Às vezes, além do software que queremos instalar, os desenvolvedores de software costumam incluir programas indesejados. Alguns deles não param neste momento. Eles vão ao ponto de alterar as configurações do seu navegador sem solicitar sua permissão. Esse comportamento não é desejável, pois afeta sua experiência de computação. Tal software é chamado de Software Potencialmente Indesejado, e o software que os envia, é chamado de Bundleware.
A Ferramenta de Remoção de Software Mal-Intencionado ou MSRT é uma ferramenta gratuita da Microsoft que ajuda a eliminar esse risco indesejado. A ferramenta remove softwares mal-intencionados e potencialmente indesejados específicos e predominantes de computadores Windows.
Diariamente, nós aprendemos sobre novas variantes de malware chegando e causando danos aos usuários de computador. Como tal, é imperativo que as ferramentas de segurança se mantenham atualizadas. A Microsoft mantém regularmente uma guia sobre malware e, consequentemente, atualiza suas ferramentas de segurança conforme necessário. MSRT acontece de ser um deles. O programa é capaz de remover softwares indesejados que vêm com ferramentas autenticadas e evitar a detecção, apresentando-se como software ou aplicativo legítimo. Uma atualização recente da ferramenta adicionou recursos de detecção para alguns novos trojans que tentam modificar o comportamento do navegador e alterar suas configurações sem solicitar permissão do usuário.
- BrowserModifier: Win32 / Sasquor
- BrowserModifier: Win32 / SupTab
- Trojan: Win32 / Ghokswa
MSRT outubro de 2016
Elementos nocivos, como as famílias de malware mencionadas acima, geralmente encontram uma entrada em seu computador por meio de vários fornecedores de software, como:
- SoftwareBundler: Win32 / Mizenota, S
- oftwareBundler: Win32 / ICLoader e
- SoftwareBundler: Win32 / InstallMonster
SupTab e Sasquor foram oferecidos por empacotadores sob muitos nomes, incluindo:
- Istartpageing
- Omniboxes
- Sua pesquisa
- iStart123
- Hohosearch
- Yessearches
- Youndoo
- Trotux
Alguns provedores de bundles, como o SupTab ou o Sasquor, fazem alterações nas configurações da pesquisa e da página inicial do navegador. Essas ameaças geralmente escapam da atenção do usuário.
Em comparação com os dois acima, Xadupi A família de malware é uma variante diferente que vem em três formas diferentes:
- CornserSunshine
- WinZipper
- QKSee
O trojan é instalado silenciosamente pelo BrowserModifier: Win32 / Sasquor ou BrowserModifier: Win32 / SupTab. O pacote de software sob o qual ele vem compactado, se apresenta como um aplicativo útil, mas baixa e instala elementos nocivos.
Este modo silencioso de ataque do Sasquor, SupTab e Xadupi tem algumas semelhanças entre si, pois todos eles instalam serviços e / ou tarefas agendadas que regularmente consultam servidores remotos para instruções, e ocasionalmente são aconselhados a baixar / instalar aplicativos adicionais.
Além desses projetos, cada família atende a vários propósitos e muda com o tempo. Aqui está um breve resumo.
BrowserModifier: Win32 / Sasquor: destina-se principalmente a navegadores populares e amplamente utilizados, como os usuários do Google Chrome e do Mozilla Firefox. O modificador de navegador é projetado para instalar serviços e tarefas agendadas que regularmente instalam outros malwares como o Trojan: Win32 / Xadupi e, às vezes, instala o Trojan: Win32 / Suweezy.
Trojan: Win32 / Suweezy: Esse modificador de navegador segue um caminho diferente. Ao contrário de alterar o comportamento do navegador, ele tenta modificar as configurações do Windows Defender, do Microsoft Security Essentials, do AVG Antivirus, do Avast Antivirus e do Avira Antivirus, para evitar a detecção e excluir determinadas pastas da verificação. O Evasion proíbe a remoção do malware relacionado, como o Sasquor e o SupTab.
Trojan: Win32 / Ghokswa: Esta ameaça é um membro da família Win32 / Ghokswa. É capaz de instalar uma versão personalizada dos navegadores Chrome ou Firefox. A versão do próprio Google Chrome representa o Google Chrome, mas é modificada para usar uma home page diferente e um front-end de mecanismo de pesquisa.
Trojan: Win32 / Xadupi: Isso leva a um efeito de bola de neve. Como? O Trojan: Win32 / Xadupi instala um serviço que, por sua vez, instala outros aplicativos indesejados, incluindo Ghokswa e SupTab.
Coletivamente, essas famílias de malware podem causar mais danos e, em certos casos, degradar seriamente a segurança do computador dos usuários, violando aplicativos antivírus, evitando a detecção e introduzindo novos softwares prejudiciais ao longo do tempo.
Como alguém pode ficar protegido? A Microsoft sugere o seguinte:
A solução mais simples e confiável para o problema acima é manter seu sistema operacional Windows e antivírus atualizados. O Windows 10 mantém seu PC protegido contra as ameaças de segurança mais modernas. Ele apresenta mudanças arquitetônicas significativas que são capazes de abordar a maioria das táticas usadas nos ataques. Então, atualize para o Windows 10.
A Microsoft também recomenda que você use o Edge. O navegador avisa sobre sites que não são confiáveis e acreditam que hospedam explorações. Além disso, o navegador oferece proteção contra ataques de engenharia social, como downloads de phishing e malware.
As configurações do navegador também podem ser usadas para configurar a redefinição para os padrões recomendados pela Microsoft, caso os padrões tenham sido alterados ou modificados. Para isso, inicie o aplicativo Configurações e navegue até a página Aplicativos padrão. Então, de casa, vá para Sistema> Aplicativos padrão. Abaixo dela, localize a opção Redefinir e clique nela.
Você também deve evitar navegar em sites com probabilidade de hospedar malware, como sites de download de software pirateados.
Embora o Windows Defender sozinho seja capaz de detectar e remover esse software indesejado, a execução da Ferramenta de Remoção de Software Mal-Intencionado também é uma boa ideia.
Para mais informações, consulte os blogs do TechNet.