Vírus
e cia.
Datom
É um worm
da América do sul que apareceu em 10 de julho de 2002. Afeta
todas
as versões do Windows, a partir da versão 95.
Não
afeta sistemas Linux e Macintosh.
Ele não é
destrutivo
e sua única ação conhecida é a sua
própria
auto-disseminação, que é efetuada por rede local.
Foi criado com Borland C++.
Características
É
constituído
por três componentes distintos, cada um responsável por
uma
parte das suas tarefas, dificultando o reconhecimento de suas
atividades
pelo método heurístico que vários
Anti-vírus
usam.
Os arquivos componentes
são:
Msvxd.exe (com 58.368 bytes) - que executa o arquivo Msvxd16.dll (com
54.784
bytes) - o qual adiciona uma referência ao arquivo Msvxd.exe
dentro
do Registro do Windows e, então, executa o arquivo Msvxd32.dll
(81.408
bytes) - o qual busca e registra todos os compartilhamentos abertos
dentro
da rede local e copia todos os seus três componentes para cada um
dos compartilhamentos encontrados, dentro da pasta do Windows.
Em alguns casos, o primeiro
componente do vírus, MSVXD.EXE, faz cópias de si em uma
das seguintes pastas na pasta do Windows:
- Profiles\All Users\Start Menu\Programs\StartUp;
- Documents and Settings\All Users\Start Menu\Programs\StartUp;
- Documents and Settings\All Users\Menu
Démarrer\Programmes\Démarrage;
- Documents and Settings\All
Users\Menu Avvio\Programmi\Esecuzione automatica.
O arquivo
MSVXD.EXE
também modifica o arquivo WIN.INI, de modo a que o vírus
seja executado ao reiniciar o computador e executar o segundo
componente,
o MSVXD16.DLL.
O arquivo
MSVXD16.DLL
cria
a chave de registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSVXD
" %WinDir% \MSVXD.EXE 1632
para executar o MSVXD.EXE
(com o argumento "1632") a cada reinício do Windows, e passa a
monitorar
o uso do REGEDIT ou do MSCONFIG.
Se um dos dois ou ambos forem
executados
a chave é escondida do usuário (esse comportamento
também
está presente no terceiro componente). Além disso, o
MSVXD16.DLL
também esxecuta o MSVXD32.DLL.
O arquivo MSVXD32.DLL
ao
ser executado é responsável por quatro
ações:
1. monitorar a
execução
do REGEDIT e do MSCONFIG (como o MSVXD16.DLL) e por copiar o virus em
arquivos
temporários (chamados TMP_V_00.TMP, etc);
2. parar a
execução
do programa "firewall" "Zone Alarm" se estiver rodando. Conectar-se com
o "site" www.microsoft.com e enviar mensagens por e-mail para um ou
dois
endereços, incluindo um arquivo anexado, usando um servidor
público;
3. copiar os componentes
do vírus components em pastas compartilhadas em computadores
ligados
em rede;
4. mudar o valor da chave
de registro
HKCR\.html\Shell\Open\Command,
modificando o programa que abre arquivos .html.
O worm também
recria
a área de propriedades do arquivo. Assim, quando o
usuário
clica em Propriedades (do arquivo), com o botão direito do
mouse,
surgirá:
Description: Windows
VxD integrity check Copyright: Copyright (C)
Microsoft Corp. 1995
Company Name: Microsoft Corporation Product
Name: Microsoft®
VxD
Evidentemente, o
objetivo
é camuflar o Datom, de modo que o arquivo pareça ser um
componente
do próprio Windows.
Apelidos
W32.Datom.Worm, Win32.Datom, Worm.Win32.Datom
Indicadores de infecção
- Existência
do(s)
seguinte(s) arquivo(s):
MSVXD.EXE, MSVXD16.DLL e
MSVXD32.DLL em uma subpasta da pasta Windows ou em uma pasta
compatilhada;
- Presença
da
chave de registro
HKLM\Software\Microsoft\CurrentVersion\Run\MSVXD
que só é
visível
pelo REGEDIT quando o Windows está em Modo de Segurança.
Procedimentos para retirar o Datom de um computador
Devem
ser tomados cuidados especiais
com o sistemas Windows ME e Windows XP:
O Windows ME usa um
procedimento
de back-up que faz cópias automaticamente na pasta
C:\_Restore,
que é protegida pelo Sistema Operacional. Ou seja, isso
significa
que um arquivo infectado pode ser armazenado nessa pasta, como um
arquivo
de backup e, assim, o antivírus não poderá
deletá-lo.
A
ferramenta "Restore"
no
Windows XP é semelhante à "última boa
configuração"
dos Windows 2000 e NT. Um arquivo infectado por um vírus pode
ser
armazenado na pasta que contém essas informações
e,
como tal pasta não pode ser modificada por programas
externos,
antivírus não poderá deletá-lo.
Portanto, antes de
fazer
o procedimento manual ou de utilizar programas para retirar o "worm",
quem utiliza o Windows ME ou o Windows XP deve desabilitar essas
ferramentas.
Se não souber como proceder:
|
Windows Me
|
Windows XP
|
|
clique aqui
|
clique aqui
|
A - Descontaminação com vacina específica
A Bit Defender disponibilizou
um pequeno programa que remove o Datom A. O arquivo tem 54 KB.
Para copiar o arquivo
a. do "site"
original,
acesse-o e copie o arquivo:
http://www.bitdefender.com/html/free_tools.php
b. ou
clicando-se em "Download", com o botão direito do mouse e em
algo
como "Save link as".
Em qualquer um
dos
casos acima, escolha ou crie uma pasta em seu computador e salve o
arquivo
nela.
Se não
tiver
acesso ao Windows Explorer, copiar o arquivo para um disquete, em outro
computador não contaminado.
- Se usar o Windows ME
ou
o Windows XP desabilitar a ferramenta "Restore". Se não souber
como
clicar aqui.
- Localizar e dar
um duplo clique no arquivo antidatom.exe, recém copiado.
- Abrir-se-á
uma janela. Esperar a memória ser escaneada. Clicar em "Start" e
todo o computador será escaneado.
- Se a
remoção
do Datom for bem sucedida o programa exibe, entre outros, os seguintes
resultados: número total de pastas e arquivos verificados,
número
de arquivos reparados e de deletados.
- Só
compartilhar
novamente qualquer unidade/pasta com direito de gravação
quando o vírus for totalmente erradicado da rede, ou seja,
quando
esse procedimento tiver sido efetuado em todos os computadores da mesma
rede.
B - Descontaminação manual
IMPORTANTE:
Só
executar esses procedimentos se realmente souber fazê-lo,
realmente.
Em caso contrário, recorra a alguém que tenha um bom
conhecimento
técnico para descontaminar seu computador.
Erros neste
processo
podem causar
danos sérios, comprometendo
o funcionamento do sistema, podendo provocar mais estragos do que os
ocasionados
pelo próprio vírus.
Algumas
informações
sobre a edição de registro do Windows e uso de comandos
do
DOS podem ser encontradas clicando aqui.
Se usar o Windows ME
ou
o Windows XP desabilitar a ferramenta "Restore". Se não souber
como
clicar aqui.
| 1 |
Se o
computador
estiver conectado à Internet deve ser desconectado (ou
seja,
desconecte o cabo, fisicamente), antes de efetuar a limpeza. Aqueles
que
tiverem conexão permanente à Internet (DSL ou cabo)
também
precisam ser desconectados. (Há casos descritos de computadores,
após ter sido limpos, foram contaminados novamente assim que
foram
conectados à Internet ou em que foram ligados à rede
interna). |
| 2 |
O
computador
tem algum tipo de compartilhamento?
Se não
tiver, passar
para o item 4.
Se tiver,
descompartilhar:
É
importante dizer
que muitos usuários de Windows deixam esta opção
habilitada
sem saber, mesmo quando têm um único computador isolado
para
uso doméstico. Portanto, verifique.
As
instruções
que se seguem são para o Windows 98. Nos outros sistemas
são bastante parecidas:
Abrir o Windows
Explorer
e clicar com o botão direito sobre pasta compartilhada.
Selecionar
Compartilhamento
Clicar no campo
Não
compartilhado - Clicar em Ok
Estabelecimento
de Ligações
Clicar em:
Botão
Iniciar - Configurações - Painel de Controle - Rede
Selecionar TCP/IP -
modelo
da placa existente...
Clicar em
Propriedades e
na aba Ligações
Na janela que se
abre retirar
o clique de
"Compartilhamento de
arquivos
e impressoras para redes Microsoft"
Compartilhamento
de arquivos
e impressoras
Clicar em:
Botão
Iniciar - Configurações - Painel de Controle - Rede
Selecionar TCP/IP -
modelo
da placa existente...
