BABOO Malware Blocker 1.1
(clique na imagem acima para fazer o download)
Índice:
1. Apresentação
2. Regras Básicas
3. Como funciona
4. Instalação
5. Descrição dos comandos
6. Requerimentos
7. Compatibilidade
8. Suporte
9. Chaves modificadas pelo BMB
10. Licença de uso
1. Apresentação:
O BABOO Malware Blocker (BMB) foi criado para facilitar a configuração do bloqueio das chaves de registro, diretórios e arquivos descritos nos itens 14 e 15 do Guia Definitivo para Detecção, Eliminação e Proteção contra Malwares do BABOO.
O BMB foi desenvolvido no Microsoft Visual Studio .NET 2003, utilizando a linguagem C# (pronuncia-se "C Sharp"), na versão 1.1 SP1 do .NET Framework (confira os requerimentos mínimos na seção "Requerimentos").
O BMB é um programa gratuito e oferecido a todos os visitantes do site www.baboo.com.br, confira as regras para utilização e divulgação na seção "Licença de uso" deste documento.
2. Regras Básicas:
1. O BMB inicia seu funcionamento sem efetuar qualquer alteração no computador. Para proteger o computador inicialmente, clique uma vez no botão “Bloquear”.
2. Sempre que for instalar novos programas, efetuar alguma atualização dos mesmos ou qualquer atualização do Windows, deve-se:
a) “Desbloquear” o sistema;
b) Instalar o novo programa ou atualização;
c) “Bloquear” o sistema novamente.
3. Após bloquear o sistema, mantenha o BMB funcionando SEMPRE (de preferência recolhido na barra de tarefas – clicando no botão “X” 
para economizar recursos 
) pois ao “Sair” do BMB o nível de proteção é diminuído.
4. Se o computador não for desligado “normalmente”, como no caso de queda de energia ou travamento do Windows, permita que o mesmo seja reiniciado normalmente e efetue o desligamento “normal” (ou reinício) do computador para que o BMB ajuste a segurança e permita o funcionamento normal do mesmo.
5. Leia atentamente este documento pois ele contém informações importantes sobre o funcionamento do BMB.
3. Como funciona:
O BMB atua bloqueando ou desbloqueando o acesso a chaves de registro, diretórios e arquivos responsáveis pela permissão de instalação de programas que são executados ao se inicializar o computador.
Este bloqueio faz com que grande parte dos "malwares" vindos pela Internet e por e-mail não consigam se instalar no computador.
Atenção:
Embora o BMB ajude a impedir a instalação de malwares no seu computador, novas vulnerabilidades e novos "malwares" são descobertos diariamente e é recomendável que você siga todos os passos citadas no Guia Definitivo para Detecção, Eliminação e Proteção contra Malwares do BABOO para evitar a contaminação de seu computador. Para uma descrição detalhada deste assunto confira a matéria em http://www.baboo.com.br/malware.
O Fórum do BABOO tem uma área especializada em malwares aonde são postadas diariamente dezenas de dúvidas sobre esse assunto. Você pode ler todos os tópicos da área aqui, sendo que para você postar qualquer mensagem você deve se registrar no Fórum (isso é rápido e gratuito).
4. Instalação:
Para instalar o BMB, deve-se executar o programa Setup.exe contido no arquivo .zip. Ao ser instalado o BMB irá efetuar as seguintes operações:
1. Copia os arquivos do programa para a pasta "Arquivo de Programas\BABOO Malware Blocker"
2. Adiciona um atalho na Área de Trabalho (Desktop), um atalho no "Menu Iniciar\BABOO Malware Blocker" e um atalho no "Menu Iniciar/Iniciar" (este último atalho tem o objetivo de iniciar o BMB sempre que o usuário efetuar o Logon no computador).
Ao ser executado o BMB adiciona um ícone à direita na "Barra de Tarefas" e exibe a tela principal.
