Na quarta-feira, missão, vamos verificar se o direcionamento para um determinado domínio está correto. Acessei o Terra Empresas para verificar e de repente surge a janela da máquina do Java dizendo que necessitava executar um tal "
plugin", surpresa total, mas como teoricamente tratava-se de um site seguro e confiável, cliquei em executar.
Aparentemente, tudo normal, do nada vem o aviso de que era necessário reiniciar o computador para ativar o UAC do Windows 7. Pensei comigo, a Microsoft não faria algo que te obrigasse a utilizar o UAC habilitado e se realmente fosse necessário habilitá-lo, porque não o fez quando reiniciou? Havia acabado de reiniciar meu computador porque havia feito update de algumas atualizações disponíveis da Microsoft. Nesse momento já pensei que havia me ferrado, claro, não tinha porque reiniciar e a única coisa diferente que fiz foi o update do Windows e executar o tal "plugin" no site do Terra Empresas. O futuro muito próximo me reservara algo especial para aquele dia.
Reiniciei, assim que o computador voltou, a primeira coisa estranha foi que o Google Chrome não abria mais, simplesmente deixou de funcionar, tentei imaginar o que poderia ter zuado o Chrome e a única coisa que imaginei foi: "vírus". E vamos novamente a luta, verifico os processos e reparo que havia um novo hóspede, um tal de "dwin.exe" rodando em meu computador. Estranho, conhecia o "dwwin.exe", mas esse "novo" nunca havia visto. Fui verificar o registry e encontrei na chave run do current_user uma surpresa, um valor chamando esse novo executável. Onde ele estava? Dentro da pasta AppData do meu usuário, local um tanto quanto estranho para ficar.
Vasculha daqui, vasculha dali e encontro diversos executáveis desagradáveis, o engraçado é que o Avast não acusou ninguém como vírus, cheguei a pensar que haviam danificado o pobre coitado.
Ainda na caça, pesquiso daqui e dali, resolvo entrar novamente no site do Terra Empresas e noto na barra de status algo estranho, ao acessar o site era apresentado "Leu hospitalangelespuebla.com", vou verificar e encontro esse domínio como infectado em um site interessante. Volto no Terra, verifico o que o Java necessita executar e encontro "http://www.terraempresas.com.br/css/plugin.exe", verifico e nada do antívírus acusá-lo. Desencano do Terra e tento encontrar uma solução para o meu computador que estava estranho, notoriamente infectado com algum vírus. Lembro que o correio info havia comentado sobre diversos sites de empresas infectados com vírus do tipo "banker", tento abrir o internet explorer para vasculhar, estava utilizando o Firefox, mas por curiosidade lembrei do IE e resolvi executá-lo. Supresa! Assim que a janela abre, uma outra em menor tamanho abre juntamente e desaparece como o Mestre dos Magos.
Legal, já que o antívírus é um lixo, vamos caçar na mão, relembrar os velhos tempos onde eu perdia horas e horas a fio procurando pequenos insetos no computador. Fui verificar os complementos do IE e encontrei uma supresa, uma chave com diversos números mas sem uma descrição legível, logo de cara imaginei que esse seria um dos grandes vilões e não estava errado. A chave criada foi "{331B2978-88FF-11D2-8D96-E7ACAC95951F}", não havia um nome, o que normalmente encontramos nos completos e apontava para o arquivo "gbjarcg.dll", isso não é realmente um complemento de banco correto. Matei-o e ele estava relacionado a um plugin de banco.
Instalei e fiz uma verificação completa com o Microsoft Security Essentials e encontrei um prg.exe nos temporários de internet. Depois de limpar tudo, verificar novamente o registry, reiniciei e voltou tudo ao normal. O IE voltou a abrir corretamente, sem apresentar a pequena janela e o Chrome voltou a funcionar, não havia mais "dwin.exe" e nenhuma DLL suspeita. Gostaria de entender o que se passa no site do Terra Empresas, mas até agora ninguém respondeu e não encontrei outras pessoas com o mesmo problema. Mas fica a dica para quem tem que utilizar o site, se sumir dinheiro de sua conta bancária, lembre-se deste post.