- Em "Logon
primário
da rede" selecionar: Cliente para redes Microsoft
- Clicar no
botão
"Compartilhamento de arquivos e impressoras"
- Tirar o clique de
"Desejo
que outros usuários tenham acesso a meus arquivos"? - "OK"
|
| 3 |
Reiniciar
o
Windows em modo de segurança
(Proceder como no
passo
2, do procedimento "Utilizando programas
antivírus",
acima) |
| 4 |
No
Windows Explorer
dar um duplo clique no arquivo win.ini em C:\Windows
Procurar por
MSVXD
Se encontrar,
retirar MSVXD
após a linha
run = ou
load =
Procurar por
C:\Windows\.exe
e C:\Windows\ .exe e, se houver, retirar a linha:
;rem TShoot load
C:\Windows\.exe
(ou C:\Windows\ .exe) |
| 5 |
Procurar
em
todo o C:\ por MSVXD e deletar os arquivos:
MSVXD.EXE,
MSVXD16.DLL e
MSVXD32.DLL files |
| 6 |
Remover
as entradas
MSVXD no registro do Windows:
- Clicar no
botão
"Iniciar" -"Executar"
- Digitar
"REGEDIT"
(sem as aspas)
- Clicar em "OK"
- No painel do lado
esquerdo,
clicar em (+) e seguir o caminho:
HKEY_LOCAL_MACHINE
Procurar as
pastas
"SOFTWARE", "Microsoft", "Windows", "Current Version" e "Run" nessa
ordem
- No painel da
direita,
procurar MSVXD
Se encontrar,
selecioná-la,
clicando sobre ela e excluí-la, pressionando DEL
Fechar o
Editor de
Registro. |
| 7 |
Só
reconectar
à Internet e recompartilhar novamente qualquer unidade ou pasta
com direito de gravação, quando o vírus for
totalmente
erradicado da rede, ou seja, quando esse procedimento tiver sido
efetuado
em todos os computadores.
Ao terminar o
processo de
remoção, se for reativar os arquivos ou pastas
compartilhados, nunca
compartilhe toda a unidade C:/. Ou seja, compartilhe uma
determinada
pasta. ( Os vírus BugBear e Opaserv se espalham pela
técnica
de colocar uma linha a mais no arquivo WIN.INI, que fica na pasta
WINDOWS
em computadores com Windows 9x. Lembrar que, em geral, os
usuários
comuns nunca precisam escrever ou ler qualquer arquivo na pasta
WINDOWS,
mas os vírus precisam ter acesso a esta pasta para se espalhar).
As pastas
compartilhados
devem ser protegidos com uma senha segura e não deve ser
utilizada
uma senha em branco. Fazer com que este compartilhamento seja "Somente
Leitura", antes de reconectar os computadores à rede ou à
Internet. (Ou seja, os usuários não
poderão
mais colocar arquivos nas máquinas dos demais usuários,
mas
poderão copiálos das pastas compartilhadas).
|
Medidas gerais de prevenção
Há
um conjunto de procedimentos
gerais de prevenção
contra vírus e outros programas maliciosos que sempre
devem ser realizados (em qualquer computador, especialmente nos
conectados
à Internet).
Essas
medidas podem ser resumidas assim:
1. Jamais executar um
programa
ou abrir um arquivo sem antes executar o antivírus sobre a pasta
que o contenha.
2. Atualizar o seu
antivírus
constantemente (todas as semanas e até diariamente as empresas
distribuem
cópias gratuitas dos arquivos que atualizam a lista dos novos
vírus
e vacinas).
3. Desativar a
opção
de executar documentos diretamente do programa de correio
eletrônico.
4. Jamais executar
programas
que não tenham sido obtidos de fontes absolutamente
confiáveis.
Leia
mais sobre esse assunto, clicando aqui.
Onde obter mais informações
http://www.superdicas.com.br/va/
(procurar por Datom)
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=92
http://securityresponse.symantec.com/avcenter/venc/data/w32.datom.worm.html
Este
"site", destinado prioritariamente aos alunos de Fátima Conti,
pretende
auxiliar quem esteja começando a se interessar por internet,
segue as regras da
FDL (Free Documentation Licence),
computadores
e programas, estando em permanente construção.
Sugestões
e comentários são bem vindos.
Se
desejar colaborar, clique
aqui.
Agradeço
antecipadamente.
Deseja
enviar
essa página?
Se
você usa um programa de correio eletrônico devidamente
configurado
e tem
um
e-mail
pop3, clique em "Enviar página" (abaixo) para abrir o
programa.
Preencha
o endereço do destinatário da mensagem.
E
pode acrescentar o que quiser.
(Se
não der certo, clique aqui
para saber mais).
Enviar
página
Se você usa webmail
copie o endereço abaixo
http://www.cultura.ufpa.br/dicas/vir/vir-dato.htm
Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.
Última alteração: 20 fev 2007