Fórum Linha Defensiva -> Lop.com, C2.Lop

Regras do Fórum · Linha Defensiva

Ajuda

Pesquisa

Usuários

Calendário

Chat MSN

Bem-vindo, visitante ( Login | Registre-se )

Reenviar e-mail de validação

Fórum Linha Defensiva -> Malware -> Informações e FAQs

Lop.com, C2.Lop, A praga do Messenger Plus

Opções do Tópico

FallenHawk

Postado em 30/05/2005, 02:43 AM

Administrador/Editor
Posts: 10.295
Membro desde
26/01/2005

As entradas do hijacker lop.com são extremamente aleatórias. Na maioria das vezes, parecem até mesmo ser legítimas devido a sua criatividade.

O Lop.com, em suas versões mais atuais, se instala no sistema através de Tarefas Agendadas que geralmente não podem ser vistas através do Painel de Controle. Identificar o Lop.com no HijackThis não é difícil: é um arquivo EXE dentro de uma pasta na pasta "Dados dos Aplicativos".

No Windows 2000/XP, essa pasta fica em:
C:\Documents and Settings\[usuario]\Dados de aplicativos

No Windows 9x/ME:
C:\WINDOWS\Application Data

Identificação

No HijackThis as entradas parecem algo do tipo:

QUOTE

O2 - BHO: (no name) - {6258A6EC-2AB5-26B5-A0E7-7A05DFA03714} - C:\DOCUME~1\ADMINI~1\DADOSD~1\ONCEPO~1\Okayknob.exe

O4 - HKCU\..\Run: [inside heart] C:\DOCUME~1\ADMINI~1\DADOSD~1\OPENDU~1\INTERCREATIVE.exe

O nome da pasta dentro dos dados dos aplicativos, o arquivo EXE e o nome da entradas no Run são escolhidos entre uma lista gigante de nomes (o que geralmente fará com que você não encontre nada no Google sobre o arquivo). Note também que, diferente da maioria das entradas O2 que apontam para um arquivo DLL, o LOP sempre usa um EXE.

O log também pode apresentar entradas R0 e R1 com nomes completamente idiotas, como:

QUOTE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dtgrkkqytnzpwog.biz/8hLoZ8hjJ_G...b326LQKzHdB.jsp

Solução

O pessoal da C2Media (empresa que faz o Lop.com) disponibiliza um desinstalador. Ele pode ser baixado através do link:
http://lop.com/new_uninstall.exe

Note que o desinstalador é detectado como trojan por diversos antivírus. Se isso acontecer, desabilite o antivírus. O arquivo é perfeitamente seguro.

Se o desinstalador não funcionar

Sabemos que as versões mais novas do C2.lop/Lop.com não estão sendo completamente removidas pelo desinstalador. Nesse caso você deverá postar no fórum Remoção de Malware, pois é necessário identificar certos arquivos maliciosos para remover a praga manualmente.

Observações

Em raras ocasiões, a pasta Arquivos de Programas será usada ao invés da pasta Dados dos Aplicativos.
O desinstalador deve ser executado em cada conta de usuário separadamente.
Essa praga é instalada junto com o Messenger Plus!. Não é recomendado executar o desinstalador do Lop.com - nesse caso o correto é desinstalar o Messenger Plus! e reinstalá-lo sem o patrocínio.

--------------------

Altieres Rohr // Ira Racional // Twitter
You shall be as gods

Respostas da entrevista comigo

« Próximo mais antigo | Informações e FAQs | Próximo mais novo »

[ Se você recebeu um e-mail suspeito ou estranho, pode ser um vírus. Encaminhe-o para a Linha Defensiva ]

Hospedagem: HostRevenda

As opiniões dos usuários e moderadores do fórum não representam a opinião da direção da Linha Defensiva.

LoFi Version