FacebookTwitterLinkedIn

Como remover ObliqueRAT da máquina comprometida?

Também Conhecido Como: vírus ObliqueRAT
Tipo: Trojan
Nível de Estragos: Grave

Tomas Meskauskas Escrito por a

Guia de remoção do vírus ObliqueRAT

O que é ObliqueRAT?

Um trojan de acesso remoto (administração) ou RAT é um tipo de malware que permite que os criminosos cibernéticos acedam e controlem remotamente às máquinas infectadas. Normalmente, os RATs são usados ​​para distribuir outro malware (infectar os computadores com outro software malicioso), espiar vítimas e recolher informações confidenciais e (ou) executar ataques DDoS (negação de serviço distribuída). ObliqueRAT é um RAT que já foi atualizado várias vezes (há pelo menos cinco variantes do ObliqueRAT). Sabe-se que a campanha de distribuição do ObliqueRAT começou em abril de 2020. Tem como alvo organizações no Sul da Ásia e ainda está em andamento.

Malware ObliqueRAT

A pesquisa demonstra que a versão mais recente do ObliqueRAT pode recolher informações do sistema, como nome do computador, nome da conta do utilizador, versão do sistema operativo, verificar diretórios e ficheiros. também pode interromper sua execução em computadores que possuem nomes de utilizador específicos (por exemplo, usados ​​por pesquisadores de malware) ou quando detecta certos processos (por exemplo, processos pertencentes a máquinas virtuais/software VM) em execução nos computadores afetados. Sabe-se que o ObliqueRAT pode enumerar ficheiros nas unidades da máquina infectada e extrair ficheiros com extensões .csv, .doc, .docx, .pdf, .ppt., .Pptx., .Txt., .Xls, .xlsx de as unidades removíveis. Além disso, o ObliqueRAT pode aceder a webcam e gravar vídeos e capturar o ecrã (tirar screenshots). É comum que os criminosos cibernéticos usem este material para chantagear as vítimas ou para extrair informações confidenciais (como palavras-passe, detalhes de cartão de crédito, números de previdência social, etc.). Além disso, o ObliqueRAT tem a funcionalidade de um conta-gotas - pode ser usado para instalar malware ou outro software indesejado no sistema de destino. Além disso, é capaz de eliminar e executar um ficheiro responsável por estabelecer a persistência. Portanto, pode-se presumir que o ObliqueRAT é usado principalmente para extrair ficheiros armazenados nas máquinas infectadas, registar a entrada da webcam e capturar o ecrã. No entanto, é muito provável que, no futuro, o ObliqueRAT tenha mais funcionalidades adicionadas.

Resumo de Ameaça:
Nome vírus ObliqueRAT
Tipo de Ameaça Trojan de Acesso Remoto
Nomes de Detecção Avast (Win32:Trojan-gen), BitDefender (Trojan.GenericKD.45754215), ESET-NOD32 (Win32/Agent.ACQR), Kaspersky (UDS:DangerousObject.Multi.Generic), Microsoft (Trojan:Win32/CryptInject!MSR), Lista Completa (VirusTotal)
Sintomas Os trojans de administração remoto são projetados para infiltrar-se furtivamente no computador da vítima e permanecer silenciosos, portanto, nenhum sintoma específico é claramente visível numa máquina infectada.
Métodos de Distribuição Anexos de e-mail infectados, os anúncios online maliciosos, engenharia social, 'crackings' de software.
Danos Palavras-passe e informações bancárias roubadas, roubo de identidade, o computador da vítima adicionado a um botnet.
Remoção do Malware (Windows)

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.
▼ Descarregar Combo Cleaner
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.

Existem muitos RATs que os criminosos cibernéticos usam para espiar as suas vítimas, roubar os seus ficheiros, infectar os seus computadores com outro malware e realizar outras ações. Alguns exemplos são Elephant RAT, CinaRAT, Orcus RAT. Na maioria dos casos, os utilizadores de computadores que possuem um RAT instalado sofrem perdas monetárias, perdem o acesso a contas pessoais, ficheiros, tornam-se vítimas de roubo de identidade, têm os seus computadores infectados com outro malware (por exemplo, ransomware), ou encontram outros problemas graves . Portanto, os utilizadores que suspeitam da presença de um RAT são fortemente aconselhados a removê-lo o mais rápido possível.

Como é que ObliqueRAT se infiltrou no meu computador?

