Google Redirect Virus

Descrição do Google Redirect Virus

Google Redirect Virus Screenshot Image 1O Google Redirect Virus já existe há algum tempo e é conhecido por muitos codinomes, embora o seu comportamento primário permaneça constante. Basicamente, o Google Redirect Virus brinca com a mente dos usuários de PC que desejam realizar pesquisas online no Google, redirecionando-os aleatoriamente para páginas mal-intencionadas da rede ou para outros mecanismos de pesquisa.

Qualquer forma do Google Redirect Virus é perigosa, devido aos comandos maliciosos que ele executa e as técnicas de programação furtiva, usadas para esconder os seus arquivos dos olhos curiosos e dos radares dos softwares anti-vírus. Malware como o Google Redirect Virus, pode ser empacotado e escondido dentro de um download legítimo de um freeware, shareware ou um codec necessário para se ver um filme. Os plug-ins são outra forma de transporte enganador, que explora a ignorância dos usuários de PC sobre a segurança na Internet, uma vez que muitos clicam cegamente em aplicativos, sem saber a origem deles.

O objetivo principal do Google Redirect Virus é seqüestrar o seu navegador e redirecioná-lo para sites mal-intencionados, incluindo, mas não restrito a: Search.babylon.com, scour.com, blinkx.com, Worldslife.com, Blendersearch.com, Bodisparking.com, coolsearchserver.com, webplains.net, find-fast-answers.com, search-netsite.com, toseeka.com, AboutBlank, La.vuwl.com, 10-directory.com, 63.209.69.107, 67.29.139.153, 7search.com, adorika.com, adf.ly, admarketplace.com, alive-finder.com, alltheservices.com, articlemule.org, asklots.com, ave99.com, b00kmarks.com, background-sleuth.net, bargainmatch.com, beoo.com, bestdiscountinsurance.com, bestsearchpage.com, bestclicksnow.com, bestmarkstore.com, bestwebchoices.com, bestwebsearch.com, bidsystem.com, secure.bidvertiser.com, britewallet.com, budgetmatch.net, buzzclick.com, celebrity-gossip.net, cheapstuff.com, citysearch.com, clicksor.com (Clicksor), clkads.com, feed.clickbizz.com, >comparedby.us, comparestores.net, couponmountain.com, digitaltrends.com, easilyfindlocal.com, everythinghere.com, evoplus.com, expandsearchanswers.com (expand search answers), fastfinder.com, feedsmixer.org (starFeedsMixer), find-quick-results.com, FilesCup.com (FilesCup), findexmark.com, find-answers-fast.com, Zinkwink.com, us-srch-system.com, finditreport.com, findology.com, finderquery.com, findstuff.com, flurrysearch.com, forless.com, gimmeanswers.org, glimpse.com, google-redirect.com, googlesearchserver.net, get-search-results.com, goingonearth.com, goodsearch.com, gomeo.co.uk, gossipcenter.com, gquestionnaire.com, greatsearchserver.com, greenluo.com, grooveswish.com, guide2faucets.com, happili.com, HelloLocal.com, hyperpromote.com, informationgetter.com, inruo.com, jerseyscatalog.com, juggle.com, k100searches.com, YouPorn, liutilities.com, livejasmin.com (creative.livejasmin.com popups), local-search-pages.com, localpages.com, localsearchbug.com, lowpriceshopper.com, manufacturersdirectory.com, multifind24.com, mybestclick.net, mycustomsearch.cn, mydealchoices.com, mydealmatch.com, mylocalhero.com, neatsales.com, neatsearchserver.com (neat search server), ZeroAccess rootkit), netsearchfinder.com, netshoppers.com, nexplore.com, privacycheck.ru, Pulse360.com, qooqle.com, questyes.com, quick-search-results.com, quick-suggest.com, redirectsite.net, results5.google.com, safecompare.com, saveandcoupon.com, savecompare.com, savingwithads.com, scoursearch.net, search-redirector.com, searchforall.info, searching4all.com, search-results.com (int.search-results.com), searchbacon.com, searchdiscovered.com, searchqu.com, searchqualitysites.com, searchnext.com, searchspice.com, shopcompare.net, shopcompareus.com, shopfinded.com, shopica.com, shopica.com/search, shopzilla.com, socialsurvey2011.info, Social Search Redirect, Search-netsite.com, kitchenrenopages.com, kingtopsearch.net, kiseek.com, lawyerinsight.org, letsbuystuff.com, njksearc.net, qooqlle.com, Storeordersonline.com, somesearchsystem.com, startnow.com, startsearcher.com, supersearchserver.com, TabDiscover.com, tazinga.com (tazinga!), theifinder.com, Thewebtimes.com, Marveloussearchsystem.com, merchantsnearby.com, monstermarketplace.com, mooter.com, TheTop10.com, tubedownloader.com, theyellowpages.com, theyellowpagez.com, topdaodrugs.com, tubedownloader.com, Therelatedsearch.com, unblock-us.com, valueapproved.com, vshare.toolbarhome.com (vShare), vehiclefind24.com, whatcarefreefeelslike.com, weeklycontestwinner.org, weeklyusa-winner.com, webshoppinghelper.com, webresults6.org, yellowmoxie.com, search.yellowise.com, ylwbook.addresses.com, youfindmore.com and Zwankysearch.com.

Nem todos os malwares anunciam as suas presenças, mas, a menos que tenha alterado seu próprio arquivo hots, você pode ter certeza de que tem um seqüestrador de navegador ou o Google Redirect Virus quando seus pedidos de pesquisa encaminham-no para sites indesejados. Os cibercriminosos criam malware para tarefas múltiplas e conseguem uma ou mais cargas úteis. Os sites estrangeiros podem incluir links que possibilitam aos vigaristas cibernéticos o recebimento de pagamento por clique (PPC) ou podem ajudar a promover um programa de segurança desonesto.

O Google Redirect Virus tem as características de um rootkit, o que significa que ele pode não ser detectado em muitos aplicativos. Pode se dizer que o Google Redirect Virus é muito semelhante aos parasitas e aos falsos aplicativos de segurança conhecidos como Backdoor.Tidserv, Alureon, Windows Necessary Firewall e, até mesmo ao Fast Windows Antivirus 2011.

Um malware explora as vulnerabilidades encontradas nos softwares ou hardwares ou se aproveita do comportamento humano e da ignorância das práticas de segurança na Internet que devem ser aplicadas. Então, se você ou alguém que usa o seu PC cometeu um dos 'pecadilhos' que se seguem, isso poderia explicar como o seu PC foi infectado pelo Google Redirect Virus.

  1. Você decidiu se arriscar e não instalou uma ferramenta anti-malware respeitável.
  2. Você instalou uma ferramenta anti-malware, mas se acomodou e não a renovou.
  3. Você se interessou em clicar em um link on-line duvidoso sobre algum suicídio ou
    uma fofoca sobre as celebridades.
  4. Você abriu um email de spam porque não verificou a origem desse anexo de e-mail ou um link enviado por
    alguém da sua família ou amigo, cujas contas foram seqüestradas por um trapaceiro cibernético.
  5. Você ama a palavra grátis e músicas e filmes pirateados.
  6. Você adora freeware e shareware e baixou um codec infeccioso para ver um filme ou vídeo.
  7. Você adora visitar sites pornográficos, sites de jogos ou warez e foi infectado.

Para combater um malware a curto e a longo prazo, é preciso entender a sua estrutura e intenção maliciosa. Abaixo está um esboço geral do que pode acontecer com os PCs que hospedam o Google Redirect Virus:

  • Um Trojan entra de forma enganosa explorando vulnerabilidades nos hardwares, softwares ou no previsível comportamento humano e nas práticas insuficientes de segurança na Internet.
  • Modifica o Registro do sistema e faz uma entrada para que o seu executável nomeado aleatóriamente (feito para manter a comunidade de segurança na Internet tentando adivinhar) seja executado em cada inicialização.
  • Instala um arquivo .TMP em sua pasta temporária e esse arquivo instala outros componentes maliciosos.
  • O arquivo .TMP (nomeado aleatoriamente) se registrará como um serviço legítimo (ignorando o seu firewall e evitando os esforços do AV), copiando um arquivo .dll legítimo e fundindo-o com o seu script venenoso para carregar o seu arquivo .TMP malicioso.
  • Em seguida, ele explora as vulnerabilidades na lista de DLL do Windows da Microsoft, adicionando o arquivo ".dll" modificado e fazendo com que ele seja carregado na memória junto com os outros "legítimos".
  • Uma vez carregado, o arquivo .TMP venenoso cria um arquivo com nome aleatório na sua pasta 'driver' (geralmente com a extensão .sys). Este arquivo aleatório é o componente que esconde todos os seus arquivos e programas maliciosos de olhos curiosos (o seu e o radar AV).
  • Uma vez que um arquivo .sys aleatório é implantado, ele instala um arquivo .dll na sua pasta de 'sistema' e esse arquivo é injetado no executável do SVCHOST, que baixa outros componentes maliciosos da Internet. São esses arquivos de configuração que ajudam um hacker a fazer o seguinte:
    a. Executar transferências HTTP (ou seja, envia ou recebe novas transmissões)
    b. Exibir ou acionar anúncios pop-up
    c. Impedir que programas ou aplicativos sejam executados, especialmente aqueles que ameaçam os ataques maliciosos.
    d. Programar atraso do comando
    e. Ordenar ataques de DNS
    f. Invadir contas de e-mail e enviar emails de spam para as pessoas da lista de contatos
    g. Baixar outros programas maliciosos, tais como:
    I. Trojan keylogger = rouba dados vitais do cache ou formulários, diretamente fora da Web
    II. Trojan backdoor = explora uma ferramenta de assistência remota para usar o seu PC secretamente
    III.Trojan hijacker = altera os seus arquivos host e redireciona pesquisas na Web para sites mal-intencionados ou indesejados
    IV. Trojan dropper = instala outros componentes ou programas maliciosos no seu PC

Além do Google Redirect Virus, que seqüestra o seu navegador, o seu sistema pode ficar prejudicado e você pode notar o seguinte:

  • Mau funcionamento do teclado
  • O Windows solicitando a reativação dos drivers, inesperadamente
  • A execução do sistema fica lenta ou ele congela
  • Os aplicativos não são executadas corretamente
  • A sua página inicial alterada ou o navegador redirecionando você para sites indesejados
  • Ícones adicionados ou ausentes e hardware ou drivers inoperáveis

Quanto mais tempo você permitir que o Google Redirect Virus permaneça no seu PC, maior o risco ou a ameaça para os seus dados e sistema, pois esses programas maliciosos usam muitos recursos e podem causar falhas no sistema.

No entanto, não se surpreenda se você for atacado por anúncios pop-ups ou alertas assustadores e falsos avisos, ou se uma interface aparecer de repente e executar uma digitalização não autorizada. Esse é o comportamento típico de um programa de segurança desonesto, uma fraude bem utilizada para assustar os usuários de PC para que eles forneçam cegamente os seus números de cartão de crédito e o roteador bancário para comprar um software inútil. Nunca confie em nenhum programa que carrega, executa uma digitalização não autorizada, ou seqüestra o seu navegador.

Não perca tempo e não deixe um hacker roubar as suas informaçōes pessoais. Combata o fogo com fogo usando uma ferramenta anti-malware confiável que seja capaz de cavar a raiz do seu sistema e encontrar todos os vestígios do Google Redirect Virus.

Enquanto isso, desconecte a sua Internet para interromper novas transmissões de dados para algum servidor remoto. Acesse um PC sem malware e altere os seus logins e credenciais de segurança das suas contas on-line.
Outros Nomes: Trj/Genetic.gen [Panda], Generic29.AKVZ [AVG], W32/Kryptik.KO!tr [Fortinet], Win32.Malware [Ikarus], a variant of Win32/Kryptik.AKCO, Trojan/Win32.Milicenso [AhnLab-V3], Trojan:Win32/Vundo [Microsoft], Win32.Troj.Undef.(kcloud), Trojan/Generic.aziif, Gen:Variant.Symmi.1594 (B), TR/Crypt.ZPACK.Gen2 [AntiVir], UnclassifiedMalware [Comodo], Trojan.Agent/Gen-Kryptik, Trojan.Win32.ZPACK.bebabu, HEUR:Trojan.Win32.Generic [Kaspersky].