Acrescentando-se a opção "/SILENT" à linha de comando do BMB faz com que a tela principal seja minimizada imediatamente após a carga do programa, exibindo somente o ícone na "Barra de Tarefas". Para encerrar o BMB deve-se clicar com o botão direito do mouse no ícone da "Barra de Tarefas" e selecionar a opção "Sair".
O BMB somente ocupa o processador do computador quando algum de seus comandos ou botões é clicado. Enquanto não está executando nenhuma tarefa, o BMB não ocupa o processador nem altera de forma alguma a velocidade do computador.
Ao ser ativado, o BMB ocupa entre 1 e 2 Mb de memória e no estado minimizado, na barra de tarefas, o BMB vai liberando memória gradativamente até chegar a aproximadamente 600 Kb.
Importante:
Para instalar qualquer programa, deve-se DESBLOQUEAR o computador através do BMB antes do início da instalação do mesmo.
5. Descrição dos comandos:
Led de estado: Ao clicar efetua uma verificação de bloqueio atualizando a cor para:
Verde: indica que o seu computador está bloqueado pelo BMB
Amarelo: indica o bloqueio parcial do computador. Isto pode ocorrer caso não seja possível o bloqueio de alguma chave de registro, diretório ou arquivo.
Vermelho: indica que o seu computador não está bloqueado pelo BMB
Botão Bloquear/ Desbloquear: permite o bloqueio ou desbloqueio das chaves do Registro do Windows, diretórios e arquivos.
Link www.baboo.com.br/malware: acessa a página www.baboo.com.br/malware, aonde você obtém todas as informações sobre o BMB.
Link by Mission Impossible: Link para envio de e-mail.
Botão Opções (?): Abre o menu de opções com os seguintes itens:
Informações: acessa a página www.baboo.com.br/malware, aonde você obtém todas as informações sobre o BMB
Ajuda: acessa a página www.baboo.com.br/malware/help, aonde você obtém todas as informações sobre o BMB
Atualizações: acessa a página www.baboo.com.br/malware/updates, aonde você pode encontrar a versão mais recente do BMB
Suporte: acessa o tópico do Fórum do BABOO referente ao BMB. Ali você poderá postar gratuitamente as suas dúvidas.
Licença: indica as regras de utilização do BMB
Português: modifica o idioma do BMB para português brasileiro
English: modifica o idioma do BMB para inglês
Log de Execução: mostra o log de execução do programa. Este log NÃO fica gravado ao “Sair” do BMB.
Ícone da Barra de Tarefas: indica o estado de bloqueio ou desbloqueio:
Verde: indica que o seu computador está bloqueado pelo BMB:
Amarelo: indica o bloqueio parcial do computador. Isto pode ocorrer caso não seja possível o bloqueio de alguma chave de registro, diretório ou arquivo.
Vermelho: indica que o seu computador não está bloqueado pelo BMB
Menu do ícone da Barra de Tarefas:
Bloquear / Desbloquear: bloqueia ou desbloqueia o sistema;
Restaura: exibe a tela do BMB;
Sair: encerra o programa BMB.
6. Requerimentos:
O BMB é compatível com os seguintes Sistemas Operacionais: Windows XP, Windows Server 2003, Windows 2000 e Windows NT.
Para que os diretórios e arquivos possam ser protegidos o Disco Rígido deve estar formatado com sistema de Arquivos NTFS.
Para executar o BMB o usuário "logado" no computador deve possuir direito de alterar as Permissões de Acesso a diretórios, arquivos e de registro.
7. Compatibilidade:
O BMB foi testado nos seguintes sistemas operacionais: Windows NT, Windows 2000, Windows XP, Windows 2003 Server.
Como o BMB atua bloqueando as chaves de registro, diretórios e arquivos, os programas que dependem de escrever ou criar itens nestes locais podem apresentar problemas.
Normalmente os programas de computador, em sua execução normal, não necessitam de escrever nos locais citados acima e o BMB não afeta o funcionamento do Sistema Operacional nem dos programas mais utilizados, como o pacote de programas Microsoft Office.
