Como Detectar e Excluir o Malware KBOT que Afeta os Arquivos de Sistema do Windows

O KBOT é uma infecção por malware polimórfico que geralmente vem da Web, por meio de uma rede local ou mesmo por meio de dispositivos de armazenamento externos infectados. O código do vírus sugere que ele pode ser um descendente aprimorado do famoso malware Bolek, que chegou às manchetes em 2016.

Visto pela primeira vez em fevereiro de 2020, o KBOT é uma ameaça cibernética persistente, destinada a coletar quaisquer dados confidenciais que possam surgir. Esses dados incluem detalhes bancários, credenciais de login, carteiras de criptomoedas e outros detalhes potencialmente valiosos. Toda essa informação vai para um servidor remoto de comando e controle, onde cai nas mãos erradas. Para isso, o KBOT injeta sua carga maliciosa diretamente no código executável do Windows e nos processos do sistema para obter privilégios elevados na Inicialização do Windows e no Agendador de Tarefas, em particular. A cadeia de infecção continua com módulos de malware adicionais obtidos através de injeções na web. Esses módulos podem permitir roubo de dados, comunicação C&C e execução remota de código.

As múltiplas injeções de código podem debilitar bastante o sistema operacional Windows de cada PC de destino, resultando em graves problemas de desempenho, além de constantes erros e falhas no sistema. Além disso, o KBOT é tão hábil em corrigir seu código de ponto de entrada que é praticamente impossível trazer os arquivos do sistema ao estado pré-infectado.

O malware KBOT é um vírus de computador que também pode agir como um worm. Se o KBOT se infiltrar em um PC em rede, ele se espalhará rapidamente para todos os arquivos executáveis em todas as unidades lógicas (internas e externas) da rede.

Como Detectar o KBOT

O KBOT é razoavelmente difícil de detectar porque implementa muitas técnicas de ofuscação para evitar a detecção de segurança. Não apenas neutraliza todos os arquivos DLL relacionados ao AV, como também criptografa seu próprio módulo de biblioteca DLL, apenas para permanecer sem exposição. No entanto, a maioria das soluções de software antivírus de renome pode detectar o KBOT e neutralizá-lo.

Como Excluir o KBOT

Embora o uso de uma ferramenta anti-malware robusta seja útil para recuperar o seu PC, você também pode removê-lo manualmente. Para fazer isso, você precisará seguir as etapas descritas abaixo.

1. Clique com o botão direito do mouse na barra de tarefas, selecione Gerenciador de tarefas e clique na guia Processos para procurar por processos em execução suspeitos.
2. Baixe (mas ainda não o instale) o utilitário Autoruns e Autorunsc da Microsoft.
3. Desligue o seu PC e inicie o Windows no Modo de Segurança com Rede.
4. Instale os utilitários Autoruns e Autorunsc para ver uma lista abrangente de todos os programas configurados para execução durante a inicialização do sistema. Localize o arquivo malicioso e clique com o botão direito do mouse para excluí-lo. Cuidado para NÃO excluir nenhum arquivo do sistema por engano!



5. Pesquise no seu PC o nome do malware encontrado na ferramenta Autoruns e exclua-o.
6. Reinicie o seu PC no modo normal.

Mesmo se você remover o KBOT da sua máquina, ele poderá ainda não funcionar sem problemas devido aos danos iniciais causados como resultado da injeção múltipla de código mencionada acima. Nesse caso, a reinstalação limpa do sistema operacional Windows será a melhor opção.