'Windows Troubleshooter' Technical Support Scam
O "Windows Troubleshooter" Technical Support Scam é uma campanha lançada pelos vigaristas que tentam vender um falso utilitário de restauração do sistema. O "Windows Troubleshooter" Technical Support Scam é facilitado por várias ferramentas baixadas no PC da vítima através do que é promovido como um shareware quebrado (um programa pago). Os vigaristas estão usando um P2P e abrindo redes de compartilhamento de arquivos para distribuir um pacote que inclui - o csrvc.exe, o BSOD.exe, o troubleshoot.exe, o scshtrv.exe e o adwizz.exe. Essas ferramentas são usadas para produzir uma falsa Tela Azul da Morte, carregar propagandas e gerar uma janela de programa intitulada "Troubleshooting Windows". As mensagens utilizadas pelo 'Windows Troubleshooter' Technical Support Scam visam confundir e assustar os usuários, além de fornecer um falso instrumento de solução de problemas que supostamente recupera o seu sistema. Os aplicativos lançados no "Windows Troubleshooter" Technical Support Scam são baixados do site hxxp://hitechnovation[.]com no endereço de IP 182.50.132.48.
- O adwizz.exe (SHA256: 5becf86e5ad1703345fa243458f6a3b6189619f87e67ffab6bc874d6bdf7c03f) é usado para carregar anúncios da Banggood.com em segundo plano, e gerar receita com anúncios. O aplicativo é marcado como:
Artemis!8606B485B012
Suspicious_GEN.F47V1013
Troj.Horse.Gen!c
Trojan.Ransom.TechSupportScam - O BSOD.exe (SHA-256: 9a95f7e477cede36981a6a1e01a849d9c6aeac3985ee3a492cf4136bb6dab69c), Como você pode adivinhar, é usado para produzir uma falsa Tela Azul da Morte. O aplicativo está marcado como:
Suspicious_GEN.F47V1116
TR/Spy.Gen
Trojan/Win32.Agent.C2274128
Win32.Trojan.Spy.Dxdc - O csrvc.exe (SHA-256: 60c77f3c0e91218402f4b10ab8f5ecdff4812a1582d699f50664a1dd57a61556) é responsável por desativar o Gerenciador de Tarefas, o Editor de Registro e o Explorador de Arquivos Do Windows. O aplicativo está marcado como:
MSIL/Agent.BGC!tr.spy
Spyware ( 0051b17d1 )
TROJ_GEN.R002H0AKD17
Trojan.Generic.22622103 - O scshtrv.exe (SHA-256: ad2d8ad87b2a8b475b11a3fb09d8d6a03d64ab41801cbf57e4bc250f8dfd1e25) e o winsrvhst.exe (SHA-256: 5638c04e9d6c863df5993f84cc43778b50e77ccabf9f05c76df00dba3e01a920) foram projetados para fazer uma captura de tela da sua área de trabalho e enviá-la para o servidor de "Comando e Controle" dos criadores da ameaça. O aplicativo é marcado como:
MSIL/Agent.BEU!tr.spy
Spyware ( 00518c121 )
TROJ_GEN.R002C0DKB17
Trojan.GenericKD.12549367
Trojan.MSILPerseus.D2012A
UDS:DangerousObject.Multi.Generic - O troubleshoot.exe (SHA-256: 442b6a45b6d786589bd8f85043f04388f565b57e8b797853c18840b270af254b) é a janela do programa intitulada "Troubleshooting Windows". Esse falso aplicativo de solução de problemas exibe uma longa lista de DLLs que estão faltando e oferece ao usuário para comprar o 'Windows Defender Essentials' via PayPal. O aplicativo é marcado como:
FileRepMalware
Rogue.TechSupportScam
Suspicious_GEN.F47V1125
Trojan/Win32.Agent.C2274119
Os especialistas em segurança cibernética observaram que o 'Windows Troubleshooter' Technical Support Scam" possui várias camadas de táticas e mecanismos enganadores para impedir que os usuários de PC recuperem o controle da máquina infetada. Outra característica interessante do programa do 'Windows Troubleshooter' é que ele injeta um código no navegador padrão da Web e carrega uma página de pagamento personalizada, onde os usuários devem fazer o login no PayPal e pagar o pacote do 'Windows Defender Essentials'. Como mencionado acima, 'Windows Troubleshooter' Technical Support Scam visa vender um falso software de recuperação do sistema e as ferramentas usadas para bloquear o seu acesso ao PC podem ser usadas para implantar outra carga útil de malware. Recomenda-se inicializar no Modo de Segurança sem rede e executar uma completa digitalização do sistema com um utilitário anti-malware respeitável.