8. Suporte:
Envie suas dúvidas e sugestões para o fórum do BABOO utilizando a opção do Menu de Opções do BMB ou o Link para E-Mail.
Dica: Pesquise no fórum do BABOO utilizando o link no menu de opções do BMB para verificar se a resposta a sua dúvida já se encontra lá.
9. Chaves bloqueadas pelo BMB:
Legenda:
HKCU = HKEY_CURRENT_USER
HKLM = HKEY_LOCAL_MACHINE
HKCU\Software\Microsoft\Internet Explorer\Main
HKLM\Software\Microsoft\Internet Explorer\Main
Permite a modificação da página inicial do Internet Explorer e das demais configurações do IE.
Essa chave é muito utilizada por programas que abrem janelas do IE sem o consentimento do usuário, que alteram a página de busca e que instalam barras de ferramentas indesejadas
HKCU\Software\Microsoft\Internet Explorer\Search
HKLM\Software\Microsoft\Internet Explorer\Search
Permite a modificação do SearchAssistant do IE.
Essa chave é muito utilizada por programas que alteram a página de busca sem o consentimento do usuário
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Lista os arquivos executados pelo usuário durante a inicialização do Windows.
Essa é a principal chave utilizada por malwares para se instalarem no computador e serem executados sempre que o Windows for carregado
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Executa uma única os arquivos listados durante a inicialização do Windows.
Esta chave pode ser utilizada para instalar um arquivo infectado no computador
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
É executado imediatamente após a chave RunServicesOnce e antes do usuário efetuar o logon.
Esta chave pode ser utilizada para instalar um arquivo infectado no computador
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Lista os arquivos executados antes do usuário efetuar o login e antes dos demais arquivos serem executados.
Esta chave pode ser utilizada para instalar um arquivo infectado no computador
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Indica o arquivo executado como interface gráfica do Windows.
Exemplo: o worm w32/dumaru.a@mm adiciona o termo "explorer.exe C:\WINNT\System32\vxdmgr32.exe" para que o computador continue sempre infectado
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet
Nesta chave são gravadas as configurações do Internet Explorer.
É comumente utilizada por malwares para alterar a página de inicialização e pesquisa.
HKEY_CLASSES_ROOT\exefile
Determina a associação de arquivos com extensão .EXE.
Pode ser utilizada para alterar a maneira como os programas são executados.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
Lista os arquivos tipo .dll executados durante a inicialização do Windows. Afeta todos os usuários.
Esta chave pode ser utilizada para instalar um arquivo infectado no computador
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Executa os arquivos listados após o login do usuário no Windows. Afeta todos os usuários.
Esta chave pode ser utilizada para instalar um arquivo infectado no computador
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
Permite a criação de arquivos que serão executados durante a inicialização do Windows.
Exemplo: o adware CoolWebSearch adiciona a linha "run"="%Sysdir%\services\<nome do arquivo>" nesta chave para que o computador continue sempre infectado
Diretórios e Arquivos bloqueados pelo BMB:
\Documents and Settings\(usuário)\Menu Iniciar\Programas\Inicialização
Indica a pasta contendo os programas do usuário que são executados após a inicialização do Windows.
Esta pasta pode ser utilizada para instalar um arquivo infectado no computador
\Documents and Settings\All Users\Menu Iniciar\Programas\Inicialização
Indica a pasta contendo os programas que são executados após a inicialização do Windows.
Esta pasta pode ser utilizada para instalar um arquivo infectado no computador
\(pasta do Windows)\Tasks
Indica a pasta contendo os programas que são executados pelo gerenciador de tarefas do Windows.
Esta pasta pode ser utilizada para instalar um arquivo infectado no computador
\WINDOWS\system32\drivers\etc\HOSTS
Indica o arquivo que contém a lista de sites que podem ser redirecionados. Afeta todos os usuários.
Este arquivo pode ser utilizado para impedir o acesso a sites de segurança e sites de antivírus (Windows Update, Symantec, McAfee).
10. Licença de Uso
A licença de uso do BABOO Malware Blocker está disponível em inglês e português aqui.
