O malware usa vários truques para ocultar seu processo RunPE é um dos exemplos comuns do mesmo. A técnica envolve basicamente iniciar um processo conhecido e confiável. Explorer.exe em um estado suspenso. Em seguida, substitui seu código pelo próprio código do malware. E finalmente, inicia-se. A execução de ferramentas como o Process Explorer nem sempre pode ser bem-sucedida na detecção do processo mal-intencionado. Phrozen RunPE Detector é um software gratuito que foi especialmente projetado para detectar e derrotar alguns processos suspeitos como estes.
RunPE Detector para Windows
O que é isso
Colocando em palavras simples, Phrozen RunPE Detector pode ser usado para detectar malware sem arquivos, RATs, Trojans, Crypters Backdoors, Packers e malware residente na memória em computadores Windows. Basicamente, escaneia os cabeçalhos dos seus processos na memória e compara-os às suas imagens de disco. O truque pode parecer simples demais para acreditar, mas funciona. Se um processo foi explorado pelo RunPE, deve haver uma diferença e você verá um alerta.
Como funciona
O RunPE Detector detecta e derrota ataques de hackers que usam as técnicas do RunPE para infectar o sistema de uma das seguintes maneiras:
- Bypass do firewall: essa técnica ignora ou desabilita as regras do firewall ou do firewall do aplicativo.
- Malware packer or crypter: Essa técnica é usada para descompactar ou descriptografar o malware na memória e colocá-lo em um processo genuíno sem gravá-lo no disco, onde ele pode ser descoberto e bloqueado.
O que faz
Phrozen RunPE Detector examina os cabeçalhos PE para cada processo e, em seguida, compara os cabeçalhos PE na memória com os cabeçalhos PE no caminho da imagem do processo. Segundo os desenvolvedores, esse é um método muito simples e eficiente. Existem muitos programas antivírus comerciais disponíveis, que têm a capacidade de realizar esse tipo de verificação, mas o RunPE Detector da Phrozen é uma ferramenta autônoma para executar tais varreduras manualmente. Este programa de segurança foi testado contra vários tipos de malware comumente usados, e as taxas de detecção foram altamente precisas.
Pode ser usado para remover malware?
Este programa oferece aos usuários a opção de remover qualquer malware detectado. Mesmo que seja aconselhável não confiar nele completamente. Se você encontrar um problema, usar um mecanismo antivírus completo para investigar seria uma boa ideia. Pode ser muito útil na detecção de malware residente na memória, como o malware Fileless.
O que não faz
O RunPE Detector identifica facilmente os processos seqüestrados, examinando todos os arquivos do aplicativo no sistema e, em seguida, compara seus cabeçalhos PE com um processo em execução para detectar o ponto de infecção. Mas ele não identifica os locais do host quando o código malicioso é carregado com um empacotador de malware ou crypter. Esse é um dos motivos pelos quais os desenvolvedores da Phrozen recomendaram o uso de uma solução antivírus comercial para remover o malware.
Veredicto Final
Como a técnica RunPE é tão usada com RATs, Cavalos de Tróia, Backdoors Crypters e Packers usando o RunPE Detector, é uma abordagem inteligente para garantir que seu sistema esteja livre dos tipos mais destrutivos de malware.
O RunPE ainda é um tipo de ataque comum e, como Phrozen RunPE Detector, é uma solução compacta, portátil e sem strings. Então, nós recomendamos que você pegue uma cópia deste kit de ferramentas de segurança.
Phrozen RunPE Detector detecta processos comprometidos com RunPE somente se eles forem de 32 bits. É compatível com sistemas de 64 bits, mas não pode executar varreduras atualmente, aparentemente a varredura de 64 bits virá em breve.
