Fauxpersky

Fauxpersky

Alexandre (Alex) B. Alexandre (Alex) B.

Alexandre (Alex) B.

Network and security specialist. Virtualization, firewalls, routers and switches, SAN, Linux, Unix and Windows servers.

Publicado em 3 de abr. de 2018
+ Siga

Fauxpersky, malware que coleta todas as suas informações digitadas, como senhas, números de cartões de crédito, etc.

Ele possui várias características importantes, se camufla como uma versão legítima do antivírus Kaspersky Internet Security 2017 e manda suas informações através do Google Forms, conexão legítima e criptografada, o que faz com que a comunicação não pareça suspeita e mecanismos de monitoramento de tráfego de rede não o detectem. Age da seguinte forma:

Infecção:

- é feita por drives externos como HDs e Pendrives

Ação

- ele se utiliza de 4 programas com nomes muito parecidos com programas legítimos do windows: explorers.exe, svhost.exe, taskhost.exe e spoolsvc.exe.

- o explorers.exe cuida da persistência e propagação, ele procura por drives removíveis, renomeia os drives para seu padrão, ex: "Pendrive 8GB (Secured by Kaspersky Internet Security 2017)", copia seus arquivos, um deles o autorun.inf que auto executa a infecção (em um post futuro explicarei como desabilitar a auto execução de arquivos autorun.inf e com isso diminuir a possibilidade de uma infecção por drives removíveis), outros dois arquivos copiados são um arquivo de imagem do Kaspersky (splash screen) que aparece quando a máquina é ligada para enganar o usuário dizendo que o antivírus Kaspersky foi instalado e está rodando, o outro um arquivo chamado Readme.txt que instrui o usuário a desabilitar qualquer antivírus (e lista uma série de produtos de segurança que seria incompatível com o malware instalado para serem desabilitados, entre eles está o Kaspersky Internet Security 2017) se o usuário não conseguir acessar algum arquivo ou pasta.

- o svhost.exe é o responsável por capturar toda a informação digitada no teclado, sem exceção.

- taskhost.exe cria e copia a estrutura no Windows, dentro do diretório de sistema %APPDATA% ele cria a pasta “Kaspersky Internet Security 2017” e configura os atributos para somente leitura, pasta de sistema e pasta oculta.

- spoolsvc.exe é a inteligência do malware, inicialmente ele modifica o registro do Windows para que o sistema não exiba arquivos ocultos e para que o sistema oculte arquivos de sistema (são aqueles arquivos que tem a propriedade "sistema" configurada pelo taskhost.exe - dentre outros arquivos legítimos). Depois da modificação do registro o malware checa se o explorers.exe está em execução, se não estiver ele o inicia (watchdog que garante a persistência da execução). Ele também cria atalhos para a pasta de inicialização automática do Windows (tudo dentro desta pasta é executado automaticamente no logon do usuário). A parte mais importante deste programa é o envio dos dados digitados que inicialmente são gravados em um arquivo texto Log.txt e depois de enviado esse arquivo é apagado do disco.

Apesar de ele não se preocupar muito em se esconder, ele é muito eficiente em se propagar e capturar os dados dos usuários.

Remoção:

- Apagar a pasta "Kaspersky Internet Security 2017" do diretório %APPDATA%\Roaming.

- Apagar os atalhos criados dentro da pasta "Inicializar" (Startup) do menu Iniciar.

#malware #antivirus #kaspersky #security #cybercrime #cybersecurity

Entre para ver ou adicionar um comentário

Outros artigos de Alexandre (Alex) B.

See all articles

Outras pessoas também visualizaram

Conferir tópicos