Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Computer Security Variantes do Trojan Rootkit.Gen Impedem que Aplicativos...

Variantes do Trojan Rootkit.Gen Impedem que Aplicativos de Segurança do Norton, Windows Defender e Outros Sejam Executados

Por CagedTech em Computer Security
Traduzir Para:
Português

Nós recentemente enfrentamos uma nova variação de uma velha infecção por rootkit, que é pior do que qualquer coisa que a nossa equipa de suporte técnico jamais encontrou. Ela foi trazida à nossa atenção por uma cliente, que contactou a nossa equipe de Suporte Técnico do SpyHunter, afirmando que tinha uma infecção por malware que desativou as funções-chave do seu computador e que ela precisava da nossa ajuda. Após uma inspeção aprofundada, a nossa equipe de Suporte Técnico descobriu que a sua infecção por malware foi, na verdade, por um Trojan rootkit. O que levou a nossa equipe de suporte técnico a tais conclusões, não foi apenas o fato do computador dessa cliente estar enfrentando popups excessivos, que promoviam programas anti-spyware nocivos, tais como o AntispywareMaster, ou que o seu Gerenciador de Tarefas e o Regedit tinham sido desativados, mas sim que o maior sintoma era a incapacidade de executar o SpyHunter depois de te-lo instalado. Mesmo depois que o SpyHunter conseguiu ser iniciado, ela não conseguiu o recurso "Atualização de Definições" ou "Atualização de Programas" para trabalhar e, eventualmente, o SpyHunter foi desativado por si mesmo.

Do ponto de vista operacional, o Trojan rootkit tem a mesma anatomia do Rootkit.Gen (também conhecido como Trojan.Rootkit.Gen) e do Rootkit.Win32.Clbd.cx. Eles são infecções que não podem ser facilmente detectadas ou removidas (se forem) por programas anti-spyware ou anti-vírus, porque sabe-se que os rootkits escondem arquivos ou entradas de registro de outros programas.

Um rootkit é um tipo de programa malicioso, projetado para permitir que atacantes tenham "acesso raiz", o que significa que ele permite que o atacante tenha acesso a um computador, a nível de administrador, sem o consentimento do proprietário do sistema. O Rootkits são os Trojans mais perigosos que existem, pois eles geralmente são impossíveis de serem detectados, uma vez que são capazes de se esconder e se integrar ao sistema operacional. Os arquivos de um Rootkit não aparecem no Windows Explorer, e você não será capaz de ver os processos de malware no Gerenciador de Tarefas e não haverão entradas visíveis de malware na inicialização do Windows. Portanto, o usuário cujo Pc estiver infectado por um rootkit não será capaz de detecta-lo ou removê-lo, usando os mecanismos padrão de segurança do sistema operacional

Originalmente, os rootkits foram criados como programas usados para obter o controle sobre os sistemas que estavam falhando ou não respondiam, mas os hackers têm se aproveitado das suas capacidades e transformaram-no em uma forma de malware, utilizado para obter acesso a um computador ou a redes de computador e serem capazes de lançar ataques, à vontade, sem serem detectados. Os hackers, como têm o ganho monetário em mente, usam os rootkits para esconder Trojans que, ou exibem anúncios, com base nos dados coletados no computador do usuário, ou vem junto com programas "nocivos", que eles tentam vender para o usuário. Os Rootkits vão chegar a proporções pandemicas, se os hackers continuarem a usá-lo como um método padrão para distribuir programas mal-intencionados.

Apresentamos, a seguir, a sinopse dos sintomas usuais da infecção pelo Trojan rootkit, sendo que a maioria deles foi experimentada pelos clientes do SpyHunter nos seus computadores:

  • Remoção do Gerenciador de Tarefas.
  • Desativação do prompt de comando e do RegEdit.
  • Desativação do Firefox.
  • Desativação dos softwares de segurança.
  • As unidades C: e D: desaparecem.
  • Acesso negado a determinados sites, especialmente o www.symantec.com, o update.microsoft.com e outros.
  • O salvador de tela "Tela Azul da Morte" aparece, para indicar uma infecção por spyware.
  • O Menu Iniciar não tem listado 'Programas', 'Meus Documentos', 'Meus
  • Documentos Recentes' 'Pesquisa', 'Ajuda', 'Painel de Controle' ou 'Executar'.
  • A função 'Desconectar' desaparece.
  • Alteração da senha da conta padrão do administrador.
  • Perda de certos privilégios de administrador da conta padrão do administrador.

Como Desativar o Trojan Rootkit – Instruções Manuais

Tenha Muito Cuidado! Por favor, leia as instruções abaixo com muito cuidado. Para desativar um Trojan rootkit é necessário um procedimento delicado. Prossiga por sua conta e risco. Nós aconselhamos que você faça o backup do seu sistema, antes de desativar manualmente um Trojan rootkit.

Para detectar e desativar a infecção pelo Trojan rootkit, você vai precisar de uma ferramenta de detecção de rootkit e algum esforço humano. Tenha em mente que as infecções por rootkit não podem ser removidas do sistema, elas só podem ser desativadas. Nós não podemos garantir que a infecção pelo Trojan rootkit será completamente desativada

Para desativar manualmente a infecção por rootkit, siga estes passos:

  1. Instale o programa RootkitRevealer do SystemInternals e execute uma varredura, para saber quais os arquivos que estão marcados como "Escondidos no API do Windows". Uma vez que você for capaz de ver os arquivos ocultos, você será capaz de saber o que precisa ser removido para desativar a infecção por rootkit. O arquivo principal dessa infecção por rootkit em particular é chamado clbdriver.sys e está localizado na pasta c:\windows\system32\drivers.
  2. Instale o Console de Recuperação do diretório i386 ou inicialize-o através do CD de Instalação do Windows, dentro do Modo do Console de Recuperação. Se você instalar o Console de Recuperação através do diretório i386, lembre-se de ativar a tecla que desativa a senha.
  3. Reinicie o computador e escolha o Console de Recuperação no menu de inicialização. Depois de instalar o Console de Recuperação, o Windows vai exibir automaticamente um menu de inicialização.
    Quando no Modo de Console de Recuperação, você terá de apagar os seguintes arquivos (% windir% é o diretório padrão do Windows, por exemplo, C:\WINNT, C:\WINDOWS, etc):

    %WinDir%\system32\clb.dll

    %WinDir%\system32\clbcatex.dll

    %WinDir%\system32\clbcatq.dll

    %WinDir%\system32\dllcache\clb.dll

    %WinDir%\system32\dllcache\clbcatex.dll

    %WinDir%\system32\dllcache\clbcatq.dll
    Use os seguintes comandos para anular o arquivo, quando no Modo Console de Recuperação.

    cd \

    cd c:\windows\system32\drivers

    dir clbdriver.sys – Deve retornar para "1 Arquivo Encontrado

    del clbdriver.sys dir clbdriver.sys – Deve retornar para "Nenhum Arquivo foi Encontrado"

  4. Reinicie o computador.
  5. Inicie o Editor de Registro e exclua as chaves do Registro que se seguem:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFFFFFFF-85A3-452b-B7A8-759AD9B42162} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFFFFFF-85A3-452b-B7A8-759AD9B42162} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\clbImageData HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\clbdriver.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\clbdriver.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\clbdriver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\clbdriver.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clbdriver
    Esta infecção por rootkit em particular, substitui vários arquivos de sistema, mas todos eles usam o arquivo explorer.exe para serem capazes de executar suas funções. Nas próximas etapas, você vai substituir dois dos principais arquivos do sistema (explorer.exe e clb.dll) que foram comprometidos pelo rootkit e alterar o nome do arquivo shell do sistema (explorer.exe) para que o rootkit perca a sua conexão com o sistema e fique permanentemente inválido
  6. Extraia os arquivos explorer.exe e clb.dll do diretório i386, usando o comando expand.exe. Para extrair o arquivo cbl.dll do diretório i386, você precisa copiá-lo no diretório C:\ windows\ system32.
  7. Renomeie o arquivo explorer.exe. Por exemplo explorer_clean.exe.
  8. Abra o regedit e modifique o valor da chave HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\WINDOWS\shell do explorer.exe pelo novo nome do explorer_clean.exe, como no exemplo acima. Portanto, se você renomeou o arquivo explorer.exe como explorer_clean.exe, então a chave HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ WINDOWS\shell deve ter o valor do explorer_clean.exe. Se alguma vez você mudar o nome do arquivo shell para explorer.exe, a infecção vai reaparecer.
  9. Reinicie o computador. A infecção por rootkit não deve reaparecer após a reinicialização.

Isenção de Responsabilidade das Instruções para Desativar um Trojan Rootkit

Atenção! Estas instruções são usadas para desativar o rootkit e não para removê-lo. A Enigma Software Group E.U.A. LLC, não pode ser responsabilizada por eventuais problemas que possam ocorrer devido ao uso das informações contidas neste guia de detecção de rootkit. Seguindo qualquer uma dessas instruções para a detecção e a desativação do rootkit, você concorda em ficar vinculado a esta isenção de responsabilidade. Se você não concordar, não siga estas instruções para a detecção e a desativação do rootkit. Nós não damos nenhuma garantia de que estas instruções de detecção e desativação do rootkit, vão desativar completamente a infecção. Os Trojans e rootkits mudam regularmente, portanto, é difícil limpar completamente uma máquina infectada por meios manuais. Se você não for capaz de desativar o Trojan rootkit, nós recomendamos que você procure a ajuda profissional de um perito em informática.

Carregando...