Informação Técnica

Screenshots e Outras Imagens

Detalhes Sobre os Arquivos do Sistema

Google Redirect Virus cria o(s) seguinte(s) arquivo(s):
# Nome do arquivo Tamanho MD5 Contagem da Detecção
1 %USERPROFILE%\Local Settings\Application Data\Conduit\Babylon\xriotabb.dll 485,376 2a69d434d9d6d6d120fc39a190ca00d3 86
2 %WINDIR%\system32\msdeltam.dll 458,752 0517f1b0c76bd2a32f0cb681617bee80 17
3 TDSSserv.sys N/A
4 C:\WINDOWS\system32\uacinit.dll N/A
5 C:\WINDOWS\SYSTEM32\4DW4R3.dll N/A
6 C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys N/A
7 C:\WINDOWS\Xzagua.exe N/A
8 Xwo.exe N/A
9 C:\Windows\System32\wdmaud.sys N/A
10 C:\WINDOWS\system32\UAC.dll N/A
11 C:\WINDOWS\SYSTEM32\4DW4R3c.dll N/A
12 C:\WINDOWS\system32\drivers\UAC.sys N/A
13 C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll N/A
14 Xwk.exe N/A
15 dmgsh.exe N/A
16 C:\WINDOWS\_VOID\_VOIDd.sys N/A
17 C:\WINDOWS\system32\_VOID.dll N/A
18 C:\WINDOWS\system32\drivers\_VOID.sys N/A
19 Xzagua.exe N/A
20 C:\WINDOWS\system32\UAC.dat N/A
21 C:\WINDOWS\SYSTEM32\4DW4R3sv.dat N/A
22 %Temp%\UAC.tmp N/A
23 C:\WINDOWS\system32\UAC.db N/A
24 C:\WINDOWS\system32\_VOID.dat N/A
25 C:\WINDOWS\Temp\UAC.tmp N/A
26 C:\WINDOWS\_VOID\ N/A
27 C:\WINDOWS\system32\uactmp.db N/A
28 C:\WINDOWS\Temp\_VOIDtmp N/A
29 %Temp%\_VOID.tmp N/A
30 kbd101V.dll 135,168 a99d0c59fdb79c60d748b35f3ec3e448 0
31 NOTEPAD.EXE 117,296 6b6d3866d410eb3d2809d0f8a2696bf4 0
32 KBDSL1B.dll 120,832 6f1ad64ccb0b277c0668318e20ef27fc 0

Detalhes sobre o Registro

Google Redirect Virus cria a seguinte entrada de registro ou entradas de registro:
RegistryKey
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3

Isenção de Responsabilida do Site

O Enigmasoftware.com não é associado, afiliado, patrocinado ou de propriedade dos criadores ou distribuidores de malware mencionados neste artigo. Este artigo NÃO deve ser mal compreendido ou confundido como estando associado de alguma forma à promoção ou endosso de malware. Nossa intenção é fornecer informações que instruam os usuários de computador sobre como detectar e finalmente remover malware dos seus computadores com a ajuda do SpyHunter e/ou instruções de remoção manual fornecidas neste artigo.

Este artigo é fornecido "como está" e deve ser usado apenas para fins educacionais. Ao seguir as instruções deste artigo, você concorda em ficar vinculado a esse aviso Legal. Não garantimos que este artigo o ajude a remover completamente as ameaças de malware do seu computador. O spyware muda regularmente; portanto, é difícil limpar completamente uma máquina infectada por meios manuais.

Um Comentário

  • Teresa Geraldes:

    Para uma "navegadora" inexperiente como eu, este artigo foi eslarecedor, obrigada

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"