A pesquisa demonstra que o ObliqueRAT é distribuído através de documentos maliciosos do Microsoft Office (screenshots de dois destes documentos podem ser encontrados abaixo). Esses documentos descarregam o ficheiro de imagem BMP (bitmap) que contém um ficheiro ZIP que contém ObliqueRAT (documentos maliciosos extraem o ficheiro ZIP e executam a carga extraída - ObliqueRAT). Sabe-se que os ficheiros de imagem descarregues por documentos maliciosos do Microsoft Office são hospedados em sites comprometidos. Normalmente, os criminosos cibernéticos tentam induzir os utilizadores a abrir documentos maliciosos, a enviar-os por e-mail. Os seus e-mails são disfarçados como cartas importantes e urgentes de organizações legítimas. Podem conter não apenas documentos do Microsoft Office, mas também ficheiros JavaScript, ZIP, RAR e outros ficheiros compactados, documentos PDF, EXE e outros ficheiros executáveis. É importante mencionar que os documentos do MS Office não executam comandos de macros a menos que os utilizadores permitam (a menos que ativem a edição ou o conteúdo de um documento). Embora não se aplique a documentos mal-intencionados abertos com o MS Office lançado antes de 2010: as versões mais antigas do MS Office não têm o modo "Visualização protegida", que evita que documentos mal-intencionados instalem malware automaticamente. Exemplos de outros canais que os criminosos cibernéticos usam para distribuir malware são fontes não confiáveis ​​para descarregamento de software (como páginas não oficiais, descarregadores de terceiros, redes peer-to-peer), atualizadores e instaladores falsos e ferramentas de 'cracking'.

Como evitar a instalação de malware?

Os programas instalados devem ser atualizados e ativados através de/com ferramentas ou funções implementadas que os seus desenvolvedores oficiais fornecem. Nunca é demais usar ferramentas não oficiais de terceiros para atualizar ou ativar qualquer software. Muitas vezes, vêm com malware. Outro problema com a ativação de software com ferramentas não oficiais é que não é legal, nem é legal usar software 'crackeado' (pirateado). Além disso, anexos de e-mail e links de sites em e-mails irrelevantes recebidos de remetentes desconhecidos e suspeitos não devem ser abertos/não são confiáveis. É comum que e-mails deste tipo sejam usados ​​como canais de entrega de malware. Os programas e ficheiros devem ser descarregues de sites oficiais e apenas através de links diretos. Outras fontes, ferramentas para descarregar ficheiros ou programas podem ser usados ​​para distribuir programas maliciosos. Usualmente, Os criminosos cibernéticos tentam induzir os utilizadores a descarregar ficheiros maliciosos através de canais não confiáveis, disfarçando os seus ficheiros como normais. Uma coisa importante é verificar o sistema operativo à procura de malware e quaisquer outras ameaças regularmente. Isso deve ser feito a usar um software antivírus ou anti-spyware confiável e deve ser feito regularmente. Se acredita que o seu computador já está infectado, recomendamos executar uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.

Documento malicioso a distribuir ObliqueRAT:

Documento malicioso de malware obliquerat usado para distribuir obliquerat 1

Outro documento a distribuir ObliqueRAT:

Documento malicioso de malware obliquerat usado para distribuir obliquerat 2

Remoção automática instantânea do malware: A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
 ▼ DESCARREGAR Combo Cleaner O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Como remover malware manualmente?

A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner. Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:

processo fraudulento em execução no exemplo de computador do utilizador

Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estes passos:

manual malware removal step 1Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:

screenshot of autoruns application

manual malware removal step 2Reinicie o computador no Modo de Segurança:

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador, prima a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com Rede Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de Início" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operativo no Modo de Segurança com Rede.

Modo de Segurança com Rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

manual malware removal step 3Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.

extraia autoruns.zip e execute autoruns.exe

manual malware removal step 4Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar".

Clique em 'Opções' no topo e desmarque as opções 'Ocultar locais vazios' e 'Ocultar entradas do Windows'

manual malware removal step 5Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.

Deve anotar o caminho completo e o nome. Note que alguns malwares ocultam os seus nomes de processos com nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o rato sobre o nome e escolha "Excluir"

localize o ficheiro de malware que deseja remover

Depois de remover o malware através da aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o nome malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de o eliminar.

a procurar o ficheiro do malware no seu computador

Inicie o seu computador no Modo de Segurança. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer capacidades avançadas de computação. Se não tiver essas capacidades, deixe a remoção de malware para programas antivírus e anti-malware. Esses passos podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operativo e de usar o software antivírus.

Para garantir que o seu computador está livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.

▼ Mostrar comentários

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Instruções de remoção em outras línguas
Guia de Remoção de novos vírus
Guias de Remoção dos Vírus principais
Code QR
vírus ObliqueRAT Code QR
Digitalize o código QR para ter um guia de remoção de acesso fácil de vírus ObliqueRAT no seu dispositivo móvel.
Nós recomendamos:

Livre-se hoje das infecções por malware Windows:

▼ REMOVER AGORA
Descarregar Combo Cleaner

Plataforma: Windows

Classificação do editor para Combo Cleaner:
ClassificaçãoExcelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.