Oquefazernainternet, cacaoweb e minilua: o que eles têm em comum?

Eu tenho visto vários usuários nos foruns reclamando por terem tido a sua página inicial modificada para o site oquefazernainternet.com.br ou para minilua.com, e também por terem notado a presença de um processo no Gerenciador de Tarefas, chamado cacaoweb.exe, sem saberem da onde veio, se é legítimo ou não, ou como foi instalado. Algumas pessoas relatam que tentam finalizar o processo, mas ele sempre volta.

Todas essas alterações são causadas pelo programa Megacubo, um software para assistir transmissões de TV via internet. Eu testei a versão 8.0.6, que baixei do site oficial http://baixar.megacubo.net/download/
O programa não contém adwares, spywares ou qualquer tipo de malware, e apesar de modificar a página inicial do Internet Explorer somente com o conhecimento e consentimento do usuário, o software contém quatro pontos negativos:

  1. Exibe propagandas internas que redirecionam para sites de baixa reputação, os quais solicitam
    cadastro gratuito de um número de celular, oferecendo algum benefício, que depois passam a enviar
    torpedos SMS descontados dos créditos do celular. Algumas pessoas informaram dificuldade para cancelar a assinatura. Um fator questionável dessas propagandas é que o botão X para fechá-las é minúsculo e muito preciso, e se clicar fora do X, a propaganda abre um link externo.
  2. Modifica o motor de busca do Internet Explorer, sem solicitar o consentimento do usuário e nem sequer avisar; 
  3. A desinstalação do programa não restaura as configurações que ele modificou no Internet Explorer, nem remove as chaves e valores que ele criou no registro do sistema operacional; e
  4. Instala um addon no Firefox (cacaoweb) para quebrar o limite de tempo na exibição de filmes online pelo megavideo, megafilmes, megaseries. A instalação desse addon é opcional, através do menu Ajustes > Opções > Mais Opções (F4) > Usar cacaoweb, conforme imagem abaixo: (e somente após abrir algum canal Mega Filmes ou Mega Séries, dentro do programa)  

Megacubo Options


Porém o programa não deixa claro que esta opção instalará o addon no Firefox, e também não pergunta se o usuário quer que este processo seja inicializado junto com o Windows, e muito menos avisa que vai fazê-lo. A primeira vez que o Firefox é executado, após a instalação, ele apenas informa que já o fez:



Cacaoweb FFfirstRun

Cacaoweb_FFaddon

Este addon pode ser facilmente removido através do Firefox, menu Ferramentas > Addons > Extensões > Cacaoweb > Remover, mas a opção “Usar cacaoweb” continua habilitada no menu do Megacubo, o seu executável não é removido, e continua sendo chamado durante a inicialização do Windows. Na próxima vez que o usuário abrir o canal Mega Filmes ou Mega Séries, o addon será instalado novamente no Firefox, sendo que desta vez não avisará mais.
O arquivo executável do cacaoweb fica em duas localizações: um na área de trabalho e outro em %appdata%\cacaoweb\cacaoweb.exe, no Windows Vista+, ou em %programfiles%\cacaoweb\cacaoweb.exe no Windows XP, sendo executado durante a inicialização do sistema a partir dali, apesar de ser cópia do que aparece na área de trabalho após a instalação do addon.

File: cacaoweb.exe
Size: 398064
MD5:  0D73BD3278BF68B1DD79BF8E1036C5C4
Path: C:\Users\**User**\Desktop\cacaoweb.exe

File: cacaoweb.exe
Size: 398064
MD5:  0D73BD3278BF68B1DD79BF8E1036C5C4
Path: C:\Users\**User**\AppData\Roaming\cacaoweb\cacaoweb.exe

Adicionalmente, o programa também chama o processo do Internet Explorer (iexplore.exe) como módulo do serviço (legítimo) svchost.exe, cujo parâmetro tem a função de abrir uma determinada URL. Essa URL varia, mas é sempre relacionada ao domínio minilua.com:

iexplore_tcp

 

iexplore_process

Esse processo do Internet Explorer fica rodando em background, sem nenhuma janela ativa, e continua rodando mesmo que o Megacubo não esteja sendo utilizado no momento. Após a desinstalação do Megacubo, o processo permanece ativo até que o sistema seja reiniciado.

Para modificar o motor de busca e página inicial do Internet Explorer, os dados dos valores das chaves abaixo são modificados:

[HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
“Default_Search_URL”=”http://www.oquefazernainternet.com/”
“Search Page”=”http://www.oquefazernainternet.com/”

[HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
“CustomizeSearch”=”http://www.oquefazernainternet.com/”
“Default_Search_URL”=”http://www.oquefazernainternet.com/”
“SearchAssistant”=”http://www.oquefazernainternet.com/”

[HKCU\SOFTWARE\Microsoft\Internet Explorer\Main]
“Search Page”=”http://www.oquefazernainternet.com/”
“Start Page”=”http://www.oquefazernainternet.com/”
“Search Bar”=”http://www.oquefazernainternet.com/”
“Use Custom Search URL”=dword:0x00000000
“Start Page Redirect Cache”=”http://www.oquefazernainternet.com/”

[HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
“”=””http://www.oquefazernainternet.com/q/%s”
[HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
“Search Page”=”http://www.oquefazernainternet.com/”
“Search Bar”=”http://www.oquefazernainternet.com/”

OBS: Nos Windows Vista+, a chave abaixo não existe por padrão, e portanto foi criada e não modificada:

[HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]

Os valores “Search Bar” e “Use Custom Search URL” não existem na chave HKCU\SOFTWARE\Microsoft\Internet Explorer\Main

Plugin cacaoweb:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“cacaoweb”=”C:\Users\VMx86User\AppData\Roaming\cacaoweb\cacaoweb.exe” -noplayer
[HKLM\Software\Cacaoweb]

A instalação do Megacubo cria várias outras chaves no registro, que não listei aqui porque
são chaves que afetam somente as configurações do próprio programa. Mesmo desinstalando o software pelo Painel de Controle > Adicionar Remover Programas, as modificações que ele faz nas configurações do Internet Explorer não são desfeitas, e também não remove o plugin do Firefox.

Anúncios

10 Responses to Oquefazernainternet, cacaoweb e minilua: o que eles têm em comum?

  1. Pingback: Facemoods: vale a pena? « MariaCristina Blog

  2. Joram
    Agradeço o elogio ao meu artigo. Em relação à sua observação de que eu deveria citar a fonte, quero esclarecer que não há fonte nenhuma para ser citada, a não ser eu mesma. O que eu publiquei nesse artigo não foi retirado de nenhuma página da internet. Essa análise do Megacubo foi feita por mim, bem como as outras análises que publiquei aqui e outras que ainda pretendo publicar.
    Se e quando acontecer de eu mencionar algo que esteja publicado em outro site, tenha a certeza que eu vou reconhecer os créditos.
    Abraços.

  3. Pessoal, desculpe a demora para liberar/responder os comentários. Tive problemas de conexão e passei a semana toda sem internet.
    Alexandre, se você ainda está precisando de ajuda para remover as alterações feitas pelo Megacubo, sugiro que você peça ajuda no forum de Remoção de Malwares do Clube do Hardware ou na Linha Defensiva (veja o link no painel lateral à direita). Eu não tenho como lhe ajudar aqui pelo blog, porque é necessário que você execute algumas ferramentas, retorne alguns relatórios gerados por elas, e pelo blog fica inviável.

  4. j1k5316 says:

    Mas…você esqueceu de relatar a FONTE de sua pesquisa! Lembre-se: “Devemos dar a Cesar o que é de César”

    Sem Mais!
    DigRam

  5. José Diogo Ramos Flh° says:

    Olá Maria Cristina!

    Excelente artigo esse seu,o que vem corroborar pela minha preferêcia de leitura quando visito o LD,na qual vossa pessoa faz parte.

    Sem Mais!
    joram

  6. Alexandre Carneiro Moreira says:

    Enviei um e-mail para o pessoal do megacubo me ajudar a retirar a pagina inicial que não saia de nenhuma forma, com antispywares/antivirus/limpa registro/apagando pasta cacaoweb e até apagando qualquer referencia de megacubo,cacaweb,oquefazernainternet e minilua via regedit e eles responderam que era só ir em ferramentas/opções da internet – o que foi a primeira coisa que fiz, fica aqui o meu descontento com estes tipos de postura.

    • j1k5316 says:

      Ps: Uma mãozinha!!

      Aqui temos scripts para a remoção do cacaoweb.

      Aqui temos uma ferramenta francesa,que removerá o cacaoweb.

      Até mais!

  7. Alexandre Carneiro Moreira says:

    sou leigo e estou com este problema voce tem como explicar de maneira mais facil como retirar esta pagina? toda vez que abro o internet ele vai para a pagina oquefazernainternet.com e não consigo tirar

  8. victor m says:

    mto bom =) ajudou, so que ele mudaram o nome de oquefazernainternet pra http://search.minituner.org/

%d blogueiros gostam disto: