Remoção de malware - Guia rápido

Nos últimos anos, ouvimos falar de muitas pessoas e grandes corporações que perderam seus dados preciosos ou estiveram em uma situação em que seus sistemas foram hackeados. Essas atividades indesejadas são causadas, na maioria dos casos, por meio de um software inserido em um sistema de rede, servidor ou computador pessoal. Este software é conhecido como ummalware.

Um malware pode causar danos a um sistema ou rede diretamente, ou subvertê-los para serem usados ​​por outras pessoas, em vez da intenção de seus proprietários. É uma combinação de duas palavras:Mal significado Bad e Ware significado Software.

Com base em www.av-test.org , as estatísticas estão crescendo tremendamente. Observe o gráfico a seguir para entender o crescimento do malware.

Como você pode ver, foram mais de 600 milhões de malwares detectados somente em 2016. Baseado emsecurelist.com, os países que infectaram computadores em comparação com os mais limpos são -

Risco máximo (mais de 60%) 22 países, incluindo
Quirguistão (60,77%) Afeganistão (60,54%).
Alto risco (41-60%): 98 países, incluindo
Índia (59,7%) Egito (57,3%) Bielo-Rússia (56,7%)
Turquia (56,2%) Brasil (53,9%) China (53,4%)
Emirados Árabes Unidos (52,7%) Sérvia (50,1%) Bulgária (47,7%)
Argentina (47,4%) Israel (47,3%) Letônia (45,9%)
Espanha (44,6%) Polônia (44,3%) Alemanha (44%)
Grécia (42,8%) França (42,6%) Coréia (41,7%),
Áustria (41,7%)
Taxa de infecção local moderada (21-40,99%): 45 países, incluindo
Romênia (40%) Itália (39,3%) Canadá (39,2%)
Austrália (38,5%) Hungria (38,2%) Suíça (37,2%)
EUA (36,7%) Reino Unido (34,7%) Irlanda (32,7%)
Holanda (32,1%), República Tcheca (31,5%) Cingapura (31,4%)
Noruega (30,5%) Finlândia (27,4%) Suécia (27,4%),
Dinamarca (25,8%), Japão (25,6%).

O malware pode ser projetado pelos hackers para diferentes fins, como destruição de dados, envio de dados automaticamente para algum outro lugar, alteração dos dados ou pode continuar monitorando-os até o período de tempo especificado. Desative as medidas de segurança, danifique o sistema de informações ou afete de outra forma os dados e a integridade do sistema.

Eles também vêm em diferentes tipos e formas, que discutiremos em detalhes nos próximos capítulos deste tutorial.

Para entender como o malware funciona, devemos primeiro ver a anatomia de um ataque de malware, que é separada em cinco etapas, conforme mostrado abaixo -

  • Ponto de entrada
  • Distribution
  • Exploit
  • Infection
  • Execution

Vamos entender os pontos mencionados acima em detalhes.

Ponto de entrada

Um malware pode entrar no sistema de várias maneiras -

  • O usuário visita seu site favorito, que foi infectado recentemente. Isso pode ser um ponto de entrada para um malware.

  • Se um usuário clicar em um URL enviado por e-mail, ele sequestrará esse navegador.

  • O malware também pode entrar por meio de qualquer mídia externa infectada, como um USB ou um disco rígido externo.

Distribuição

O malware inicia um processo que redireciona o tráfego para um servidor de exploração que verifica o sistema operacional e aplicativos como navegador, Java, Flash player, etc.

Explorar

Nesta fase, o exploit tentará executar com base no sistema operacional e encontrará uma maneira de escalar o privilégio.

Infecção

Agora, o exploit que foi instalado com sucesso fará o upload de uma carga para manter o acesso e gerenciar a vítima, como acesso remoto, upload / download de arquivo, etc.

Execução

Nesta fase, o hacker que gerencia o Malware começará a roubar seus dados, criptografar seus arquivos, etc.

Os malwares são diversos; eles vêm de funções diferentes e se comportam de maneira diferente em várias situações. Alguns dos tipos de malware mais infames e perigosos são apresentados a seguir:

  • Virus
  • Adware
  • Spyware
  • Trojan
  • Rootkits
  • Botnets
  • Ransom Ware

Vamos entender cada um deles em detalhes.

