Jump to content
  • Remoção manual de malware no Windows

       (0 reviews)

    A maioria dos vírus e pragas virtuais compartilham de certos métodos de auto-inicialização com o SO. Isto inclui os spywares e seus similares.

    Os sistemas Windows possuem métodos para inicializar programas junto ao seu carregamento limitados. Na maioria das vezes os vírus iniciam justamente por eles e daí a importância de conhecê-los e saber gerenciá-los. Desta forma, o técnico pode remover manualmente muitas pragas, o que economizará tempo com scans de softwares antivírus e anti-spys, além de ser extremamente útil quando o vírus ataca estes softwares de proteção, impedindo sua inicialização.

    Primeiro vamos ver de que jeito um aplicativo pode ser iniciado junto ao Windows. A maior parte dos vírus age deste jeito.

    Em sistemas baseados em Windows NT, o que inclui os Windows 2000, XP e 2003, os métodos de inicialização de programas são:

    1. Através da pasta Inicializar do Menu Iniciar.
    2. No registro do sitema.
    3. Por serviço de sistema (o que inclui certa parte do registro).

    Na primeira maneira, basta colocar um atalho para o programa que se deseja executar na pasta Inicializar do Menu Iniciar. Por exemplo, na imagem abaixo, a cada inicialização do Windows, inicializaremos a Calculadora junto.

    inicializar.png.2ce82c9aa513a3694af33d5480a9f5e4.png

    Obviamente um vírus pode se aproveitar deste recurso e colocar um atalho para si neta pasta mas não é comum isso acontecer pois o vírus ficaria facilmente visível e uma das intenções de vírus complexos é passar despercebido ao usuário/técnico. De qualquer forma, não custa conferir.

    Agora vamos ao método mais usado, o registro do sistema. Aqui precisaremos explicar resumidamente como o registro destas versões do Windows funciona.

    O registro é um banco de dados que armazena informações essenciais sobre diversos softwares instalados no Windows, além de informações pertinentes ao próprio sistema. Por conta disto, é comum apelidar o registro de “alma do sistema”.

    Esse banco de dados possui, além de outros dados, chaves, sub-chaves e valores numa organização hierárquica (similar ao Windows Explorer).

    Para o artigo, precisaremos conhecer essas três chaves:

    • HKEY_LOCAL_MACHINE – Esta é a chave mais importante do registro. Nela estão contidas informações sobre o PC (hardware instalado, softwares com sua opções e configurações e outros itens). Inclusive veremos que um programa pode ser inicializado por uma sub-chave desta chave.
    • HKEY_USER – Nesta chave são definidas configurações personalizadas para cada usuário do sistema, já que as versões do Windows mais novas permitem logon simultâneo ou não de usuários diferentes. De maneira similar à chave anterior, um vírus pode inicializar-se junto ao SO somente para um usuário específico, usando uma sub-chave desta chave.
    • HKEY_CURRENT_USER – Como o nome sugere, mantém informações sobre o usuário que está atualmente logado no sistema. Todo o registro é dinâmico mas esta chave merece uma definição de dinamismo especial pois muda os valores de suas sub-chaves completamente quando logamos com outro usuário no Windows. Não é difícil de deduzir que ela é um atalho para uma sub-chave de HKEY_USER, já que esta última mantém uma sub-chave para cada usuário cadastrado no sistema. Por exemplo, se logarmos com o usuário “Fernando”, esta chave será uma cópia da sub-chave HKEY_USER. SID (Security Identifier) é uma identificação única que cada usuário tem e o SO conhece os usuários através deste SID.

    Abaixo, o utilitário “regedit” (Registry Editor), usado para visualizar o conteúdo do registro do sitema.

    regedit.png.11c23eab57646301c1ef79c8a792f636.png

    Perceba a igualdade entre as áreas destacadas em vermelho. É justamente o que falamos na explicação da chave HKEY_CURRENT_USER. Note o SID do meu suário também.

    Depois desta breve introdução ao registro do sistema, podemos partir para as sub-chaves que realmente importam na questão da remoção manual de vírus.

    São elas:

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce 
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
    HKEY_USERS\SOFTWAREMicrosoftWindowsCurrentVersionRun
    HKEY_USERS\SOFTWAREMicrosoftWindowsCurrentVersionRunOnce

    As duas últimas chaves acima dependem do SID do usuário mas se a suspeita de vírus for no usuário que está logado, você pode acessá-las pelo atalho como comentamos acima.

    Tudo o que estiver nestas chaves será inicializado junto ao sistema. Faça o teste: verifique o que tem nas sub-chaves de seu PC e veja os caminhos para os arquivos que incializam. No exemplo HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun da máquina que usei, está assim.

    run.png.8dd0a61a31176868e8c1b1ea0a36068d.png

    Como podemos ver, só há três valores, que são os caminhos absolutos dos executáveis que inicializam junto à máquina usada. Esta é uma máquina virtual. Numa máquina real, os valores normais são outros.

    Para remover programas da inicialização, basta remover os valores desejados.

    É importante salientar que muitos arquivos presentes nestas sub-chaves são essenciais ao sistema e não devem ser removidos. Cabe ao técnico saber identificar caminhos e nomes de executáveis suspeitos. Se você tiver dúvida quando à procedência de algum arquivo, pode digitar seu nome no site Process Library, que mantém uma lista atualizadas de processos (programas em execução) para nos ajudar a identificar se são do sistema ou não.

    Há ainda o método de serviços que podem ser utilizado por alguns vírus mais complexos. A tela de serviços você tem acesso indo no menu Iniciar > Executar, digitando services.msc e clicando no botão OK. Eis a da máquina que usamos para o artigo.

    servicos.thumb.png.28009875be38757895f33aa79dadd890.png

    Esses serviços são na verdade processos (programas) inicializados que recebem este nome pela capacidade de poderem ser muito melhor gerenciados pelo sistema operacional que um processo comum. Perceba a coluna “Status” na imagem. Um serviço pode ser iniciado, reiniciado, pausado ou parado e seu método de inicialização pode ser manual (quando clicado), automático (a cada inicialização do sistema) ou desativado. Um vírus obviamente se aproveitaria do método automático e poderíamos pará-lo e depois desativá-lo numa remoação manual.

    Assim como os processos comuns, a maioria dos serviços é essencial ao sistema, portanto, é bom que se faça uma pesquisa sobre ele (no Google e sites similares) antes de parar ou desativar um serviço suspeito ou não.

    Ao entrarmos nas propriedades de um serviço, vemos o caminho do executável ao qual ele se refere além de uma caixa drop-down para alterar o tipo de inicialização, como mostra a imagem abaixo.

    telnet.png.e7d0654f3cb0e447978b8c8ce7df691f.png

    Com este básico conhecimento, muitos vírus podem ser removidos mas é claro que não basta. Recomendamos sempre um scan com um bom antivírus atualizado e com um anti-spy, mesmo após a remoção manual.

    Existem alguns programas que podem ajudar na identificação de vírus e na remoção manual. Abaixo segue uma lista com descrição:

    • Process Explorer – monitora os processos em execuçao em tempo real, o que permite identificarmos se algum processo suspeito está sendo executado. O Process Explorer também mostra o que o processo está fazendo ou tentou fazer (quando bloqueado pelo SO).
    • HiJackThis – gera uma lista e um arquivo de log com todos os processos que inicializam junto ao sistema, podendo ser utlizado inclusive para remover o que sejam julgados suspeitos (muito cuidado com seu julgamento). NOTA: O projeto original foi descontinuado, mas o usuário Polshyn Stanislav da Ucrânia o continuou.
    • Gmer - uma aplicação que detecta e remove rootkits (dentro de um limite, claro). A ideia é procurar por uma lista de coisas escondidas, tais como processos, threads, serviços, arquivos etc.
    • MSCONFIG – utilitário presente no Windows XP mas que pode ser copiado a partir do arquivo msconfig.exe para outros sitemas Windows. Ele mostra de forma interativa o que está sendo inicializado junto ao sistema além de permitir a consulta de outras informações. Você pode chamá-lo a partir do menu executar.

    User Feedback

    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest

  • Similar Content

    • By Bruna Chieco
      Um malware que visa Macs com o chip M1 da Apple está infectando máquinas em todo o mundo, informa o ThreatPost. A descoberta de pesquisadores de segurança segue outra, que descobriu um adware para macOS criado para atingir o novo processador da Apple. O system-on-a-chip (SoC) M1 foi lançado no ano passado.
      Com os novos Macs começando a ser lançados junto ao chip, os cibercriminosos estão voltando sua atenção para esses alvos. O ThreatPost já havia informado sobre a descoberta de uma variante do “Pirrit”, um aplicativo malicioso de distribuição de adware que tem agora como alvo específico o novo M1. Agora, o malware apelidado de Silver Sparrow está em cena, sendo totalmente novo e desenvolvido para o ecossistema M1, segundo analistas da empresa de cibersegurança Red Canary.
      Eles explicam que o malware foi executado em máquinas e parece estar a espera de mais instruções. Isso significa que os autores são adversários avançados e sofisticados, disseram os pesquisadores. Não está claro como o malware se espalha. A infraestrutura do Silver Sparrow está hospedada na plataforma de nuvem Amazon Web Services S3, de acordo com a Red Canary, e os domínios de callback que ele usa são hospedados por meio da rede de distribuição de conteúdo (CDN) da Akamai.
      Segundo a empresa, em 17 de fevereiro deste ano, o malware já havia infectado 29.139 endpoints macOS em 153 países, de acordo com pesquisadores, sendo os principais alvos o Canadá, a França, a Alemanha, o Reino Unido e os Estados Unidos.
    • By Bruna Chieco
      Levantamento global da Kaspersky constatou que entre julho e dezembro de 2020, mais de 270 mil pessoas tiveram contato com arquivos maliciosos ao tentar baixar programas para aulas online em sites fraudulentos. Esse tipo de ataque cresceu 60% no segundo semestre do ano passado, informa a empresa de segurança. Nos seis meses anteriores, 168 mil tentativas de ataques foram detectadas, o que representou aumento de mais de 20.000% comparado ao mesmo período de 2019.
      De acordo com a pesquisa, a isca mais popular foi o Zoom. Em segundo lugar ficou o Moodle, seguido pelo Google Meet. O relatório destaca que quase todas as ameaças encontradas estavam divididas entre riskware – instalação de arquivos – e adware – anúncios indesejados. Os trojans representaram aproximadamente 1% das ameaças encontradas.
      Essas ameaças normalmente são encontradas por meio de instaladores de aplicativos falsos em sites criados para se parecer com a plataforma original, ou em e-mails disfarçados com ofertas especiais ou notificações da plataforma.
    • By Bruna Chieco
      A família de malware Agent Tesla, um trojan de acesso remoto (RAT) ativo há mais de 7 anos, continua sendo uma das ameaças mais comuns aos usuários do Windows, evoluindo constantemente. Uma descoberta recente da empresa de segurança Sophos identificou um aumento no número de aplicativos direcionados ao roubo de credenciais, incluindo navegadores da web, clientes de e-mail, clientes de rede privada virtual e outros softwares que armazenam nomes de usuário e senhas. 
      A evolução da ferramenta também se estende ao seu pacote de entrega, com uma versão que agora visa a Interface de Software Anti-Malware da Microsoft (AMSI) em uma tentativa de derrotar o software de proteção de endpoint.
      O malware é utilizado para roubar credenciais do usuário e outras informações de vítimas por meio de capturas de tela, registro do teclado e captura da área de transferência. O SophosLabs rastreou cibercriminosos usando o Agente Tesla e detectou novas variantes em um número crescente de ataques nos últimos 10 meses. Até dezembro de 2020, o Agente Tesla era responsável por 20% dos anexos de e-mail de malware detectados na telemetria de clientes da Sophos.
      Duas versões atualmente ativas do malware, identificadas pela Sophos como Agente Tesla versão 2 e versão 3, empregam vários tipos de evasão de defesa e ofuscação para evitar a detecção, incluindo opções para instalar e usar o Tor e a API de mensagens Telegram para comunicações de comando e controle (C2). As diferenças vistas entre a v2 e v3 do Agente Tesla parecem estar focadas em melhorar a taxa de sucesso do malware contra defesas sandbox e scanners de malware, além de fornecer mais opções C2 para seus clientes invasores.
      Veja o relatório completo da Sophos (em inglês).
    • By Bruna Chieco
      O Microsoft 365 Defender Research Team divulgou informações sobre uma campanha que tem distribuído ativamente um malware modificador de navegador evoluído em escala. A campanha está ativa pelo menos desde maio de 2020 e em seu pico, em agosto, foi observada em mais de 30 mil dispositivos todos os dias. O malware injeta anúncios falsos nas páginas de resultados dos mecanismos de pesquisa. A família de modificadores de navegador recebeu o nome de Adrozek. 
      Entre os navegadores afetados pela ameaça estão: Microsoft Edge, Google Chrome, Yandex Browser e Mozilla Firefox. Segundo os pesquisadores, a intenção dos invasores é alcançar o maior número possível de usuários da Internet.
      Veja abaixo um exemplo de um navegador limpo, ou seja, sem estar infectado por um malware (à esquerda) e um navegador infectado (à direita):

      Fonte: Microsoft 365 Defender Research Team 
      Nesse exemplo é possível ver que em uma pesquisa sobre Xbox, o navegador infectado exibiu como primeiros resultados 6 anúncios falsos sobre o produto (circulados em vermelho). Se não for detectado e bloqueado, o Adrozek adiciona extensões de navegador, modifica uma DLL específica por navegador de destino e altera as configurações do browser para inserir anúncios adicionais não autorizados, muitas vezes em cima de anúncios legítimos de mecanismos de pesquisa. 
      Ao clicar nesses anúncios inseridos por malware, os usuários são direcionados a páginas afiliadas e os invasores ganham por meio de programas de publicidade que pagam pela quantidade de tráfego direcionada às páginas afiliadas patrocinadas. Além disso, o malware mantém a persistência e rouba credenciais do site, expondo os dispositivos afetados a riscos adicionais.
      No total, de maio a setembro de 2020, a equipe da Microsoft registrou centenas de milhares de encontros com o malware Adrozek em todo o mundo, com grande concentração na Europa, no Sul da Ásia e no Sudeste Asiático, mas atingindo também alguns países da América Latina. Como esta campanha está em andamento, essa infraestrutura deve se expandir ainda mais, segundo os pesquisadores.
      Veja mais detalhes da análise feita pelos pesquisadores.
       
    • By Bruna Chieco
      Pesquisadores da área de Threat Intelligence da Avast identificaram um malware oculto em pelo menos 28 extensões terceirizadas do Google Chrome e Microsoft Edge associadas a algumas plataformas populares. As extensões Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock e outras ajudam os usuários a baixar vídeos dessas plataformas e, de acordo com os números de download das lojas de aplicativos, cerca de 3 milhões de pessoas podem ser afetadas em todo o mundo pelo malware embutido nesses serviços.
      Os pesquisadores identificaram um código malicioso que tem a funcionalidade de redirecionar o tráfego do usuário para anúncios ou sites de phishing, roubando dados pessoais das vítimas, como datas de nascimento, endereços de e-mail e dispositivos ativos, além de registrar a hora do primeiro login, hora do último login, nome do dispositivo, sistema operacional, navegador usado e sua versão, e até mesmo endereços IP. 
      As extensões também estão manipulando a experiência dos usuários na Internet, segundo relatos, redirecionando-os para outros sites. Sempre que um usuário clica em um link, as extensões enviam informações sobre este clique para o servidor de controle do invasor, que pode, opcionalmente, enviar um comando para redirecionar a vítima do link de destino real para um novo URL sequestrado antes de redirecioná-la, posteriormente, para o site real que queria visitar. 
      Assim, a privacidade do usuário é comprometida já que um registro de todos os cliques está sendo enviado para esses sites intermediários. Os pesquisadores da Avast acreditam que o objetivo é monetizar o próprio tráfego dos usuários, pois para cada redirecionamento para um domínio de terceiros, os cibercriminosos receberiam um pagamento, além de poder redirecionar os usuários para anúncios ou sites de phishing.
      A equipe da Avast começou a monitorar essa ameaça em novembro de 2020, mas acredita que ela poderia estar ativa há anos sem que ninguém percebesse. Há análises na Chrome Web Store mencionando o sequestro de links desde dezembro de 2018. 
      No momento, as extensões infectadas ainda estão disponíveis para download, e a Avast contatou as equipes da Microsoft e do Google Chrome para denunciá-las. Tanto a Microsoft quanto o Google confirmaram que estão investigando o problema, mas a recomendação é que os usuários desabilitem ou desinstalem as extensões por enquanto.
      Veja abaixo a lista de extensões detectadas pela Avast como afetadas pelo malware:

      Direct Message for Instagram
      Direct Message for Instagram™
      DM for Instagram
      Invisible mode for Instagram Direct Message
      Downloader for Instagram
      Instagram Download Video & Image
      App Phone for Instagram
      App Phone for Instagram
      Stories for Instagram
      Universal Video Downloader
      Universal Video Downloader
      Video Downloader for FaceBook™
      Video Downloader for FaceBook™
      Vimeo™ Video Downloader
      Vimeo™ Video Downloader
      Volume Controller
      Zoomer for Instagram and FaceBook
      VK UnBlock. Works fast.
      Odnoklassniki UnBlock. Works quickly.
      Upload photo to Instagram™
      Spotify Music Downloader
      Stories for Instagram
      Upload photo to Instagram™
      Pretty Kitty, The Cat Pet
      Video Downloader for YouTube
      SoundCloud Music Downloader
      The New York Times News
      Instagram App with Direct Message DM
×
×
  • Create New...