoft\Internet Explorer\Main\,HomeOldSP = http://www.coolwwwsearch.com/z/a/ x1.cgi?656387 (obfuscated)
O1 – Hosts: 1123694712 auto.search.msn.com
O4 – HKLM\..\Run: [sysPnP] C:\WINNT\System32\bootconf.exe
O15 – Trusted Zone: *.coolwwwsearch.com
O15 – Trusted Zone: *.msn.com
O19 – User stylesheet: C:\WINDOWS\Web\oslogo.bmp

Depois que o HijackThis foi atualizado para alguns truques do CWS, uma nova variante apareceu que mostrou que o CWS estava apenas começando. O nome do arquivo da folha de estilos mudou para um nome que nem parecia uma folha de estilos por fora, mas foi aceito pelo IE mesmo assim. Dois novos domínios foram adicionados nos “Sites confiáveis” do Internet Explorer para que o CWS pudesse fazer seu trabalho sujo e instalar novas atualizações se elas se tornassem disponíveis.

Mas além disso, a página inicial e de busca do IE foram modificadas para dezenas de sites diferentes que eram sites dos afiliados do CWS. Parecianão haver um fim ao número de domínios diferentes que os usuários eram redirecionados. Enquanto escrevo isso, mais de 80 domínios são de afiliados conhecidos do CWS — e todos eles apareceram nos logs dos usuários.

Voltar ao Topo

CWS.Vrape

V4: Misture e mexa

Encontrado 20 de Julho de 2003
Sintomas Redirecionamentos para vrape.hardloved.com quando se faz qualquer coisa no IE e também redirecionamentos para sites pornográficos, discadores, etc
Inteligência 5/10
Remoção Manual Muita edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://vrape.hardloved.com/ top/search.php?id=2&s=
R1 – HKCU\Software\Microsoft\Internet Explorer,Search Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// vrape.hardloved.com/top/search.php?id=2&s=
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:// vrape.hardloved.com/top/search.php?id=2&s=
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:// vrape.hardloved.com/top/search.php?id=2&s=
O1 – Hosts: 65.77.83.222 thehun.com
O1 – Hosts: 65.77.83.222 thehun.net
O1 – Hosts: 65.77.83.222 madthumbs.com
O1 – Hosts: 65.77.83.222 worldsex.com
O1 – Hosts: 65.77.83.222 teeniefiles.com
O1 – Hosts: 65.77.83.222 al4a.com
O1 – Hosts: 65.77.83.222 sublimedirectory.com
O1 – Hosts: 65.77.83.222 thumbzilla.com
O1 – Hosts: 65.77.83.222 sexocean.com
O1 – Hosts: 65.77.83.222 easypic.com
O1 – Hosts: 65.77.83.222 absolut-series.com
O1 – Hosts: 65.77.83.222 jpeg4free.com
O1 – Hosts: 65.77.83.222 thumbnailpost.com
O13 – DefaultPrefix: http://vrape.hardloved.com/top/search.php?id=2&s=
O13 – WWW Prefix: http://vrape.hardloved.com/top/search.php?id=2&s=

Provavelmente a variante mais comum do CWS, esta foi um pesadelo para o usuário comum. Ela combina muitos métodos de hijacking, junto com redirecionamentos aleatórios para sites de pornografia, portais e discadores.

O hijack monitorava quase tudo do IE e o usuário ficava apenas sentado olhando tudo que ele fizesse resultando em um redirecionamento para vrape.hardloved.com. Uma coisa estranha sobre esse hijacker é que ele trabalhava sozinho sem usar qualquer afiliado, além de redirecionar outros sites pornográficos para ele mesmo. Ele só foi ligado ao CWS porque ele apareceu junto com ele em vários logs.

A coisa boa sobre essa variante é que o domínio vrape.hardloved.com está offline por mais de 4 dias enquanto escrevo isso. Não se sabe se isso é porque o site não resistiu ao número gigante de usuários sendo redirecionados, ataques de Denial of Service dos usuários nervosos ou terminação da conta de hospedagem por violação dos termos de serviço, ou outra razão.

Voltar ao Topo

CWS.Msspi

V5: Vamos nos tornar perigosos

Encontrado 28 de Julho de 2003
Sintomas Popups com “Resultados Melhores” nas buscas do Google, Yahoo! e Altavista
Inteligência 9/10
Remoção Manual Suicida[3]

Entradas no HijackThis

O10 – Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\msspi.dll

Quando essa variante apareceu, era a mais difícil para se remover. Os usuários começaram a dizer que quando eles visitavam o Google, Yahoo! ou Altavista para procurar alguma coisa, popups apareciam, na maioria das vezes, falando sobre “Resultados Melhores” (Enhanced Results). Esse é o único sintoma.

Depois de olhar no log foi fácil concluir que o msspi.dll era o culpado. Um especialista analisou o arquivo e achou certos endereços que eram monitorados e ao mudar esses endereços para endereços inexistentes os popups desapareciam.

Porém, o arquivo se ligava na corrente LSP do Winsock do Windows, que é localizada no interior do sistema do Windows e é uma das partes mais difíceis para se manipular. Somente alguns poucos spywares usam este método de infecção e remover incorretamente faz com que o computador quebre sua conexão com a Internet, de tal modo que nem uma reinstalação do Windows resolve o problema.

Felizmente existe uma ou duas ferramentas que podem consertar um computadorcom uma conexão quebrada com a Internet devido ao problema.
LSPFix foi o mais usado, pois permite edição direta da corrente LSP.

Voltar ao Topo

CWS.Oemsyspnp

V6: Puro gênio

Encontrado 29 de Julho de 2003
Sintomas Páginas inicial e busca modificadas para allhyperlinks.com e activexupdate.com nos “Sites Confiáveis” do IE. Hijacking retorna em algumas reinicializações
Inteligência 10/10
Remoção Manual Um pouco de edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.adulthyperlinks.com/favorites/8
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.allhyperlinks.com/redir?lang={SUB_RFC1766}
O4 – HKLM\..\Run: [SysPnP] rundll32 setupapi,InstallHinfSection OemVideoPnP 128 oemsyspnp.inf

Essa variante foi vista por quase pura sorte, pois usava o mesmo valor de inicialização que a variante CWS.Bootconf, ‘SysPnP’. Esse é um hijacker muito inteligente que se disfarçava de uma atualização de driver. Quando o computador era iniciado, havia uma chance de uma em cinco que o hijacker fosse reinstalado e mudasse as páginas inicial e de busca para allhyperlinks.com.

Quando o hijacker foi identificado ficou muito fácil pará-lo: só o arquivo oemsyspnp.inf devia ser desabilitado da inicialização usando o MSConfig e então ele poderia ser seguramente deletado.

CWS.Oemsyspnp.2
Existe uma mutação dessa variante que usa o arquivo
keymgr3.inf e a chave keymgrldr no registro.

CWS.Oemsyspnp.3
Existe uma outra mutação dessa variante que usa o arquivo
drvupd.inf e a chave drvupd no registro

Voltar ao Topo

CWS.Svchost32

V7: Evitando ser detectado

Encontrado 3 de Agosto de 2003
Sintomas Redirecionamentos para slawsearch.com ao buscar no Google e no Yahoo ou ao digitar incorretamente o endereço de um site
Inteligência 10/10
Remoção Manual Necessita um finalizador de processos (Proccess Killer)

Entradas no HijackThis

R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.slawsearch.com
O4 – HKLM\..\Run: [svchost.exe] “C:\WINDOWS\SYSTEM\svchost32.exe”

Esta variante do CWS tinha como objetivo apenas evitar que fosse detectada com as ferramentas existentes. O que era visível no log do HijackThis não era nem perto de tudo que ela tinha. O hijacker instala dúzias de redirecionamentos de domínios internacionais dos serviços de busca do Google, MSN e Yahoo para um servidor web rodando localmente no sistema da vítima. O servidor web tinha até mesmo um nome pouco suspeito de svchost32.exe para se parecer com o arquivo de sistema svchost.exe. Sempre que o usuário acessava o Google, usasse a busca do Yahoo ou errase ao digitar uma URL, ele era direcionado para slawsearch.com.

Para consertar o hijack é necessário uma ferramenta para matar o processo do webserver e editar o arquivo HOSTS para remover os redirecionamentos do Google, Yahoo e MSN.

Voltar ao Topo

CWS.Dnsrelay

V8: Hei.. isso não estava aqui antes!

Encontrado 7 de Agosto de 2003
Sintomas Redirecionamento para allhyperlinks.com se você omitir “www” de uma URL
Inteligência 8/10
Remoção Manual Edição no registro

Entradas no HijackThis

R3 – URLSearchHook: MailTo Class – {01A9EB7D-69BC-11D2-AB2F-204C4F4F5020} – C:\WINDOWS\System32\dnsrelay.dll

Um hijacker muito inteligente que usa um método que nunca tinha sido usado antes por outros hijackers, essa variante monitora todas as URLs colocadas na barra de Endereço do IE e redireciona qualquer URLs que não tem o “www” no início para allhyperlinks.com. Esse hijacker não é muito comum e é difícil de ser notado. Por sorte, para retirá-lo é necessário apenas deletar um arquivo e um valor no registro.

CWS.Dnsrelay.2
Existe uma mutação dessa variante que usa o nome
ASTCTL32.OCX para o arquivo.

CWS.Dnsrelay.3
Existe uma mutação dessa variante que usa o nome
mswsc10.dll para o arquivo, que é localizado em C:\Program Files\Common Files\Web Folders[2]. O IE é redirecionado para payfortraffic.net. Essa mutação também adiciona uma folha de estilos (como
CWS.Bootconf), localizada em C:\Program Files\Internet Explorer\Readme.txt[2] (este arquivo não existe em sistemas que não estão infectados). A mutação usa o nome nvstart para o valor no registro que será usado para registrar mswsc10.dll novamente após a reinicialização.

CWS.Dnsrelay.4
Existe uma mutação que é igual a
CWS.Dnsrelay.3, mas usa
mswsc20.dll como o nome do arquivo, localizado no mesmo lugar. Essa mutação redireciona o IE para gofreegalleries.com, usando a mesma folha de estilos e usando o arquivo HOSTS para redirecionar vários sites para allhyperlinks.com.

Voltar ao Topo

CWS.Msinfo

V9: Ficando sem idéias

Encontrado 22 de Agosto de 2003
Sintomas Redirecionamentos para Global-Finder.com, hijack voltando ao reinicializar e erros dizendo que “Não é possível encontrar msinfo.exe”
Inteligência 6/10
Remoção Manual Edição do registro e arquivos .ini

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?101 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?101 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?101 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?101 (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?101 (obfuscated)
F1 – win.ini: run=C:\WINDOWS\..\PROGRA~1\COMMON~1\MICROS~1\MSINFO\msinfo.exe
F1 – win.ini: run=msinfo.exe
O4 – HKLM\..\Run: [Internat Conf] \bootconf.exe

Essa variante que usa o arquivo chamado msinfo.exe para reinstalar o hijack ao reinicializar parece possuir várias mutações. A primeira parecia travar várias vezes, onde o hijack nem se quer era instalado, mas a referência para ele era. A segunda versão provavelmente corrigiu isso alguns dias depois, já que algumas pessoas começaram a aparecer contaminadas por essa variante. A última versão apareceu junto com uma mutação da segunda variante (CWS.Bootconf — bootconf.exe).

O arquivo msinfo.exe é instalado na pasta Windows onde também existe o arquivo legítimo msinfo32.exe. Ele é iniciado pelo win.ini, um método raramente usado atualmente. Ele configura quase todas as páginas iniciais e de busca para URLs em out.true-counter.com e se reinstala toda vez que o sistema for reiniciado. Para remover essa variante é necessário resetar os valores modificados do IE no registro, remover os valores de inicialização no win.ini e no registro e deletar os dois arquivos.

Voltar ao Topo

CWS.Svcinit

V10: Pequeno e esperto companheiro

Encontrado 10 de Setembro de 2003
Sintomas Página inicial modifcada para xwebsearch.biz e “http:///”, hijack voltando ao reinicializar ou até mesmo antes
Inteligência 9/10
Remoção Manual Edição no registro e arquivos .ini, necessita um finalizador de processos (Proccess Killer)

Entradas no HijackThis

Running processes:
C:\WINDOWS\System32\SVCINIT.EXE

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:////
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xwebsearch.biz
F1 – win.ini: run=C:\WINDOWS\svcinit.exe
O4 – HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcinit.exe
O4 – HKLM\..\Run: [mssys] C:\WINDOWS\mssys.exe

Entradas no StartupList

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon]
UserInit=C:\WINNT\System32\userinit.exe,C:\WINNT\System32\svcinit.exe

Essa variante foi um pouco surpreendente, pois corrigir todosos itens no log do HijackThis não a removia completamente — ela voltava depois da reinicialização no Windows 2000 e XP. Só depois que um usuário postou um log do StartupList é que ficou claro que esse hijacker usava outro método para se inicializar junto com o sistema, além das duas entradas já visíveis no log do HijackThis. Terminar o processo e deletar os três métodos de inicialização corrige o problema. Além disso, mssys.exe está possivelmente envolvido nesse hijack.

CWS.Svcinit.2
Existe uma mutação dessa variante que usa
svcpack.exe para o nome do arquivo. Redireciona o usuário para http:/// e usa os mesmos métodos de inicialização que a primeira versão. Também cria o arquivo SVCHOST.OLD para fins desconhecidos.

CWS.Svcinit.3
Existe uma mutação dessa variante que redireciona o usuário para xwebsearch.biz e http:///, além de instalar um arquivo HOSTS que redireciona vários sites de diallers (discadores) para searchmeup.com.

CWS.Svcinit.4
Existe uma mutação dessa variante que redireciona o IE para sex.free4porno.net e adiciona links de sites pornográficos aos favoritos no IE e na área de trabalho. Ele se reinstala através do arquivo
c:\windows\svchost.exe (note que o arquivo legítimo do Windows fica na pasta system32) que roda na inicialização com o nome de
Online Service. Ela também usa o trojan msin32.dll para objetivos desconhecidos.

Voltar ao Topo

CWS.Tapicfg

V11: MSInfo Parte II

Encontrado 21 de Setembro de 2003
Sintomas Barra de rolagem lenta no IE, redirecionamentos para luckysearch.net e erros relacionados a info32.exe
Inteligência 8/10
Remoção Manual Edição no registro de arquivos .ini e do arquivo HOSTS, remoção de uma folha de estilos oculta com atributos de sistema

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://acc.count-all.com/–/?oaoca (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://acc.count-all.com/— /?oaoca (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://acc.count-all.com/– /?oaoca (obfuscated)
F1 – win.ini: run=C:\WINDOWS\..\PROGRA~1\COMMON~1\MICROS~1\MSINFO\info32.exe
O1 – Hosts: 3510794918 auto.search.msn.com
O4 – HKLM\..\Run: [Tapicfg.exe] C:\WINDOWS\SYSTEM\tapicfg.exe
O19 – User stylesheet: C:\WINDOWS\Web\win.def
O19 – User stylesheet: C:\WINDOWS\default.css

Essa variante consiste de apenas um arquivo que se duplica em doislocais (info32.exe e tapicfg.exe) e age de forma diferente dependendo do seu nome. Ele instala duas folhas de estilo no sistema, redireciona o IE para acc.count-all.com (que então redireciona para luckysearch.net) e reinstala o hijack ao reinicializar. O arquivo HOSTS também é modificado para redirecionar domínios para luckysearch.net. Embora determinar a ação de um programa, dependendo do nome do arquivo é um hábito ruim, ele me surpeendeu por funcionar tão bem.

CWS.Tapicfg.2
Existe uma mutação dessa variante que usa soundmx.exe para o nome do arquivo e redireciona o IE para globe-finder por uma página de redirecionamentos em in.webcounter.cc. Possivelmente o mesmo arquivo é carregado com o nome de fntldr.exe através do win.ini. Um redirecionamento pelo arquivo HOSTS de auto.search.msn.com para globe-finder é instalado. Duas folhas de estilo com o nome de tips.ini e hh.hht são instaladas.

Voltar ao Topo

CWS.Ctfmon32

V12: SlawSearch Parte II

Encontrado 22 de Setembro de 2003
Sintomas Página inicial e de busca modificadas para slawsearch.com, “Personalizar Assistente de Busca” fechando logo após abrir e hijack voltando após uma reinicialização
Inteligência 3/10
Remoção Manual Edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.slawsearch.com/autosearch.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.slawsearch.com/autosearch.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slawsearch.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.slawsearch.com/autosearch.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = javascript:window.close()
O4 – HKLM\..\Run: [CTFMON32.EXE] “C:\WINDOWS\System32\ctfmon32.exe”

O CWShredder já podia remover essa variante, mas ela iria voltar após a reinicialização. Com exceção do nome ctfmon32.exe para o arquivo (note que ctfmon.exe é um arquivo do Windows), ela funciona do mesmo jeito que
CWS.Bootconf: o arquivo carrega ao iniciar o sistema, muda a página inicial e de busca e então fecha. Apagando o arquivo e resetando as páginas do IE de volta ao normal corrige o problema.

Voltar ao Topo

CWS.Msoffice

V13: Exploit do HTA revisitado

Encontrado 12 de Outubro de 2003
Sintomas Página inicial modificada para searchdot.net, lentidão no IE ao digitar textos e usar a barra de rolagem, hijack voltando ao reiniciar o sistema
Inteligência 7/10
Remoção Manual Edição do registro e Prompt de Commando para deletar os arquivos

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchdot.net
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdot.net
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchdot.net
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdot.net
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdot.net
O4 – HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 – HKCU\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta

Essa variante usa um script .HTA para reinstalar o hijack ao reinicializar. O arquivo msoffice.hta é difícil de ser encontrado, pois está na pasta “Fonts”, que é uma pasta especial do Windows, configurada para esconder todos os arquivos que não forem arquivos de fontes. Por esse motivo, um Prompt de Commando é necessário para que o arquivo seja visto e deletado. Deletando o arquivo e resetando a página inicial e a página de busca no IE conserta o hijack.

CWS.Msoffice.2
Existe uma mutação dessa variante que redireciona o IE para sexpatriot.net e royalsearch.net e instala um arquivo HOSTS que redireciona dois sites pornográficos para 64.246.33.179 e se reinstala através do arquivo fonts.hta com o nome de AdobeFonts

CWS.Msoffice.3
Existe uma mutação dessa variante que redireciona o IE para supersearch.com e hugesearch.net, usando um arquivo chamado
fonts.hta e o nome TrueFonts. Ela também muda o DefaultPrefix e o WWWPrefix para redirecionar todos os sites para hugesearch.net.

Voltar ao Topo

CWS.Dreplace

V14: Só um BHO… ou será que É?

Encontrado 12 de Outubro de 2003
Sintomas Redirecionamentos para xwebsearch.biz e 213.159.117.233, hijack voltando depois da reinicialização
Inteligência 3/10 — 10/10 na segunda mutação
Remoção Manual Edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
O1 – Hosts: 213.159.117.233 sitefinder.verisign.com
O2 – BHO: HTML Source Editor – {086AE192-23A6-48D6-96EC-715F53797E85} – C:\WINDOWS\System32\DReplace.dll

Essa variante instala um Browser Helper Object (BHO) por razões desconhecidas, porém, é provável que o BHO esteja lá para que xwebsearch.biz seja configurada como página inicial. O Verisign Sitefinder é redirecionado, então todos os domínios que forem digitados incorretamente serão redirecionados para 213.159.117.233.

CWS.Dreplace.2
Existe uma segunda versão dessa variante que usa o truque mais sujo que eu já vi em um pedaço de malware. Ela modificou o arquivo dreplace.dll de um certo modo que removendo ele com o HijackThis ou com o CWShredder faria com que o sistema falhasse completamente no Windows 98/98SE/ME! O hijack é o mesmo que na primeira versão e tanto o HijackThis quanto o CWShredder foram atualizados para que o problema não aconteça mais.

Voltar ao Topo

CWS.Mupdate

V15: Mexendo em todo lugar

Encontrado 13 de Outubro de 2003
Sintomas Página inicial modificada para searchv.com. Redirecionamentos para runsearch.com ao digitar incorretamente uma URL, *.masspass.com nos “Sites confiáveis” e hijack voltando após reiniciar o sistema
Inteligência 9/10
Remoção Manual Edição do registro e arquivos INI

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.searchv.com/search.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.searchv.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.searchv.com/search.html
F0 – system.ini: Shell=explorer.exe mupdate.exe
F1 – win.ini: run=mupdate.exe
F2 – REG:system.ini: Shell=explorer.exe mupdate.exe
O1 – Hosts: 209.66.114.130 sitefinder.verisign.com
O4 – HKLM\..\Run: [sys] regedit -s sys.reg
O15 – Trusted Zone: *.masspass.com

Essa variante não é muito comum, mas ela supreende pela sua persistência. Ela roda de três lugares diferentes ao iniciar o sistema, além de rodar um arquivo .reg que reinstala o hijack. Ela também adiciona um site de conteúdo adulto nos “Sites confiáveis” e redireciona URLs digitadas incorretamente para runsearch.com.

Voltar ao Topo

CWS.Addclass

V16: Edição de Halloween

Encontrado 30 de Outubro de 2003
Sintomas Redirecionamentos via ehttp.cc, página inicial e página de busca modificadas para rightfinder.net, hijack voltando ao reiniciar
Inteligência 4/10
Remoção Manual Edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rightfinder.net/search/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rightfinder.net/hp/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.rightfinder.net/search/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.rightfinder.net/search/
O4 – HKCU\..\Run: [AddClass] C:\WINDOWS\TEMP\ADDCLASS.EXE
O13 – DefaultPrefix: http://ehttp.cc/?
O13 – WWW Prefix: http://ehttp.cc/?

Essa variante começou a atacar quando um exemplar dela (e uma atualização do CWShredder) foi encontrado. O hijack envolve o arquivo AddClass.exe que instala o hijack e reinstala-o ao reiniciar o sistema. Ele também muda o DefaultPrefix e o WWW Prefix e um prefixo “www.”, que não funciona, de modo que a cada vez que você digitar um endereço sem ‘http://’ no início seja redirecionado para ehttp.cc antes de chegar ao destino correto. Em outras palavras, eles guardam a informação dos sites que você visita. Felizmente, eles são simpáticos por nos dar uma
ferramenta de desinstalação para o “Protocolo HTTP Melhorado” no site deles, mas isso só irá remover parte do hijack.

Voltar ao Topo

CWS.Googlems

V17: Nós somos destrutivos!

Encontrado 1º de Novembro de 2003
Sintomas IE redirecionado para www.idgsearch.com e hijack voltando ao reiniciar o sistema ou ao rodar o Windows Media Player
Inteligência 7/10
Remoção Manual Edição no registro e reinstalação do Windows Media Player

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idgsearch.com/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idgsearch.com/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.idgsearch.com/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.idgsearch.com/
O2 – BHO: GoogleMS Search Helper – {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} – C:\Documents and Settings\[username]\Application Data\GoogleMS.dll

Essa variante foi a primeira do seu tipo, pois um desenvolvimento importante pode ser observado: ela troca o principal executável do Windows Media Player por uma cópia do trojan. Nenhuma outra variante modifica ou deleta arquivos de sistema, mas essa sim. Ela também instala um BHO que reinstala o hijack ao reiniciar o sistema. Deletando GoogleMS.dll e reinstalar o Windows Media Player corrige o problema.

CWS.Googlems.2
Existe uma mutação dessa variante que redireciona o IE para idgsearch.com e 2020search.com, instala um BHO com o nome de ‘Microsoft SearchWord’ usando o arquivo
SearchWord.dll no mesmo lugar que a primeira versão. Também adiciona *.xxxtoolbar.com na lista de “Sites confiáveis” do IE.

CWS.Googlems.3
Existe uma mutação dessa variante que redireciona o IE para idgsearch.com e instala um BHO com o nome de ‘Microsoft SearchWord’ usando o arquivo Word10.dll na pasta C:\Documents And Settings\[usuário]\Application Data\Microsoft\Office. Essa mutação também usa um arquivo notepad.exe falso na pasta system que reinstala o hijack.

CWS.Googlems.4
Existe uma mutação dessa variante que redireciona o IE para idgsearch.com, 2020search.com e possivelmente couldnotfind.com. Instala um arquivo HOSTS que redireciona vários afiliados do CoolWebSearch, um domínio do lop.com e um domínio incorreto da SpywareINFO e vários sites pornográficos para 69.56.223.196 (idgsearch.com). Tambem instala um BHO com o nome de ‘Microsoft Excel’ usando o arquivo
Excel10.dl que fica na mesma pasta que CWS.Googlems.3. Além disso, *.xxxtoolbar.com e *.teensguru.com são adicionados para a lista de “Sites confiáveis” do Internet Explorer.

Voltar ao Topo

CWS.Loadbat

V18: O Sujo

Encontrado 1º de Novembro de 2003
Sintomas Janela do DOS aparecendo ao iniciar o sistema, página inicial do IE modificada paraie-search.com e redirecionamentos ‘FLS’ ou umaxsearch.com ao digitar um endereço incorretamente ou ao visitar sites pornográficos
Inteligência 9/10
Remoção Manual Edição no registro e apagar alguns arquivos

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie-search.com/srchasst.html (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie-search.com/home.html (obfuscated)
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\windows\hp.htm
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie-search.com/home.html (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
O1 – Hosts: 206.161.200.105 auto.search.msn.com
O1 – Hosts: 206.161.200.105 sitefinder.verisign.com
O1 – Hosts: 206.161.200.105 sitefinder-idn.verisign.com
O1 – Hosts: 206.161.200.103 www.smutserver.com
O1 – Hosts: 206.161.200.103 www1.smutserver.com
O1 – Hosts: 206.161.200.103 www2.smutserver.com
[...]
O1 – Hosts: 206.161.200.103 www29.smutserver.com
O4 – HKLM\..\Run: [Windows Shell Library Loader] load shell.dll /c /set — by windows setup –
O4 – HKLM\..\Run: [Win64 Compatibility Check] load win64.drv /c /set — by windows setup –

Subestimada de início, essa variante do CWS usava um truque muito inteligente para reinstalar o hijack no sistema, fazendo com que o culpado parecesse ser o shell.dll ou o win64.drv, quando na verdade era apenas um arquivo chamado Load.bat, unindo um arquivo .reg ao registro.

Existe uma segunda mutação que instala um arquivo HOSTS que redireciona auto.search.msn.com e o Verisign Sitefinder para alguma coisa chamada ‘FLS’ que contém links para umaxsearch.com. Também redireciona domínios do smutserver.com para outro site pornográfico.

Para remover essa variante manualmente é suficiente remover as entradas de inicialização no registro e remover os arquivos hp.htm,
load.bat e srch.reg da pasta do Windows e resetar as páginas do IE.

Voltar ao Topo

CWS.Alfasearch

V19: Brinquedo de criança

Encontrado 5 de Novembro de 2003
Sintomas Páginas do IE modificadas para alfa-search.com, sites pornográficos possivelmente redirecionados para 216.200.3.32 (alfa-search.com), mensagem de erro sobre um “runtime error” ao iniciar o computador e 4 sites pornográficos adicionados aos favoritos do IE (um deles contendo pornografia infantil)
Inteligência 1/10
Remoção Manual Um pouco de edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.alfa-search.com/search.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.alfa-search.com/home.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alfa-search.com/home.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.alfa-search.com/search.html
R1 – HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.alfa-search.com/search.html
O4 – Global Startup: MSupdate.exe

Provavelmente a variante mais simples desde a
CWS.Datanotary, este hijacker só faz coisas básicas: muda sua página inicial e de busca, adiciona sites pornográficos aos Favoritos e mostra um mensagem falsa de erro ao iniciar. Apagar o arquivo MSupdate.exe da pasta Inicializar do All Users, remover os sites dos favoritos e resetar a página inicial e de busca do IE corrige o problema. O arquivo MSupdate.exe pode instalar um arquivo hosts malicioso também, mas parece não fazer isso.

CWS.Alfasearch.2
Existe uma mutação dessa variante que redireciona o IE para www.find-itnow.com, instala 7 sites de conteúdo adulto nos favoritos e gera mensagens de erro sobre o “Win Min” ao desligar o sistema, além de uma mensagem de erro falsa na inicialização. Ela instala um arquivo Winlogon.exe falso na pasta “Inicializar” do All Users ou no grupo de inicialização do usuário atual. Este arquivo está sempre rodando e é difícil de remover.
Se o CWShredder repetidamente diz que consegue remover essa variante, ele não consegue remover o Winlogon.exe. Para remover este arquivo manualmente, mova-o para fora da pasta de inicialização, reinicie e apague-o.

CWS.Alfasearch.3
Existe outra mutação dessa variante que redireciona o IE para www.alfa-search.com e se reinstala usando um script VBS encriptado de três locais no registro, usando o arquivo rundll32.vbe com o nome de Windows Security Assistant. Ele também instala uma folha de estilos chamada readme.txt, localizado na pasta de sistema do Windows, além de 9 sites adultos nos favoritos e 6 na área de trabalho. Também instala um arquivo HOSTS que redireciona 8 sites de busca e um site pornô para 64.124.222.169 (alfa-search.com).

Voltar ao Topo

CWS.Xplugin

V20: ‘Ajudando’ você a procurar na Internet

Encontrado 11 de Novembro de 2003
Sintomas Links no Google resultando em páginas em umaxsearch.com ou coolwebsearch.com
Inteligência 10/10
Remoção Manual Edição no registro

Entradas no HijackThis

-

Essa variante é a primeira que não pode ser vista no log do HijackThis. Invisível, ela muda links na busca do Google para outras páginas. Levou um tempo para descobrir como essa variante funcionava, pois ela não era encontrada nos locais comuns.

Um arquivo de nome xplugin.dll é instalado, que cria um novo filtro de protocolo para text/html. Falando em português, isso quer dizer que ele pode ler todas as páginas que você visita, usando isso para alterar links na busca do Google para que você seja redirecionado para umaxsearch.com e coolwebsearch.com. Ele diz ser feito por algo chamado TMKSoft.

Não se sabe se deletar o arquivo não traz nenhum problema ao sistema, mas usar o CWShredder ou usar o comando
regsvr32 /u c:\windows\system32\xplugin.dll (pode variar dependendo da versão do Windows) corrige o hijack completamente.

Voltar ao Topo

CWS.Qttasks

V21: Ainda mais simples que a CWS.Alfasearch

Encontrado 23 de Novembro de 2003
Sintomas Páginas do IE redirecionadas para start-space.com
Inteligência 2/10
Remoção Manual Um pouco de edição no registro

Entradas no HijackThis

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start-space.com/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start-space.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.start-space.com/
O4 – HKCU\..\Run: [QuickTime Task] c:\windows\qttasks.exe

Imitando a entrada de inicialização legítima do ‘Quicktime Task’ no registro (que fica no HKLM), esta variante é executada na inicialização para trocar a página inicial para start-space.com. É isso. Sério!

Voltar ao Topo

CWS.Msconfd

V22: Finalmente usando o rundll32

Encontrado 26 de Novembro de 2003
Sintomas Páginas no IE modificadas para webcoolsearch.com, mensagem de erro falsa sobre o msconfd.dll na inicialização e sites pornô adicionados aos favoritos (alguns possivelmente contendo pornografia infantil)
Inteligência 7/10
Remoção Manual Edição no registro, remover os sites nos favoritos e travar uma batalha para remover o DLL que está sempre na memória

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://webcoolsearch.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webcoolsearch.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webcoolsearch.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webcoolsearch.com/
O4 – HKLM\..\RunServices: [Desktop] rundll32.exe msconfd,Restore ControlPanel

Entradas no StartupList

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=msconfd.dll

Esta é a primeira variante que usa um arquivo DLL junto com o programa rundll32 do Windows. Isso dificulta o reconhecimento do verdadeiro culpado, msconfd.dll, que redireciona o IE para webcoolsearch.com e adiciona 11 sites pornográficos nos favoritos do IE, sendo que 4 possivelmente possuem pornografia infantil.

Remover a entrada de inicialização no registro e resetar o IE corrige uma boa parte do problema. Na remoção do msconfd.dll é necessário renomear o arquivo, reiniciar o sistema e só então apagar o arquivo renomeado.

CWS.Msconfd.2
Existe uma mutação dessa variante que usa o arquivo avpcc.dll ou o ctrlpan.dll que se liga no Windows da mesma forma que a primeira. Essa mutação deleta todos os favoritos do IE e depois coloca os seus sites pornográficos no lugar deles.

CWS.Msconfd.3
Existe outra mutação dessa variante que usa o arquivo
cpan.dll.

Voltar ao Topo

CWS.Therealsearch

V23: A miséria anda em pares

Encontrado 29 de Novembro de 2003
Sintomas Páginas do IE redirecionadas para therealsearch.com, sites pornográficos nos favoritos e no recurso de autocompletar
Inteligência 4/10
Remoção Manual Edição no registro, remover os sites nos favoritos e um gerenciador de processos

Entradas no HijackThis

Running processes:
C:\WINDOWS\quicken.exe
C:\WINDOWS\editpad.exe

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.therealsearch.com/sp.php
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.therealsearch.com/sp.php
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.therealsearch.com/sp.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.therealsearch.com/hp.php
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.therealsearch.com/sp.php
O4 – HKCU\..\Run: [quicken] C:\WINDOWS\quicken.exe
O4 – HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe

Essa variante parecia ser pior do que ela realmente era. Já que ela tinha dois processos, ela parecia com o
Trojan Peper que era difícil de ser removido. Mas esses processos não são como os do Peper. O menor deles, quicken.exe, baixa e executa o outro, editpad.exe (como em CWS.Aff.Iedll) redireciona o IE para therealsearch.com, além de colocar os dois processos na inicialização.

Para remover essa variante é necessário um gerenciador de processos para finalizar o editpad.exe e o quicken.exe, para então apagar os arquivos e resetar a página inicial e a de busca do IE, além de remover CWS.Aff.Tooncomics.2, que possivelmente é instalada por esta variante.

CWS.Therealsearch.2
Há uma mutação dessa variante que direciona o IE para my.search (sic) e usa os arquivos c:\windows\winrar.exe e c:\windows\waol.exe.

Voltar ao Topo

CWS.Control

V24: Cara, onde está meu Painel de Controle?

Encontrado 7 de Dezembro de 2003
Sintomas Redirecionamentos para windoww.cc, super-spider.com e search2004.net
Inteligência 3/10
Remoção Manual Edição no registro e restauração de um arquivo do sistema no Windows 9x/ME

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowws.cc/ sp.htm?id=9
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.windowws.cc/ sp.htm?id=9
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/ hp.htm?id=9
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://super-spider.com
O4 – HKCU\..\Run: [Windows Control] C:\WINDOWS\CONTROL.EXE
O4 – HKCU\..\RunServices: [Windows Control] C:\WINDOWS\CONTROL.EXE

Essa variante seria simples se ela não colocasse um arquivo na pasta Windows que substitui um arquivo do sistema no Windows 9x/ME — é possível que o seu Painel de Controle pare de funcionar depois de ser infectado com essa variante do CWS. Você precisa do System File Checker (sfc.exe) para recuperar o arquivo control.exe do seu CD de instalação do Windows. O Windows NT/2000/XP não possui este problema com essa variante (já que o control.exe fica na pasta system32).

CWS.Control.2
Existe uma mutação dessa variante que é idêntica em todos os aspectos, mas o control.exe está sempre na memória.

CWS.Control.3
Existe uma mutação dessa variante que usa arquivos e entradas no registro aleatórias.

Voltar ao Topo

CWS.Olehelp

V25: Quem quer alguns sites nos favoritos?

Encontrado 4 de Janeiro de 2004
Sintomas IE redirecionado para omega-search.com e muitos novos sites nos favoritos
Inteligência 3/10
Remoção Manual Edição no registro e remoção de alguns arquivos

Entradas no HijackThis

Running processes:
C:\WINDOWS\OLEHELP.EXE

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.omega-search.com/go/panel_search.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.omega-search.com/go panel_search.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.omega-search.com/go/panel_search.html
O4 – HKCU\..\Run: [olehelp] C:\WINDOWS\olehelp.exe
O4 – HKCU\..\Run: [svchost] C:\WINDOWS\olehelp.exe

Essa variante é muito simples. Ela inicializa um arquivo chamado
olehelp.exe através do registro, que modifica a página inicial e de busca do IE para omega-search.com, além de adicionar ridículos 107 novos sites nos favoritos, dos quais 14 são pornográficos.

Eliminar a chave no registro e deletar o arquivo e os sites nos favoritos corrige o problema.

Voltar ao Topo

CWS.Smartsearch

V26: Contra-contra-ataques

Encontrado 7 de Janeiro de 2004
Sintomas IE redirecionado para smartsearch.ws em URLs incompletas e na página inicial, programas anti-spyware fechando sem razão após alguns segundos abertos
Inteligência 5/10
Remoção Manual Muita edição no registro, um gerenciador de processos e a remoção de alguns arquivos

Entradas no HijackThis

Running processes:
C:\Program Files\directx\directx.exe

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q=
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q=
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q=
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q=
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q=
O4 – HKLM\..\Run: [SystemEmergency] C:\Program Files\directx\directx.exe
O4 – HKLM\..\RunServices: [SystemEmergency] C:\Program Files\directx\directx.exe
O4 – HKCU\..\Run: [SystemEmergency] C:\Program Files\directx\directx.exe
O4 – HKLM\..\Run: [UserSystem] C:\Windows\iexplorer.exe
O4 – HKLM\..\RunServices: [UserSystem] C:\Windows\iexplorer.exe
O4 – HKCU\..\Run: [UserSystem] C:\Windows\iexplorer.exe
O13 – DefaultPrefix: http://smartsearch.ws/?q=
O13 – WWW Prefix: http://smartsearch.ws/?q=

Essa variante é um pouco difícil de ser detectada, pois usa dezenas de nomes diferentes para os arquivos. Por sorte, todos usam os mesmos nomes nas entradas do registro. O arquivo está sempre rodando e reinstala o hijack para smartsearch.ws a cada 10 segundos. Finalizar o processo do trojan, apagar/resetar todas as entradas no registro que ele adicionou e remover os arquivos corrige o hijack.

CWS.Smartsearch.2
Existe uma mutação dessa variante que tenta fechar o CWShredder, HijackThis, Ad-Aware, Spybot-S&D e os fóruns da SpywareInfo quando abertos. Usa o arquivo de nome IEXPLORER.EXE (repare o “R” no fim) e um valor diferente no registro. Ele instala também um arquivo HOSTS que bloqueia mais de duas dúzias de sites anti-spywares. O CWShredder foi atualizado para não ter problemas com isso. (Nota de Tradução: essa variante é também conhecida como CWS.Smartkill)

CWS.Smartsearch.3
Existe uma mutação dessa variante que usa o nome ‘coolwebprogram’ para a entrada de inicialização e tenta fechar os mesmos programas que a CWS.Smartsearch.2. Ela também instala o arquivo notepad32.exe e muda os arquivos .txt e .log para serem abertos com esse programa antes do Bloco de Notas verdadeiro, assim reinstalando o hijack novamente.

CWS.Smartsearch.4
Existe uma mutação dessa variante que redireciona para magicsearch.ws e não smartsearch.ws. Usa o nome ‘MicrosoftWindows’ para entrada no registro e também instala o notepad32.exe como o
CWS.Smartsearch.3. Também muda o prefixo WWW e o prefixo padrão para magicsearch.ws, como CWS.Vrape faz, além de tentar fechar firewalls como o Zone Alarm e Kerio.

Arquivos usados por essa variante

C:\Program Files\directx\directx.exe
C:\Program Files\Common Files\System\systeem.exe
C:\Windows\explore.exe (note a falta de um ‘r’)
C:\Windows\System\internet.exe
C:\Windows\Media\wmplayer.exe
C:\Windows\Help\helpcvs.exe
C:\Program Files\Accessories\accesss.exe
C:\Games\systemcritical.exe
C:\Documents Settings\sistem.exe
C:\Program Files\Common Files\Windows Media Player\wmplayer.exe
C:\Windows\Start Menu\Programs\Accessories\Game.exe
C:\Windows\sistem.exe
C:\Windows\System\RunDll16.exe
C:\Windows\iexplorer.exe (repare no “i” e “r” extras )
C:\y.exe
C:\x.exe

c:\funny.exe
c:\funniest.exe
c:\Windows\notepad32.exe
C:\Windows\system\kazaa.exe
C:\Windows\system32\kazaa.exe
C:\Program Files\Common Files\Services\iexplorer.exe
C:\Program Files\Common Files\Services\explore.exe
C:\Program Files\Common Files\Services\exploreer.exe
C:\Program Files\Common Files\Services\sistem.exe
C:\Program Files\Common Files\Services\critical.exe
C:\Program Files\Common Files\Services\directx.exe
C:\Program Files\Common Files\Services\internet.exe
C:\Program Files\Common Files\Services\window.exe
C:\Program Files\Common Files\Services\winmgnt.exe
C:\Program Files\Common Files\Services\clrssn.exe
C:\Program Files\Common Files\Services\explorer32.exe
C:\Program Files\Common Files\Services\win32e.exe
C:\Program Files\Common Files\Services\directx32.exe
C:\Program Files\Common Files\Services\uninstall.exe
C:\Program Files\Common Files\Services\volume.exe
C:\Program Files\Common Files\Services\autorun.exe
C:\Program Files\Common Files\Services\users32.exe
C:\Program Files\Common Files\Services\notepad.exe
C:\Program Files\Common Files\Services\win64.exe
C:\Program Files\Common Files\Services\inetinf.exe
C:\Program Files\Common Files\Services\time.exe
C:\Program Files\Common Files\Services\systeem.exe

c:\Windows\system32\iexplorer.exe
c:\Windows\system32\explore.exe
c:\Windows\system32\exploreer.exe
c:\Windows\system32\sistem.exe
c:\Windows\system32\critical.exe
c:\Windows\system32\directx.exe
c:\Windows\system32\internet.exe
c:\Windows\system32\window.exe
c:\Windows\system32\winmgnt.exe
c:\Windows\system32\clrssn.exe
c:\Windows\system32\explorer32.exe
c:\Windows\system32\win32e.exe
c:\Windows\system32\directx32.exe
c:\Windows\system32\uninstall.exe
c:\Windows\system32\volume.exe
c:\Windows\system32\autorun.exe
c:\Windows\system32\users32.exe
c:\Windows\system32\win64.exe
c:\Windows\system32\inetinf.exe
c:\Windows\system32\time.exe
c:\Windows\system32\systeem.exe

Voltar ao Topo

CWS.Smartfinder

V27: Descobrindo novos caminhos

Encontrado 11 de Janeiro de 2004
Sintomas IE redirecionado para nkvd.us e smart-finder.biz ao digitar URLs incompletas
Inteligência 10/10
Remoção Manual Edição no registro e remover um arquivo que está sempre na memória

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nkvd.us/s.htm
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nkvd.us/s.htm
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nkvd.us/1507/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
O13 – DefaultPrefix: http://www.nkvd.us/1507/
O13 – WWW Prefix: http://www.nkvd.us/1507/
O13 – Home Prefix: http://www.nkvd.us/1507/
O13 – Mosaic Prefix: http://www.nkvd.us/1507/

Entradas no StartupList

Enumerating ShellServiceObjectDelayLoad items:

DDE Control Module: C:\WINDOWS\SYSTEM\mtwirl32.dll

Essa variante é muito inteligente pois usa dois métodos de inicialização (ShellServiceObjectDelayLoad e SharedTaskScheduler) que devem ser os dois métodos mais raros existentes, além de usá-los de forma diferente no Windows 9x/ME e no Windows NT/2000/XP. Ambos os métodos fazem com que o arquivo seja carregado quando o “Explorer” for carregado, fazendo com que o arquivo fique sempre na memória como o CWS.Msconfd. Se isso não fosse o bastante, os arquivos realmente responsáveis pela infecção não podem ser vistos no log do HijackThis e somente um deles é exibido no log do StartupList. O arquivo responsável é o mtwirl32.dll e para removê-lo é necessário renomeá-lo, reiniciar o sistema e então apagá-lo, já que deletar diretamente não é possível, pois está em uso. Depois disso, ainda é necessário remover a chave no registro.

CWS.Smartfinder.2
Existe uma mutação dessa variante que é mais difícil de ser removida, mas basicamente usa o mesmo método para inicializar e o mesmo CLSID. Além disso, ela usa um BHO com o nome de mshelper.dll que recria qualquer chave no registro que você apague para remover essa mutação.

Apagar o BHO faz com que as chaves não possam ser recriadas e então podem ser apagados seguramente. Note que o BHO, embora parecido com o Osborntech Popup Blocker, pode ser diferenciado pelo CLSID e pela localização do arquivo (o verdadeiro fica em uma pasta separada na pasta Arquivos de Programas).

Voltar ao Topo

CWS.Yexe

V28: Tanto faz

Encontrado 17 de Janeiro de 2004
Sintomas Página inicial modificada para search.thestex.com
Inteligência 2/10
Remoção Manual Apagar entradas no registro, uma pasta e resetar o IE

Entradas no HijackThis

F1 – win.ini: run=C:\WINNT\system32\services\y.exe
O2 – BHO: (no name) – {5321E378-FFAD-4999-8C62-03CA8155F0B3} – C:\WINDOWS\System\services\1.00.07.dll
O4 – HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\y.exe
O4 – HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\y.exe

Essa variante usa um nome para o arquivo que é geralmente usado como instalador para outras variantes do CWS ou Lop.com (y.exe), mas o usa como o arquivo principal do hijacker. Ele é inicializado pelo win.ini e pelo system.ini de um modo estranho que nem devia funcionar e instala um BHO que parece reagir se certas palavras-chave forem encontradas em uma página. Remover o BHO, as entradas no win.ini e no system.ini e deletar o y.exe corrige o problema.

CWS.Yexe.2
Possivelmente existe uma mutação dessa variante que usa o arquivo services.exe em vez de y.exe.

Voltar ao Topo

CWS.Gonnasearch

V29: Leve três pelo preço de um

Encontrado 18 de Janeiro de 2004
Sintomas IE redirecionado para gonnasearch.com
Inteligência 2/10
Remoção Manual Remover algumas chaves e valores no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gonnasearch.com/ iesearch.php?ref=sb
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gonnasearch.com/?ref=sp
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gonnasearch.com/ iesearch.php?ref=sb
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gonnasearch.com/?ref=sp
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.gonnasearch.com/ iesearch.php?ref=sb
O2 – BHO: SearchAddon – {799A370D-5993-4887-9DF7-0A4756A77D00} – C:\PROGRA~1\INTERN~1\Toolbar\SEARCH~1.DLL
O2 – BHO: AutoSearch – {A55581DC-2CDB-4089-8878-71A080B22342} – C:\PROGRA~1\INTERN~1\Toolbar\AUTOSE~1.DLL
O2 – BHO: (no name) – {E7AFFF2A-1B57-49C7-BF6B-E5123394C970} – C:\PROGRA~1\INTERN~1\Toolbar\webinfo.dll

Essa variante se difere das outras por instalar não um, mas
três BHOs. O objetivo deles é desconhecido. Remover os tres BHOs e resetar as páginas do IE corrige o problema.

Voltar ao Topo

CWS.Winproc32

V30: Não consigo pensar em nada engraçado para dizer aqui

Encontrado 23 de Janeiro de 2004
Sintomas IE sendo redirecionado para icanfindit.net ou 4-counter.com, hijack retornando na reinicialização do sistema ou possivelmente antes
Inteligência 2/10
Remoção Manual Edição no registro e um gerenciador de processos

Entradas no HijackThis

Running processes:
C:\WINDOWS\SYSTEM32\WINPROC32.EXE

R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-counter.com/?a=2
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4- counter.com/?a=2
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://4-counter.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://4- counter.com/?a=2
O4 – HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE

Uma variante muito simples. Winproc32.exe carrega junto com o sistema e redireciona o IE. O arquivo fica na memória, então um gerenciador de processos é necessário para finalizá-lo. Ele adiciona 4 sites pornográficos aos favoritos. Ele também tenta modificar chaves do usuário padrão (HKEY_USERS\.DEFAULT), mas não consegue.

Voltar ao Topo

CWS.Msconfig

V31: Destruição mais um

Encontrado 5 de Fevereiro de 2004
Sintomas Páginas do IE modificadas para www.31234.com na inicialização do sistema e quando modificar a página inicial de volta, erros contínuos sobre um script de registro inválido em temp2.txt, opção extra no menu do clique-direito chamado ‘??????’ em páginas da internet
Inteligência 2/10
Remoção Manual Edição no registro, um gerenciador de processos e recuperar um arquivo danificado do CD do Windows

Entradas no HijackThis

Running processes:
C:\WINDOWS\SYSTEM\MSCONFIG.EXE

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html
O4 – HKLM\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe
O4 – HKCU\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe
O8 – Extra context menu item: ?????? – C:\WINDOWS\system32\openme.htm

Essa variante usa o arquivo nomeado msconfig.exe que substitui o arquivo verdadeiro do Windows nos Windows 98/98SE/ME. O arquivo temp2.txt que ele cria é na verdade um script do registro, mas como está no formato incorreto vai aparecer um erro no Windows 9x/ME sobre um script de registro inválido. No Windows 2000/XP ele vai funcionar sem problemas, criando uma opção ‘??????’ no menu do clique-direito no Internet Explorer.

O arquivo msconfig.exe estará sempre na memória reinstalando o hijack a cada 5 segundos. Matar o processo, apagar o arquivo, resetar as páginas do IE e recuperar o arquivo msconfig.exe verdadeiro conserta o problema.

Voltar ao Topo

CWS.Xxxvideo

V32: Que, você quer dizer que não é um vídeo de XXX?

Encontrado 11 de Fevereiro de 2004
Sintomas Páginas do IE modificadas para enjoysearch.info, 4 páginas adicionadas aos Favoritos e tudo de volta ao reiniciar o sistema
Inteligência 3/10
Remoção Manual Edição no Registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http:// www.enjoysearch.info/search.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// www.enjoysearch.info/search.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// www.enjoysearch.info/search.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:// www.enjoysearch.info/
O4 – HKLM\..\Run: [xxxvid] C:\WINDOWS\system32\xxxvideo.hta
O4 – HKCU\..\Run: [xxxvid] C:\Documents and Settings\<username>\My Documents\xxxvideo.hta

Uma variante muito simples com um script encriptado que roda na incialização reinstalando o hijack. Apagar as entradas de autorun, apagar os dois arquivos .hta e os quatro favoritos consertam o hijack.

Voltar ao Topo

CWS.Winres

V33: About:Blank hackeada

Encontrado 10 de Fevereiro de 2004
Sintomas Páginas do IE modificadas para 2020search.com e about:blank modificado para uma página de busca
Inteligência 7/10
Remoção Manual Edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// www.2020search.com/search/9884/search.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 – BHO: Windows Resources – {2D38A51A-23C9-48a1-A33C-48675AA2B494} – C:\WINDOWS\winres.dll
O15 – Trusted Zone: *.i-lookup.com
O15 – Trusted Zone: *.offshoreclicks.com
O15 – Trusted Zone: *.teensguru.com

Essa variante é a primeira que atinge um resultado surpreendente: consegue modificar a página ‘about:blank’ para uma página de busca. Isso também é visto na variante CWS.Xmlmimefilter usando um método diferente. Essa variante possivelmente adiciona três domínios aos “Sites Confiáveis” do Internet Explorer e mais dois sites na área de trabalho.

Apagar o BHO, resetar as páginas do IE e remover os sites da área de trabalho e da lista de Sites Confiáveis conserta o problema.

Voltar ao Topo

CWS.Xmlmimefilter

V34: About:Blank hackeada V2.0

Encontrado 29 de Fevereiro de 2004
Sintomas Página inicial do IE modificada para about:blank que é modifcada para uma página de busca com o nome de ‘Microsoft Search the Web’ e redirecionamentos para a mesma página de busca ao digitar incorretamente um endereço
Inteligência 10/10
Remoção Manual Edição no registro

Entradas no HijackThis

O1 – Hosts: 213.159.117.235 auto.search.msn.com
O18 – Protocol: about – {53B95211-7D77-11D2-9F80-00104B107C96} – C:\WINDOWS\System32\msxmlpp.dll

Embora a modificação do About:Blank também fora feito pela variante CWS.Winres, essa nova variante consegue fazer isso de uma forma muito mais elegante. A DLL responsável por cuidar do protocolo ‘about:’ é modificada para uma DLL maliciosa, msxmlpp.dll, mostrando uma página de busca cheia de links para 66.117.38.91 ao invés de uma página em branco.

Mudar o CLSID do protocolo about de volta ao padrão
{3050F406-98B5-11CF-BB82-00AA00BDCE0B}, apagar os arquivos e remover o arquivo hosts conserta o problema.

Voltar ao Topo

CWS.Aboutblank

V35: É apenas moda

Encontrado 2 de Março de 2004
Sintomas Páginas do IE modificadas para about-blank.ws e 213.159.118.226 (1-se.com), hijack voltando ao reiniciar o sistema
Inteligência 5/10
Remoção Manual Edição no registro e apagar um arquivo aleatório

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://about-blank.ws/page/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://about-blank.ws/page/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://about-blank.ws/page/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://about-blank.ws/
O1 – Hosts: 213.159.118.226 1-se.com
O1 – Hosts: 213.159.118.226 58q.com
O1 – Hosts: 213.159.118.226 aifind.cc
O1 – Hosts: 213.159.118.226 aifind.info
O1 – Hosts: 213.159.118.226 allneedsearch.com
O1 – Hosts: 213.159.118.226 approvedlinks.com
[..]
O1 – Hosts: 213.159.118.226 www.wazzupnet.com
O1 – Hosts: 213.159.118.226 www.websearch.com
O1 – Hosts: 213.159.118.226 www.windowws.cc
O1 – Hosts: 213.159.118.226 www.xgmm.com
O1 – Hosts: 213.159.118.226 xwebsearch.biz
O1 – Hosts: 213.159.118.226 yourbookmarks.ws
O4 – HKLM\..\Run: [Network Service] C:\WINNT\svchost.exe-sr -0
O4 – HKCU\..\Run: [Network Service] C:\WINNT\svchost.exe-sr -0
O19 – User stylesheet: C:\WINNT\system32\xea2108l.9zt

Essa variante faz tudo que pode para redirecionar você para um domínio contralado por 1-se.com. O IE é redirecionado para ele e o arquivo HOSTS é trocado para redirecionar mais ou menos 100 sites pornográficos e domínios do CoolWebSearch para 1-se.com, além de uma folha de estilos com nome aleatório que é criada para redirecionar para 1-se.com quando certas palavras apareceram em uma página.

Resetar as páginas do IE através de uma busca no registro por about-blank.ws, remover o arquivo HOSTS, remover o arquivo svchost.exe da pasta Windows (o da pasta System32 é legítimo) e apagar a folha de estilos aleatória (1079 ou 1087 bytes de tamanho) corrige o problema.

Voltar ao Topo

CWS.Sounddrv

V36: Sem graça, mas escondido

Encontrado 12 de Março de 2004
Sintomas Páginas do IE modificadas para defaultsearching.com, hijack voltando ao reiniciar
Inteligência 3/10
Remoção Manual Edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://defaultsearching.com/search.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://defaultsearching.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://defaultsearching.com
O4 – HKCU\..\RunOnce: [sounddrv] C:\WINDOWS\SYSTEM\SNDBDRV3104.EXE

Essa variante é bem pequena, mas sua habilidade para se esconder fica a cargo do nome que usa para o arquivo, que foi primeiramente confundido com um driver para uma placa de som (inclusive por mim). Fora isso, esse hijack é realmente simples. Apagar o arquivo e resetar o IE conserta o problema.

Voltar ao Topo

CWS.Realyellowpage

V37: Causando tendências homicidas

Encontrado 16 de Março de 2004
Sintomas Páginas do IE modificadas para real-yellow-page.com, drxcount.biz, list2004.com ou linklist.cc, hijack inexplicavelmente voltando ao reiniciar sem qualquer arquivo parecendo responsável
Inteligência Cadê a tecla do símbolo de infinito?
Remoção Manual Recomenda-se machado ou serra elétrica

Entradas no HijackThis

-

Essa variante é um pesadelo. Se você viu um computador infectado que continua mudando as páginas do IE para os sites mencionados por nenhuma razão visível, você provavelmente viu essa aqui. É provável que quem esteja que está por trás dessa variante contratou um programador blackhat e disse para ele fazer o hijacker mais complexo e persistente que ele poderia imaginar. E ele fez.

O arquivo é nomeado aleatoriamente e geralmente se hospeda no processo do Internet Explorer como um módulo. Depois ele esconde o processo da lista de processos. Sim, você leu isso mesmo, o processo que hospeda a DLL desaparece do Gerenciador de Tarefas e da maioria dos gerenciadores de processos que nós tentamos.

Primeiro ele era somente visível com o FAR Explorer, mas mais tarde descobrimos que o PrcView também o mostrava, além de ter algumas ótimas opções para linha de comando, o que faria bons scripts para ajudar na remoção manual. Para Windows 9x/ME, inciar o computador no Modo de Segurança vai fazer com que o arquivo não carregue, permitindo uma maneira mais simples de remoção.

Instruções para remoção manual

  • Faça o download do PrcView aqui:
    http://www.merijn.org/files/pv.zip
    e descompacte-o para sua área de trabalho
  • Com pelo menos uma janela do Internet Explorer aberta, dê um duplo-clique no arquivo runme.bat
  • Selecione a opção ’2′ do menu. O Bloco de Notas abrirá com um log.
  • Procure por uma linha assim:
    winajbm.dll 61c00000 61440 c:\windows\system32\winajbm.dll
    O nome do arquivo será sempre diferente.

    Essa parte indica o arquivo ruim:
    61c00000 61440
    Ele sempre começará com esse cabeçalho.

  • Anote o arquivo que aparece indicado na linha.
  • Agora faça o download do KillBox:
    http://www.downloads.subratam.org/KillBox.zip

As instruções abaixo foram atualizadas e não constam no documento original.

  • Na caixa com o título Full Path of File to Delete, coloque o caminho completo do arquivo encontrado anteriormente
  • Marque o botão Delete on Reboot e então clique no botão vermelho com um X em branco.
  • Responda “Sim” às perguntas que o programa fará. O computador será reiniciado e o arquivo deve ser deletado. Se o arquivo não estiver mais lá e os sintomas tiverem desaparecido o problema foi resolvido.

Informações Técnicas

Win9X/ME
Usa a chave RunServicesOnce do HKLM para ser carregado, que é apagada pelo Windows logo após executar o arquivo e então é recriada pela DLL quando o Windows é desligado. É visível no modo de segurança quando a DLL não é carregada e então pode ser apagada.

WinNT/2000/XP
Usa a chave AppInit_DLLs para ser carregado e possivelmente mais chaves do registro. A função para apagar arquivos ao reiniciar pode ser usada (o KillBox faz isso), desde que o nome do arquivo seja conhecido.

O arquivo está fortemente encriptado usando uma ferramenta desconhecida, possui um cabeçalho PE modificado e trava a maioria (se não todos) dumpers de memória quando tentam despejar o arquivo da memória. Esconde o processo hospedeiro (IEXPLORE.EXE, RUNDLL32.EXE, CONTROL.EXE ou REGSVR32.EXE, dependendo de qual for usado) usando um método desconhecido.

O CWShredder não é capaz de remover essa variante automaticamente.

Voltar ao Topo

CWS.Systeminit

V38: Tamanho real

Encontrado 21 de Março de 2004
Sintomas Páginas do IE modificadas para your-search.info, redirecionamentos para search-dot.com, hijack retornando ao reiniciar, sites adicionados na área de trabalho e nos favoritos
Inteligência 2/10
Remoção Manual Edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.your- search.info/search.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.your- search.info/start.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:// www.your-search.info/start.html
O4 – HKLM\..\Run: [system32.dll] C:\WINDOWS\system\systeminit.exe
O4 – Global Startup: sytem32.exe
O19 – User stylesheet: C:\WINDOWS\sstyle.css
O19 – User stylesheet: C:\WINDOWS\sstyle.css (HKLM)

Uma variante pequena que usa dois arquivos para reinstalar o hijack. A folha de estilos redireciona para search-dot.com e duas entradas que iniciam com o sistema modificam as páginas do IE para your-search.info. Uma cópia de backup do arquivo systeminit.exe fica em
C:\Documents And Settings\sys.exe (esta localização está
hardcoded no trojan). Apagar os três arquivos do trojan, a folha de estilos e os sites adicionados nos favoritos e resetar o IE conserta o problema.

Voltar ao Topo

CWS.Searchx

V39: About:Blank parece popular ultimamente

Encontrado 6 de Abril de 2004
Sintomas Páginas do IE modificadas para about:blank (que é modificada para um portal de busca que possui links para searchx.cc) e uma página de busca dentro de uma DLL no sistema, hijack voltando ao reiniciar
Inteligência 8/10
Remoção Manual Muita edição no registro

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 – BHO: (no name) – {48918FB4-1FD5-4DF3-87F0- 12C36350039D} – C:\WINDOWS\System32\gfmnaaa.dll

Essa variante não é difícil de ser notada, mas um pouco mais difícil de ser identificada já que os seus sintomas são muito parecidos com os da variante CWS.Xmlmimefilter. Ele cria um DLL de nome aleatório na pasta do sistema e configura as páginas inicial e de busca do IE para ele. Um BHO também é instalado que utiliza a mesma DLL. A página about:blank é modificada através da criação de novos filtros de protocolo para text/html e text/plain, o que permite que a DLL controle a maioria do conteúdo que passa pelo IE, como as páginas de Internet. O trojan mantém um log de todas as ações no arquivo
c:\filter.log. Remover os dois filtros no registro, remover o BHO, a DLL, o arquivo de log e resetar o IE conserta o problema.

Nota: CWS.Realyellowpage foi encontrada junto com essa variante algumas vezes, fazendo com que o CWShredder não seja capaz de remover essa variante aqui. Procure o método manual para remover aquela variante e então rode o CWShredder novamente para remover CWS.Searchx.

Voltar ao Topo

Variantes dos Afiliados

Essas variantes não tem uma relação direta com o CoolWebSearch, mas são vistas com ele freqüentemente.

CWS.Aff.iedll

V40: Programador ruim

Encontrado 18 de Agosto de 2003
Sintomas Erros em um arquivo chamado iedll.exe ou loader.exe quando o Windows iniciar, avistada muitas vezes junto com outras variantes do CWS
Inteligência 3/10
Remoção Manual Finalizar um processo e edição no registro

Entradas no HijackThis

Running processes:
C:\WINDOWS\IEDLL.EXE
C:\WINDOWS\LOADER.EXE

O4 – HKCU\..\Run: [iedll] C:\WINDOWS\iedll.exe
O4 – HKCU\..\Run: [loader] C:\WINDOWS\loader.exe

Essa variante de afiliados, de origem desconhecida, possui dois arquivos. O primeiro, loader.exe faz o download do segundo, iedll.exe e o executa. Ambos os arquivos são configurados para iniciar junto com o Windows. O hijack se torna óbvio quando o iedll.exe trava — o que acontece seguidamente. Aparentemente, esse hijacker foi programado de forma tão ruim que ele não vai conseguir mudar as páginas do IE e fazer o hijack. Ele somente está listado aqui pois ele foi visto junto com outras variantes do CWS em várias ocasiões.

CWS.Aff.iedll.2
Existe uma mutação dessa variante que usa os mesmos arquivos, porém eles ficam na pasta
C:\Program Files\Windows Media Player.

Voltar ao Topo

CWS.Aff.Winshow

V41: Chega de dois modos

Encontrado 13 de Julho de 2003
Sintomas IE redirecionado para youfindall.com, BHO adicionado no IE com o arquivo winshow.dll. A segunda variante muda as páginas para searchv.com e redireciona endereços digitados incorretamente para um site pornô, problemas voltam ao reinicia ou até mesmo antes
Inteligência 5/10 — 8/10 na segunda mutação
Remoção Manual Muita e muita edição no registro, editar o arquivo hosts e apagar um arquivo

Entradas no HijackThis

O2 – BHO: WinShow module – {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} – C:\WINDOWS\WINSHOW.DLL

Entradas no HijackThis na segunda variante

O1 – Hosts file: 209.66.114.130 sitefinder.verisign.com
O2 – BHO: WinShow module – {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} – C:\Documents And Settings\username\Application Data\winshow\Winshow.dll
O4 – HKLM\..\Run: [sys] regedit /s C:\WINDOWS\sys.reg
O4 – Global Startup: MSUpdater.exe

Essa variante era inicialmente bem inocente, tendo apenas um BHO com o nome de Winshow com objetivos desconhecidos que era visto seguidamente junto com outras variantes do CWS.

CWS.Aff.Winshow.2
A segunda mutação também usa o BHO com o mesmo arquivo, mas adiciona um redirecionamento através do HOSTS para redirecionar endereços de sites digitados incorretamente para um site pornô, além de mudar as páginas do IE para searchv.com na reinicialização usando um comando do registro. Um arquivo com o nome de MSUpdater.exe é colocado na pasta “Inicializar” do Menu Iniciar do “All users” que também carrega o hijack. Apagar os dois arquivos corrige o problema. Ainda não se sabe o que o BHO faz.

CWS.Aff.Winshow.3
Existe uma terceira mutação que usa o arquivo
winlink.dll para o BHO. Ela redireciona o IE para searchv.com e thesten.com. Ela não possui os arquivos adicionais da segunda mutação.

CWS.Aff.Winshow.4
Existe uma quarta mutação dessa variante que adiciona uma entrada de desinstalação no Adicionar/Remover programas com o nome de Winshow e se atualiza automaticamente através de uma chave no registro com o nome de
WinShowUpdate.

CWS.Aff.Winshow.5
Existe uma quinta mutação dessa variante que usa o arquivo iefeatsl.dll, redireciona para search-click.com e se atualiza automaticamente através de uma chave no registro nomeada iefeatslUpdate. Ela também faz o download e instala um BHO com o nome de
SubmitHook.

CWS.Aff.Winshow.6
Existe uma sexta mutação dessa variante que usa um nome aleatório para o nome do arquivo e da pasta com mesmo CLSID das variantes anteriores:
{587DBF2D-9145-4c9e-92C2-1F953DA73773}. Ela também instala um BHO nomeado SubmitHook e se atualiza automaticamente através de uma chave no registro chamada Updater.

Voltar ao Topo

CWS.Aff.Tooncomics

V42: Mudando a internet

Encontrado 18 de Setembro de 2003
Sintomas Hijack para tooncomics.com, alvo dos links na internet modificados para sites pornográficos
Inteligência 9/10
Remoção Manual Muita edição no registro e edição do arquivo HOSTS

Entradas no HijackThis

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://tooncomics.com/main/sp.htm
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tooncomics.com/main/hp.htm
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://66.250.130.194/main/hp.php
O1 – Hosts: 66.40.16.131 livesexlist.com
O1 – Hosts: 66.40.16.131 lanasbigboobs.com
O1 – Hosts: 66.40.16.131 thumbnailpost.com
O1 – Hosts: 66.40.16.131 adult-series.com
O2 – BHO: DNSErr object – {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} – C:\WINDOWS\DNSErr.dll

Essa variante parece é parecida com a CWS.Vrape, pois redireciona vários sites pornográficos para si mesmo e até usa um BHO para mudar o alvo dos links para sites pornográficos como o Toptext da eZula faz. Alguns usuários falaram que não era possível fazer o download do CWShredder pois os links nessa página foram todos alterados para sites pornográficos. A remoção manual é difícil, pois o arquivo DNSErr.dll, responsável por modificar os links, não possui nenhuma rotina de desinstalação como a maioria das DLLs. Porém, apagar o arquivo diretamente não traz nenhum problema.

CWS.Aff.Tooncomics.2
Exista uma mutação dessa variante que usa o arquivo dnse.dll como o BHO e um segundo arquivo ld.exe que está sempre rodando, recarregando o hijack. Nessa mutação, as páginas do IE são modificadas para fastwebfinder.com. Um programa para finalizar processos é necessário para se livrar do ld.exe.

Voltar ao Topo

CWS.Aff.Madfinder

V43: Parece o ClientMan

Encontrado 15 de Outubro de 2003
Sintomas Página inicial modifcada para madfinder.com, BHO com o nome BrowserHelper.dll, problemas voltando ao reiniciar ou antes
Inteligência 5/10
Remoção Manual Finalizar um processo e muita edição no registro

Entradas no HijackThis

Running processes:
C:\WINDOWS\System32\svc.exe

O1 – BHO: (no name) – {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} – C:\WINDOWS\System32\BrowserHelper.dll
O4 – HKCU\..\Run: [svc] C:\WINDOWS\System32\svc.exe

Essa variante consiste de dois arquivos que ajudam um ao outro.
svc.exe roda invisivelmente, faz o download do segundo, BrowserHelper.dll e o instala como um BHO. Porém, este BHO também possui o primeiro arquivo e possivelmente o coloca de volta se ele for apagado. Essa variante é sempre acompanhada de um hijack para madfinder.com.

Voltar ao Topo

A correção conhecida como CWShredder

Depois de ler tudo isso, você deve estar com a impressão de que é quase impossível de remover o hijacker CoolWebSearch devido ao número de variantes. Embora seja verdade que a maioria das ferramentas anti-spyware não conseguem remover todas as variantes, existe uma ferramenta que vai.

Se chama CWShredder e pode ser baixado clicando no link abaixo:
Download do CWShredder

A Origem

Hoje nós já temos certeza de que o CoolWebSearch faz parte de um grupo de vários novos trojans que foram recentemente identificados, onde todos possuem a mesma característica: são instalados explorando a falha do
ByteVerify[4] no Microsoft Java Virtual Machine e que mudam a página inicial, página de busca, adicionam sites nos favoritos e etc. Dê uma olhada neste trecho retirado da descrição do trojan Java.Shinwow:

Existe um grupo crescente de trojans que exploram a falha do ByteCodeVerifier no Microsoft Virtual Machine que permite que códigos maliciosos sejam executados. As variantes desse trojan que nós vimos são um pouco diversas, mas todas elas usam essa falha para alcançar seus objetivos. Algumas das variantes podem fazer um pouco mais além de modificar a página inicial e de busca do IE.

Nós recomendamos a instalação do patch disponível no
boletim de segurança da Microsoft. Se você possui o Windows XP com o Service Pack 1a, seu sistema não possui mais o MS Java VM. Informações para remover completamente o MS Java VM para substituí-lo pelo novo e mais seguro Java da Sun podem ser encontradas aqui (inglês).

Também foi confirmado que o Index.Dat Viewer muda a página inicial para superwebsearch.com, que é um afiliado do CWS. Remover o Index.Dat Viewer
não vai restaurar a sua página inicial.

Sempre é uma boa idéia manter o sistema atualizado através do
Windows Update.

Notas da Tradução

1. CWShredder

Merijn descontinuou o CWShredder em Julho de 2004, mas ele foi adquirido pela InterMute em Setembro do mesmo e posteriormente pela Trend Micro, a mesma compania que hoje retém os direitos deste artigo. O CWShredder agora é mantido por eles. CWShredder é uma trademark da Trend Micro, Inc.

2. Caminho dos arquivos

Muitas vezes os caminhos dos arquivos são o que chamamos de “hardcoded” dentro do programa. Nesse caso, o caminho pode ser o mesmo em qualquer versão do Windows. Em outros casos, o nome do arquivo pode usar as pastas padrão do Windows para cada situação. Por exemplo:

  • C:\Program Files
    C:\Arquivos de Programas
  • C:\Program Files\Common Files
    C:\Arquivos de Programas\Arquivos Comuns

Por esse motivo, os caminhos dos arquivos não foram traduzidos para o português, já que se o caminho for hardcoded dentro do hijacker, ele poderá usar o mesmo caminho do Windows em inglês.

3. LSPs do Winsock

É possível manipular através do regedit as correntes do Winsock e assim é possível remover variantes como a CWS.Msspi. O processo é tão difícil e complexo que eu considero qualquer um que tente fazer isso com o regedit realmente louco. Não estou brincando. Use o LSPFix e salve a sua própria vida.

4. Falhas exploradas pelo CWS

Hoje em dia sabe-se que além do ByteVerify são usadas várias outras falhas, como o MhtRedir e o JS.Exception. É recomendado que você faça todas as atualizações do IE já que a lista de patches completa ficaria muito longa para listar aqui. Use o Windows Update e atualize seu computador!

Informações Removidas

Os campos “Referência” e “Encontrado” foram removidos, pois mais de 2/3 dos links estavam quebrados ou já tinham sido substituídos por outros logs mais recentes, assim tirando o propósito de “exemplo”.

Agradecimentos

Obrigado ao Merijn por ter originalmente escrito tudo o que está aqui e à InterMute (antiga proprietária do CWSShredder e, portanto, deste documento) por ter permitido a tradução para o Português do Brasil do maior documento atualmente existente sobre um hijacker.

E obrigado a você que leu até aqui.

 
imprimir
Compartilhe
 
 
Boletim informativo Cadastre-se e receba em seu e-mail

Anuncie | Termos de Uso | Politica de Privacidade | WP

Editado por Altieres Rohr. Mantido pelo Staff Linha Defensiva

Contato Geral:

Parceiro
Site Seguro