Eu tenho uma máquina com Windows em casa, e de uns dias para cá minha mulher estava reclamando da lentidão em iniciar o Windows.
Notei que após o carregamento, o HD continuava a funcionar por um longo período, portanto realmente havia coisa errada acontecendo.
A primeira coisa a fazer foi verificar qual processo era esse que estava solicitando tantas escritas/leituras.
No gerenciador de tarefas eu constatei que era um tal de find.exe
Fui dar uma verificada no msconfig, e eis que existia um tal de cssrc marcado como executável na inicialização, e o maldito encontrava-se em um diretório temporário.
Encontrado a praga… Mas o que diabos ele faz?
- Ele procura, por meio do find.exe, o prefs.js (um arquivo de configuração do Firefox);
- Ele procura, por meio do find.exe, o java.policy (um arquivo de configuração do Java, para habilitar o java applet);
- Altera a opção network.proxy.type para 2 (para habilitar o uso de proxy no Firefox);
- Altera a opção network.proxy.autoconfig_url (inserindo um endereço de um proxy externo no Firefox);
E o que isso significa?
Significa que toda a sua conexão será redirecionada para um proxy e será capturada… Isso inclui principalmente os seus logins/senhas.
O vírus foi elaborado para armazenar no proxy todos os dados que forem transmitidos via home-banking. Notei que TODOS os home-bankings brasileiros estavam sendo filtrados por esse proxy.
O que fazer?
- Desmarcar, via msconfig, a autoexecução do cssrc na inicialização do Windows;
- Deletar todo o conteúdo do diretório temporário (C:\Documents and Settings\USUÁRIO\Local Settings\Temp);
- Na barra de endereços do Firefox, digitar “about:config“
- Procurar pelo parâmetro network.proxy.type e alterar o valor de 2 para 0
- Procurar pelo parâmetro network.proxy.autoconfig_url e apagar todo o seu conteúdo.
Esse vírus não é exclusivo do Firefox, pois o IExplorer também é atingido por meio das alterações das seguintes chaves no registro do Windows:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings]
AutoConfigURL
EnableHttp1_1
ProxyEnable
ProxyHttp1.1
Os demais browsers, como por exemplo o Konqueror, Safari, Opera, etc NÃO são atingidos por esse vírus/trojan
Link do bugreport: https://bugzilla.mozilla.org/show_bug.cgi?id=503970 (talvez você não conseguirá ter acesso a ele, pois atualmente ele é um item de segurança).
