Malware cria conta de usuário “Remo”

Eu tenho visto pela net alguns usuários reclamando de uma nova conta de usuário que apareceu no sistema, sem que eles mesmos a houvessem criado. O nome dessa nova conta é “Remo”.
Trata-se de um trojan Banker e os detalhes da infecção seguem abaixo:

Cria os seguintes arquivos:

%windir%\updade.ini
%windir%\uni.exe
%windir%\reinicio.exe
%windir%\aviso.aas
%windir%\auto.msi
%windir%\brada.dll
%windir%\bcef.dll
%windir%\brasil.dll
%windir%\bjuri.dll
%windir%\Play.dll
%windir%\Update.bat
%windir%\SCSCEF.exe
%windir%\SCS.exe
%windir%\SCSG.exe
%windir%\wget.exe
%windir%\Tasks\Registro.job
%windir%\tasks\Update.job
%systemroot%\system32\wget-log.* (onde * é um número)
%systemroot%\System32\Tasks\Registro (Windows Vista x86 e acima)
%systemroot%\System32\Tasks\Update (Windows Vista x86 e acima)

Modifica os seguintes arquivos (somente nos 32 bits):

%systemroot%\system32\termsrv.dll

Cria as seguintes chaves/valores:

OBS: Em algumas chaves há mais valores do que os listados aqui, mas só vou postar o que realmente importa para a identificação da praga.

O2 – BHO: () – {30C7046A-919D-4927-966F-A7D8A93C3BDD} – \\127.0.0.1\Admin$\brada.dll ()
O2 – BHO: () – {4CBE14E3-7DB9-439D-9351-4208CEA1E0DD} – \\127.0.0.1\Admin$\bjuri.dll ()
O2 – BHO: () – {5EFA3947-3D35-46E0-8EDF-320967F37A59} – \\127.0.0.1\Admin$\bcef.dll ()
O2 – BHO: () – {E41EE775-CF2D-4060-B1F7-BB108FAB7F22} – \\127.0.0.1\Admin$\brasil.dll ()

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-**********-**********-**********-100*]
“ProfileImagePath” = “C:\Users\Remo”
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
“Remo”=
[HKLM\SOFTWARE\Caphyon]
[HKLM\SOFTWARE\Classes\Installer\Features\492719613CD18A94AB35F1356B0442BB]
[HKLM\SOFTWARE\Classes\Installer\Products\492719613CD18A94AB35F1356B0442BB]
[HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\887266AD57986F34DBA067F75506F7B3]
[HKLM\SOFTWARE\Microsoft\SystemCertificates\Remote Desktop]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{16917294-1DC3-49A8-BA53-1F53B64024BB}]

Modifica as seguintes chaves:

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
Adiciona o valor “MaxInstanceCount=8”

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM]
Cria a subchave “Certificate”

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
Modifica os dados do valor “fDenyTSConnections” de 1 para 0

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations]
Modifica os dados do valor “flags” de 0 para 1

Método de infecção:

A amostra que obtive veio como um instalador do Flash Player e de fato ela baixa e instala o legítimo Flash Player da Adobe, enquanto a praga fica agindo nos bastidores.
Dependendo das configurações do UAC e da forma como esse setup malicioso for executado, a infecção pode correr de duas maneiras:

1 – Executa o arquivo play.dll, e este por sua vez, cria os demais arquivos e chaves da infecção, e configura a nova conta de usuário Remo. Conta de administrador protegida por senha.
2 – Registra uma tarefa agendada no sistema, chamada Registro. Essa tarefa está programada para executar o arquivo play.dll em determinada hora, e, ao ser executada, procederá à instalação do malware.

A seguir, a praga instala quatro componentes maliciosos no Internet Explorer (com a função de roubar dados bancários, dados de logins, etc) e habilita o serviço Terminal Services. Esse serviço ativa as conexões da Área de Trabalho Remota. Ou seja, permite que um computador seja administrado remotamente. Para permitir múltiplas conexões simultâneas, nos sistemas 32 bits o trojan substitui um arquivo legítimo do sistema chamado termsrv.dll. Nos sistemas 64 bits o trojan não consegue fazer essa substituição, provavelmente devido à restrições nativas do próprio sistema operacional.

Porém este serviço tem alguns requisitos e protocolos. Para que alguém possa acessar um computador remotamente através da Área de Trabalho Remota, é necessário que essa pessoa tenha uma conta de administrador configurada nesta máquina. É onde entra o usuário “Remo”.

Os componentes maliciosos do Internet Explorer são executados via compartilhamento de rede (\\127.0.0.1\Admin$). De posse de uma conta de administrador no sistema e com o Terminal Services configurado, o usuário “Remo” pode facilmente ler ou escrever na pasta compartilhada. Como \\127.0.0.1\Admin$ refere-se à pasta %windir%, e os componentes maliciosos estão localizados nessa pasta, o invasor tem fácil acesso aos dados roubados por esses componentes.

A praga também possui um mecanismo de atualização automática, o qual é executado através de uma tarefa agendada chamada Update. Essa tarefa está programada para ser executada diariamente e de meia em meia hora.
Essa tarefa executa um arquivo chamado update.bat, que, por sua vez, baixa um arquivo INI contendo os endereços das novas DLLs a serem substituídas. Para isso, o trojan utiliza o software Wget – programa legítimo que baixa conteúdo de servidores e páginas web.
Cada atualização gera um log que fica armazenado na pasta %systemroot%\system32, com o nome wget-log.*. Quantas atualizações tiverem sido executadas, tantos logs haverá na pasta system32.

Anúncios

2 Responses to Malware cria conta de usuário “Remo”

  1. Marcio Alexandre says:

    o que preciso fazer pra remover o vírus da máquina, aguardo resposta,

    grato,

    • Olá, Marcio.
      A remoção desse virus requer alguns procedimentos especiais e fica inviável fazer aqui pelo blog. Peça ajuda no forum de Remoção de Malware no Clube do Hardware ou na Linha Defensiva (veja links no painel à direita).

%d blogueiros gostam disto: