Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Análise de vírus: trojan backdoor minner (ainda desconhecido)

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Dica Análise de vírus: trojan backdoor minner (ainda desconhecido)

    Nota: se você recebe constantemente a mensagem "O dwm.exe parou de funcionar", este tutorial pode te ajudar.*Pode se tratar de um vírus ainda não conhecido pelas empresas de antivírus. Ao final do post, eu explico, mais resumidamente, como removê-lo (não se preocupe, você não precisará baixar nada!).

    Em nossas idas e vindas pela internet, por vezes precisamos baixar um aplicativo ou outro, e por vezes, eles trazem vírus.
    Fiz o download de um aplicativo gratuito e sem adwares, que me presenteou com a mensagem a seguir, várias vezes em minha tela:


    O dwm.exe (Desktop Windows Manager) é o gerenciador de janelas do Windows. Se ele realmente não funcionasse, a primeira coisa que ocorreria é a desativação do tema Aero (a transparência das bordas das janelas). É o que ocorre se você parar o serviço "Gerenciador de janelas do Windows" pelo "services.msc". Essa mensagem não parecia se tratar do dwm.exe legítimo.
    Fiz uma busca inútil na internet. Encontrei diversos fóruns, em maioria os fóruns oficiais da Microsoft (que tem tanto conteúdo quanto o interior de uma bexiga). Nada ajudou. Tentei fazer a restauração do sistema, mas cara... Eu ia perder o GTA V. Só quem já instalou GTA V sabe o quanto é demorado... Não valia à pena.
    Então comecei pelos antivírus. Infelizmente, avast! e Malwarebytes não encontraram nada...*Entendi que estava sozinho nessa.

    Comecei lembrando se havia dado permissão de administrador a algum aplicativo, o que não havia ocorrido, já que o aplicativo baixado era portátil. Qual a pasta preferida dos vírus? A pasta system32 e Windows, claro. Com tantas executáveis e DLLs, fica fácil se esconder por lá. Mas para escrever lá, é necessário ter privilégios de administrador. Neste caso, qual a pasta preferida dos vírus sem privilégios de administrador? A pasta temporária, claro!

    Abri a pasta temporária e comecei dando Ctrl + A (selecionar tudo) e Shift + Delete (excluir permanentemente). Alguns arquivos não puderam ser removidos. Eu só fui clicando em ignorar, pois são esses arquivos que eu quero dar uma olhada.
    Algumas das pastas que permaneceram eu pude reconhecer (como a "GAS Tecnologia", que é o nome da empresa que desenvolve aquele plugin fodid* da Caixa Econômica Federal). Mas havia um que me chamou a atenção...


    "msupdate71"? Mas meu Windows Update só anda desativado... (digamos que ninguém merece fazer a sala toda esperar por um "Não desligue ou desconecte seu computador" antes da apresentação de um trabalho escolar)

    Vou abrir essa pasta. Parece interessante.


    Opa... "libcurl"? É sério isso? A Microsoft fazendo uso de software livre (cURL é uma ferramenta para efetuar requests HTTP/FTP)? Tem coisa aí... Mas o que é aquilo ali embaixo... "proxy.conf"? Como assim, proxy? A rede da minha casa é apenas uma rede doméstica comum, roteador <=> computador! E que "dwm.exe" é aquele? O dwm.exe original fica no C:\WINDOWS\system32! Está tudo errado! Descobrimos onde está o vírus!

    Então apagamos essa pasta e ficará tudo bem, correto? Errado. Como bruxaria, a pasta aparece novamente, diante de nossos olhos, a cada vez que a apagamos.

    É comum que vírus e adwares (vírus) utilizem-se de dois processos: um que é o vírus em si, e outro que fica rodando verificando se o vírus foi removido, para, então, instalá-lo novamente. Esse processo auxiliar é chamado de "monitor". Então... precisamos descobrir onde fica esse monitor.
    Mas antes, vamos ver o que, exatamente, esse vírus faz. Até agora, tudo o que vimos foi que ele nos irrita com mensagens de erro. Vamos abrir esse proxy.conf, que parece ser um arquivo de configurações.


    Vejam só! "darkcoin". Seria uma alusão ao bitcoin, a moeda virtual? E o que é aquilo, na variável "url"? "stratum". O que é stratum?

    Vamos buscar "stratum" no Google. Nada interessante, apenas uma empresa de segurança. Mas... "darkcoin" parece ter algo a ver com "bitcoin". Vamos buscar, no Google, "stratum bitcoin". Oh meu... Vemos páginas e páginas sobre como minar bitcoins. Trata-se de uma ferramenta para minar bitcoins! E Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... O desgraç* do hacker está utilizando nosso poder de processamento para minar bitcoins e ganhar dinheiro com isso! (apesar de não ter conseguido. O coitado programa tão mal que o dwm.exe, seu vírus, trava toda vez que é aberto)

    Certo, mas se eu disse que esse hacker é um inútil, eu preciso provar que seus métodos não são eficazes. Abro o Process Explorer e aplico um filtro para me dizer todos os processos que andam mexendo na pasta %TEMP%\msupdate17. Assim eu consigo saber qual o processo e onde ele está, para que eu possa excluí-lo.
    Abro o Process Explorer, excluo a pasta e aguardo, ansiosamente, para que a pasta volte.


    E voltou! O processo que a criou se chama "csrss.exe". Ao posicionar o mouse sobre esse processo, no Process Explorer, vejo que está no system32, ou seja, é o verdadeiro, legítimo processo do Windows. Como alguém poderia fazer com que processos legítimos do Windows executem ações maliciosas?

    Ah, claro! Programando uma DLL (biblioteca), que depende de um processo legítimo do Windows para ser executada! Mas que DLL seria essa? E onde estaria?
    Bem, ao voltar para o diretório temporário, vamos dar uma olhada nos arquivos que não puderam ser removidos. Avistamos uma DLL, chamada "mdi164.dll". Não é anormal ter DLLs em nossa pasta temporária, mas não é a coisa mais normal do mundo. É um arquivo em formato Portable Executable, o que nos permite encontrar algumas strings ASCII (textos), sem mesmo precisar de um debugger, como o Olly. Vamos abrir essa DLL no próprio Notepad++ e fazer algumas buscas usando o Ctrl + F. Vamos começar buscando o nome da pasta que é criada contra a nossa vontade, e... bingo!


    Encontramos não só o nome da pasta, como também de todos os arquivos dela. Fica provado que este é o arquivo responsável por criar a pasta miserável. Vamos simplesmente excluí-lo?

    Não... não é possível excluir essa DLL infernal, pois ela está sendo executada. Então, como ela foi registrada usando o regsvr32, vamos "desregistrá-la"?! Ora, não custa tentar! Vamos abrir o Prompt de comando como administrador, e digitar: regsvr32 -u %TEMP%\mdi164.dll


    Ok, ele encontrou a DLL e ela realmente está executando. Mas ele não pode parar, pois o ponto de interrupção não foi encontrado. Isso porque apenas a DLL pode parar a si própria. O Windows apenas trata de chamar o "ponto de interrupção" para que a DLL "cometa suicídio". Mas não precisa ser tão inteligente para saber que o hacker não programou o ponto de interrupção, afinal, ele não quer que sua DLL seja fechada. E agora, quem poderá nos defender?

    O Prompt de comando, novamente! O processo responsável por executar DLLs in-natura é o "rundll32.exe". Vamos matá-lo. Como a DLL inútil não estará mais sendo utilizada, poderemos excluí-la sem problemas! Vamos rodar: taskkill -f -im rundll32.exe


    Agora, de volta à pasta temporária, vamos dar um Shift + Delete na DLL e lá se foi! Faça o mesmo com a pasta que ela criou (pode ser necessário rodar taskkill -f -im dwm.exe no Prompt de comando).

    E estamos livres do vírus! Agora um resumo para quem não leu tudo...

    Como remover esse vírus
    • Acesse Iniciar > Todos os programas > AcessóriosPressione o botão direito do mouse sobre "Prompt de comando" e selecione "Executar como administrador"
    • Na tela que se abre, digite: "taskkill -f -im rundll32.exe" (sem aspas) e pressione Enter.
    • Na mesma tela, digite: "taskkill -f -im dwm.exe" (sem aspas) e pressione Enter.
    • Na mesma tela, digite: "start %TEMP%" (sem aspas) e pressione Enter.
    • Sua pasta temporária será aberta. Localize e exclua a pasta "msupdate71" e o arquivo "mdi164.dll". Lembre-se de removê-los, também, de sua lixeira.
    • Seja feliz


    Se você é um estudante/entusiasta ou trabalha para uma empresa de antivírusVocê pode baixar o "mdi164.dll"*Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...*(Mega). A senha é "ISSOEHUMVIRUS". Mas se você não sabe o que está fazendo, JAMAIS execute esse arquivo. Trata-se de um Trojan do tipo BITCOIN MINER (minerador de bitcoin).
    Nota #2: O arquivo já foi enviado às principais empresas de antivírus, dentre as quais, a maioria já respondeu.
    Este material pode ser compartilhado, desde que os devidos créditos sejam dados.



    Notify-list · Twitter · Blog

    Nova lei: Invadir computadores protegidos é crime.
    Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)
    Similar Threads

  • Font Size
    #2
    muito bom,eu mesmo faço utilização de miners na minha botnet para minerar litecoin,no caso "darkcoin" seria uma outra moeda alternativa ao bitcoin menos valorizada e mais facil de minerar
    Last edited by luiz9; 04-07-2015, 22:39.
    É meu fã? Use minha fan bar

    Comment

    X
    Working...
    X