Vírus

O vírus é um programa de malware que atua de maneira interessante. Este programa se executa ou se replica colocando algumas cópias de si mesmo em outros programas de computador, setor de boot, arquivos de dados, disco rígido, etc. Quando o processo de replicação é concluído, as áreas afetadas são consideradas infectadas .

Os vírus são criados para realizar algumas das atividades mais prejudiciais nos hosts quando são infectados. Eles podem roubar o tempo da CPU ou até mesmo o espaço no disco rígido. Eles também podem corromper os dados e colocar algumas mensagens engraçadas na tela do sistema.

Adware

Este software é principalmente o software de suporte de publicidade. Um pacote que vem automaticamente com os anúncios dentro. Conseqüentemente, pode gerar uma boa renda para o proprietário.

Spyware

Spyware é um software utilizado principalmente para a coleta de informações sobre alguma organização ou pessoa. Essas informações são coletadas sem que ninguém saiba que as informações estão sendo geradas por seu sistema.

Trojan

O Trojan é um tipo de malware que não se auto-replica. Ele contém algum código malicioso, que executa algumas ações que são determinadas pela natureza desse Trojan específico. Isso acontece apenas na execução. O resultado da ação normalmente é a perda de dados e também pode prejudicar o sistema de várias maneiras.

Rootkits

Rootkits são o tipo furtivo de malware. Eles são projetados de uma forma especial que podem realmente se esconder muito bem e é muito difícil detectá-los em um sistema. Os métodos normais de detecção não funcionam com eles.

Botnets

Botnet é um software instalado em um computador que está conectado através da internet e pode ajudar a se comunicar com outros programas do mesmo tipo, para que algumas ações sejam realizadas. Eles podem ser o mesmo que manter o controle de alguns IRC, que são gráficos relacionados à Internet. Além disso, pode ser utilizado para o envio de alguns emails de spam ou para participar em alguma distribuição de ataques de negação de serviços.

Ransom Ware

Ransom ware é um software que criptografa arquivos, que estão nos discos rígidos. Alguns deles podem até acabar simplesmente mostrando alguma mensagem sobre o pagamento de dinheiro à pessoa que implementou este programa.

Geralmente, se um computador é infectado, existem alguns sintomas, que os usuários ainda mais simples podem notar.

Técnicas comuns de detecção de malware

Algumas das técnicas de detecção de malware mais comumente usadas estão listadas a seguir.

  • Seu computador mostra uma mensagem pop-up e de erro.

  • Seu computador congela com frequência e você não consegue trabalhar nele.

  • O computador fica mais lento quando um programa ou processo é iniciado. Pode-se perceber no gerenciador de tarefas que o processo do software foi iniciado, mas ainda não abriu para funcionar.

  • Terceiros reclamam que estão recebendo convites nas redes sociais ou via e-mails seus.

  • As alterações nas extensões de arquivo aparecem ou os arquivos são adicionados ao seu sistema sem o seu consentimento.

  • O Internet explorer congela com muita frequência, embora a velocidade da sua internet seja muito boa.

  • Seu disco rígido é acessado na maioria das vezes, o que você pode ver pela luz LED piscando do computador.

  • Os arquivos do sistema operacional estão corrompidos ou ausentes.

  • Se o seu computador está consumindo muita largura de banda ou recursos de rede, é o caso de um worm de computador.

  • O espaço do disco rígido está ocupado o tempo todo, mesmo se você não estiver realizando nenhuma ação. Por exemplo, a instalação de um programa Mew.

  • Os arquivos e os tamanhos dos programas mudam em comparação com a versão original.

Erros não relacionados a malware

Os seguintes erros são not related to Malware Atividades -

  • Erro enquanto o sistema está inicializando no estágio Bios, como a exibição da célula da bateria da Bios, exibição de erro do temporizador.

  • Erros de hardware como bipes, gravação de RAM, HDD, etc.

  • Se um documento não iniciar normalmente como um arquivo corrompido, mas os outros arquivos podem ser abertos de acordo.

  • O teclado ou o mouse não responde aos seus comandos; você tem que verificar os plug-ins.

  • O monitor liga e desliga com muita frequência, como piscar ou vibrar, isso é uma falha de hardware.

No próximo capítulo, entenderemos como nos preparar para a remoção de Malware.

Os malwares se ligam a programas e são transmitidos para outros programas, fazendo uso de alguns eventos. Eles precisam que esses eventos aconteçam porque não podem iniciar por si próprios, se transmitir usando arquivos não executáveis ​​e infectar outras redes ou um computador.

Para nos preparar para a fase de remoção, devemos primeiro entender quais processos de computador estão sendo usados ​​pelo malware para eliminá-los. Quais portas de tráfego estão sendo usadas por eles para bloqueá-los? Quais são os arquivos relacionados a esses malwares, para que possamos ter a chance de repará-los ou excluí-los. Tudo isso inclui um conjunto de ferramentas que nos ajudarão a coletar essas informações.

Processo de Investigação

A partir das conclusões acima mencionadas, devemos saber que quando alguns processos ou serviços incomuns são executados por si próprios, devemos investigar mais a fundo suas relações com um possível vírus. O processo de investigação é o seguinte -

Para investigar os processos, devemos começar usando as seguintes ferramentas -

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

o Listdll.exe mostra todo o dll filesque estão sendo usados. onetstat.execom suas variáveis ​​mostra todos os processos em execução com suas respectivas portas. O exemplo a seguir mostra como um processo deKaspersky Antivirusé mapeado para um comando netstat-ano para ver os números do processo. Para verificar a qual número de processo ele pertence, usaremos o gerenciador de tarefas.

Para Listdll.exe, podemos baixá-lo no seguinte link - https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx e podemos executá-lo para verificar quais processos estão conectados com a DLL que está sendo usada.

Abrimos o CMD e vamos para o caminho de Listdll.exe conforme mostrado na imagem a seguir e, em seguida, o executamos.

Obteremos o resultado conforme mostrado na imagem a seguir.

Por exemplo, PID 16320 está sendo usado pelo dllhost.exe, que tem uma descrição COM Surrogatee à esquerda. Ele mostrou toda a DLL sendo mostrada por este processo, que podemos pesquisar no Google e verificar.

Agora vamos usar o Fport, que pode ser baixado no seguinte link - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# para mapear os serviços e PID com as portas.

Outra ferramenta para monitorar os serviços e ver quantos recursos eles estão consumindo é chamada de “Process Explorer”, que pode ser baixada no seguinte link - https://download.sysinternals.com/files/ProcessExplorer.zip e depois de baixá-lo, você deve executar o arquivo exe e verá o seguinte resultado -

Neste capítulo, entenderemos como realizar o processo de limpeza de um computador, que foi infectado por qualquer tipo de malware. Vamos seguir as etapas abaixo.

Step 1- Para começar, precisamos desconectar o computador da rede, que pode ser uma conexão a cabo ou sem fio. Isso é feito para que o processo de hacking perca a conexão com o hacker, de forma que nenhum outro dado possa continuar a vazar.

Step 2 - Inicie o computador em Safe Mode, apenas os programas e serviços mínimos necessários são carregados. Se algum malware estiver configurado para carregar automaticamente quando o Windows for iniciado, entrar neste modo pode impedir que isso aconteça. Isso é importante porque permite que os arquivos sejam removidos mais facilmente, uma vez que eles não estão realmente em execução ou ativos.

Iniciando um computador em modo de segurança

Iniciar um computador em modo de segurança pode variar do Windows 7 ao Windows 10. Para o sistema operacional Windows 10, as etapas são as seguintes -

Step 1 - Pressione o Windows logo key + Ino teclado para abrir as configurações. Se isso não funcionar, selecione o botão Iniciar no canto inferior esquerdo da tela e selecione Configurações. Selecione Atualização e segurança → Recuperação.

Step 2 - Na seção Inicialização avançada, selecione Reiniciar agora.

Step 3 - Depois que o PC reiniciar para a tela Escolha uma opção, selecione Solucionar problemas → Opções avançadas → Configurações de inicialização → Reiniciar.

Step 4- Após a reinicialização do PC, você verá uma lista de opções. Selecione 4 ou F4 para iniciar seu PC no modo de segurança. Se você precisar usar a Internet, selecione 5 ou F5 para Modo de segurança com rede.

Excluir arquivos temporários

Exclua seus arquivos temporários. Isso irá acelerar a verificação de vírus, liberar espaço em disco e até mesmo se livrar de alguns malwares. Para usar oDisk Cleanup Utility, incluído no Windows 10, basta digitar Disk Cleanup na barra de pesquisa ou depois de pressionar o botão Iniciar e selecione a ferramenta que aparece - Limpeza de disco.

Interrompa o processo de malware que pode estar relacionado a ele

Tentaremos encerrar todos os processos maliciosos associados. Para fazer isso, usaremos o Rkill, que pode ser facilmente baixado do seguinte link - www.bleepingcomputer.com/download/rkill/

Baixe verificador de malware e inicie uma verificação

Se você já tem um programa antivírus ativo em seu computador, deve usar um scanner diferente para esta verificação de malware, pois seu software antivírus atual pode não ter detectado o malware. A maioria dos softwares antivírus conhecidos são fornecidos na captura de tela a seguir.

Devemos entender que os vírus infectam máquinas externas apenas com a ajuda de um usuário de computador, o que pode ser como clicar em um arquivo que vem anexado com um e-mail de uma pessoa desconhecida, conectar um USB sem fazer a varredura, abrir URLs não seguros, etc. Por tais motivos , nós, como administradores de sistema, temos que remover as permissões de administrador dos usuários em seus computadores.

Algumas das proibições mais comuns de permitir que um malware entre em um sistema são as seguintes -

  • Não abra nenhum anexo de e-mail de pessoas desconhecidas ou mesmo de pessoas conhecidas que contenham texto suspeito.

  • Não aceite convites de pessoas desconhecidas nas redes sociais.

  • Não abra nenhuma URL enviada por pessoas desconhecidas ou conhecidas de qualquer forma estranha.

Algumas outras dicas importantes para manter seu sistema atualizado são as seguintes -

  • Continue atualizando o sistema operacional em intervalos regulares.

  • Instale e atualize o software antivírus.

Qualquer armazenamento removível obtido de terceiros deve ser verificado com um software antivírus atualizado. Além disso, lembre-se de verificar os seguintes aspectos.

  • Verifique se o seu monitor está usando um protetor de tela.

  • Verifique se o firewall do computador está ativado.

  • Verifique se você está fazendo backups regularmente.

  • Verifique se há compartilhamentos que não são úteis.

  • Verifique se sua conta tem direitos totais ou restritos.

  • Atualize outro software de terceiros.

Gerenciando riscos de malware

Gerenciar riscos de malware é principalmente para aquelas empresas, que não cumprem para usuários de computador único. Para gerenciar o risco que vem dos malwares, existem alguns fatores chave que aceitam as tecnologias que estão sendo utilizadas, existe um fator humano também. A gestão de riscos tem a ver com a análise que identifica os riscos de malware e os prioriza de acordo com o impacto que podem ter nos processos de negócios.

Para reduzir os riscos de malware em um ambiente de empresa de médio porte, devemos considerar os seguintes pontos -

  • Ativos de sistema de informação comuns
  • Ameaças comuns
  • Vulnerabilities
  • Educação do usuário
  • Equilibrar a gestão de risco e as necessidades de negócios

No próximo capítulo, aprenderemos algumas ferramentas importantes de remoção de malware.

Nos capítulos anteriores, discutimos o que são malwares, como funcionam e como limpá-los. Porém, neste capítulo, veremos o outro lado da proteção automatizada, que são classificados como anti-malwares ou antivírus. O uso deste software é muito importante nos dias de hoje porque, como vimos nos capítulos anteriores, o número de malwares está aumentando exponencialmente como resultado, sendo impossível detectá-los.

Cada produtor de anti-malwares possui suas próprias tecnologias e técnicas de detecção de malwares, mas vale ressaltar que eles são muito rápidos de detectar porque se atualizam quase todos os dias com as novas detecções de malware.

Alguns dos antimalware ou antivírus mais renomados e eficazes mundialmente são mencionados abaixo -

  • McAfee Stinger

  • HijackThis

  • Malwarebytes

  • Kaspersky Endpoint Security 10

  • Panda Free Anti-virus

  • Spybot Search & Destroy

  • Ad-Aware Free Antivirus +

  • AVG Antivirus 2016

  • SUPERAntiSpyware

  • Microsoft Security Essentials