Olho vivo pessoal! O portal do IG esta estava distribuindo um discador infectado com vírus! Primeira suspeita, olhem o tamanho do discador:

Normalmente o tamanho do discador é por volta de 1.2MB, mas este ai esta com 7.58MB.

Ao fazer o download o Avira já deu o alerta de vírus:

O mais estranho é que a página do IG aponta o download pra este link:

https://fire.n1solucoes.com.br/downloads/InstalarDiscadoriG.exe (não coloquei o hiperlink ativo por motivos óbvios)

O n1solucoes é um provedor de hospedagem de paginas, e o fire é um subdomínio. Pelo visto a página do IG foi invadida e trocaram a pagina com o link para o download.

Veja uma analise do discador feita pelo site VirusTotal:

https://www.virustotal.com/analisis/846dfccafbff61099c1aa21eb1013d10f435f552fe2f408466aaf7002e37f879-1254956917

Isso ai é para o pacote de instalação do discador. Já o arquivo Javaxys.exe apresenta este resultado:

https://www.virustotal.com/analisis/e20f09a90f3a29585bcd77756ad219632c57bc77b1eea112709f8b266292ec13-1254949612

Durante a instalação, o executavel abre uma janela do CMD.EXE e executa algo que não da pra ver, é muito rapido, mas é certeza que esta copiando os arquivos do virus executando a operação de inserir a carga dos arquivos no registro e na inicialização. A porcaria ai acima, cria algumas entradas na inicialização do Windows conforme abaixo:

E a localização dos arquivos:

O virus é sacana, e coloca a pasta “Symantec Security” com atributo de oculta, ai ela aparece porque eu desliguei a opção do windows esconder os arquivos com atributo de oculto.

O arquivo que esta colocado dentro da pasta “Inicializar” é executado no próximo boot e o resultado é esse: