Instruções de remoção para o malware ChromeLoader
Escrito por Tomas Meskauskas a
O que é ChromeLoader?
O ChromeLoader foi o primeiro analisado por x3ph, e depois apelidado pelos pesquisadores G-Data como carregador Choziosi. Este malware foi projetado para instalar a(s) extensão(s) maliciosa(s) nos navegadores. Atualmente, as duas variantes distintas do ChromeLoader foram detectadas - uma voltada para sistemas operativos Windows e outra - sistemas operativos Mac.
É digno de nota que este software malicioso foi ativamente distribuído através do Twitter sob forma de códigos QR que promovem software pirata (principalmente jogos de vídeo) e meios (filmes/TV).
Visão geral do malware ChromeLoader
Conforme mencionado na introdução, o ChromeLoader destina-se a instalar extensões maliciosas nos navegadores. A cadeia de infecção observada começou com Tweets (posts do Twitter) anunciando conteúdo pirata através de códigos QR (apresentados no formato meme) que induzia as vítimas a descarregar um ficheiro ISO.
Os pesquisadores G-Data realizaram uma análise aprofundada deste carregador e da extensão maliciosa. A sua pesquisa descobriu que o ficheiro ISO consiste em dois componentes - "_meta.txt" e "downloader.exe", o primeiro contém um script PowerShell enquanto o último é usado para desencriptá-lo.
O PowerShell cria uma tarefa intitulada "ChromeTask" (pode variar), que está agendada para ser executada a cada dez minutos. O script do PowerShell também descarrega a extensão maliciosa do navegador Google Chrome "archive.zip". No entanto, devido à repetição de tarefas, algumas vítimas deste malware relataram que os seus navegadores Chrome se fecham continuamente (o que é um descuido que provavelmente incentiva a detecção mais rápida do ChromeLoader).
Vale ressalvar que "downloader.exe" pode mostrar aos utilizadores um alerta a informar que o sistema operativo é incompatível com o software.
A análise de G-Data concentrou-se na extensão maliciosa do navegador, pois não havia sido minuciosamente pesquisada antes. A extensão do Chrome está muito ofuscada, o que complica a análise.
Este software emprega técnicas de garantia de persistência; especificamente, nega o acesso à lista de extensões do Google Chrome ("chrome://extensions/") ao redirecionar os utilizadores para as configurações gerais ("chrome://settings") - impedindo-os assim de remover a extensão maliciosa.
As funcionalidades da extensão do Chrome foram reveladas como a actividade do adware e sequestrador de navegador. Por outras palavras, este malware visa exibir anúncios fraudulentos/maliciosos e modificar as configurações do navegador para causar redirecionamentos para mecanismos de pesquisa falsos (possivelmente concluindo com os legítimos, como Google, Yahoo, Bing, etc.).
O uso do PowerShell e a ofuscação extensiva é incomum para adware e sequestradores de navegador, mas é padrão para programas de roubo de informações, spyware e outros malwares. No entanto, não é improvável que o ChromeLoader ainda esteja em desenvolvimento e seja atualizado com funcionalidades prejudiciais adicionais. Independentemente disso, o ChromeLoader ainda apresenta ameaças significativas em sua forma atual.
A pesquisa feita por Colin Cowie, determinou que a versão Mac do ChromeLoader opera de forma semelhante à variante Windows (ou seja, mostra anúncios, causa redirecionamentos). O que chama a atenção nessa versão é que pode instalar extensões maliciosas nos navegadores Google Chrome e Safari.
Se suspeitar que o seu dispositivo está infectado com o malware ChromeLoader, recomendamos o uso de um antivírus para removê-lo sem demora.
| Nome | vírus ChromeLoader |
| Tipo de Ameaça | Anúncios indesejados, anúncios pop-up, redirecionamentos indesejados |
| Nomes de Detecção (ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.98155), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:MSIL/Tnega!mclg), Lista Completa de Detecções (VirusTotal) |
| Nomes de Detecção (EXE within ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.38585118), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:Win32/Tnega!ml), Lista Completa de Detecções (VirusTotal) |
| Nomes de Detecção (variante Mac) | Avast (MacOS:Agent-TJ [Trj]), Combo Cleaner (Adware.MAC.Chropex.B), GData (Adware.MAC.Chropex.B), Kaspersky (Not-a-virus:HEUR:AdWare.OSX.Agent.ag), Lista Completa de Detecções (VirusTotal) |
| Sintomas | Ver anúncios não originários dos sites que está a navegar. Os anúncios pop-up intrusivos. Diminuição da velocidade de navegação na Internet. Configurações do navegador de Internet manipuladas. Os utilizadores são forçados a visitar o site do sequestrador e pesquisar na Internet a usar os seus mecanismos de pesquisa. |
| Métodos de Distribuição | Anúncios pop-up enganosos, alegações falsas dentro dos websites visitados, aplicações potencialmente indesejadas (adware) |
| Danos | Desempenho do computador diminuído, rastreio do navegador - problemas de privacidade, possíveis infecções adicionais por malware. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Exemplos de adware e sequestrador de navegador
O ChromeLoader tem funcionalidades de software com suporte para publicidade e de sequestrador de navegador. Normalmente, os programas dentro das classificações de adware/sequestrador de navegador não usam técnicas tão sofisticadas como o ChromeLoader (o que pode significar que este malware deve ter recursos maliciosos adicionais, como roubo de dados, espionagem etc.).
To Go Web, Keep Secure Search, Tap togo são alguns exemplos de sequestradores de navegador comuns que analisamos e fake Google Translate extension, Files Download Now, Down Assist - de adware.
Note que, independentemente de como um programa malicioso opere, a sua presença num sistema põe em risco a segurança do dispositivo/utilizador. Portanto, todas as ameaças devem ser eliminadas imediatamente após a detecção.
Como é que ChromeLoader se infiltrou no meu computador?
Conforme detalhado anteriormente, o ChromeLoader foi notavelmente proliferado através de Tweets que promovem conteúdo ilegal (ou seja, jogos de vídeo piratas, software de edição, filmes, séries de TV etc.) através de códigos QR projetados para atrair os utilizadores a descarregar um ficheiro ISO infeccioso.
No entanto, é possível que o malware ChromeLoader seja distribuído noutras plataformas e potencialmente também sob diferentes disfarces.
O malware é comumente distribuído ao usar várias técnicas; phishing e engenharia social são muito usados na distribuição de software malicioso. Os ficheiros virulentos podem ser ficheiros, executáveis, PDF e documentos Microsoft Office, JavaScript, etc. Assim que um ficheiro malicioso é aberto - a cadeia de infecção é iniciada.
Os métodos mais comuns de proliferação de malware incluem: descarregamentos drive-by (furtivos e fraudulentos), e-mails/mensagens de spam, fraudes online, sites de descarregamento de freeware e de terceiros, redes de partilha P2P (por exemplo, clientes Torrent, eMule, etc. ), ferramentas ilegais de ativação de programas ("cracks"), atualizações falsas e publicidade maliciosa.
Como evitar a instalação de malware?
Recomendamos ter precaução ao navegar, pois conteúdo ilegítimo e malicioso tende a parecer inofensivo. Além disso, recomendamos o descarregamento apenas de fontes oficiais e verificadas.
É tão importante ativar e atualizar o software a usar funções/ferramentas fornecidas por desenvolvedores genuínos quanto aquadquiridos de terceiros podem conter malware.
Outra recomendação é abordar as correspondências recebidas com cuidado. Os anexos e links encontrados em e-mails e mensagens suspeitos/irrelevantes - não devem ser abertos - pois isso pode conduzir a uma infecção do sistema.
Devemos enfatizar a importância de ter um antivírus confiável instalado e atualizado. Os programas de segurança devem ser usados para executar verificações regulares do sistema e remover ameaças e problemas. Se acredita que o seu computador já está infectado, recomendamos executar uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Screenshot do conteúdo do ficheiro ISO do ChromeLoader:
Mensagem de erro exibida quando o ChromeLoader é executado:
Menu rápido:
- O que é ChromeLoader?
- PASSO 1. Desinstalar as aplicações do adware utilizando o Painel de Controlo.
- PASSO 2. Remova os plug-ins do Google Chrome.
- PASSO 3. Remova as extensões do tipo adware do Mozilla Firefox.
- PASSO 4. Remova as extensões maliciosas do Safari.
- PASSO 5. Remova as extensões fraudulentas do Microsoft Edge.
Remoção do adware:
Utilizadores Windows 10:
Clique com o botão direito do rato no canto inferior esquerdo do ecrã, seleccione Painel de Controlo no Menu de Acesso Rápido. Na janela aberta, escolha Desinstalar um Programa.
Utilizadores Windows 7:
Clique Início ("Logo Windows" no canto inferior esquerdo do seu ambiente de trabalho), escolha o Painel de Controlo. Localize Programas e clique em Desinstalar um programa.
Utilizadores macOS (OSX):
Clique Finder, na janela aberta selecione Aplicações. Arraste a app da pasta das Aplicações para a Reciclagem (localizado em Dock), e depois clique com o botão direito no botão da Reciclagem e selecione Esvaziar Reciclagem.
Na janela de desinstalação dos programas, procure por aplicações potencialmente indesejadas, seleccione estas entradas e clique em "Desinstalar" ou "Remover".
Depois de desinstalar a aplicação potencialmente indesejada, faça uma verificação no seu computador por qualquer componente restante indesejado ou infecções por malware possível. Para fazer a verificação do seu computador, use o software de remoção de malware recomendado.
Remoção do adware dos navegadores da Internet:
O vídeo demonstra como remover complementos potencialmente indesejados do navegador:
Remova as extensões maliciosas do Google Chrome:
Clique no ícone do menu do Chrome 
(no canto superior direito do Google Chrome), seleccione "Mais ferramentas" e clique em "Extensões". Localize todos os complementos de navegador suspeitos recentemente instalados e remova-os.
Método opcional:
Se continuar a ter problemas com a remoção do vírus chromeloader, reinicie as configurações do navegador do Google Chrome. Clique no Chrome menu icon (no canto superior direito do Google Chrome) e selecione Settings. Faça scroll para o fundo do ecrã. Clique em Advanced… link.
Depois de descer para a parte de baixo do ecrã, clique no botão Reset (Restore settings to their original defaults).
Na janela aberta, confirme que deseja redefinir as configurações do Google Chrome para o padrão, clicando no botão Reset.
Remova os plug-ins do Mozilla Firefox:
Clique no menu Firefox 
(no canto superior direito da janela principal), seleccione "Add-ons". Clique em "Extensões", na janela aberta, remova todos os plug-ins de navegador suspeitos recentemente instalados.
Método opcional:
Os utilizadores de computador que estão a ter problemas com a remoção dos vírus chromeloader, podem repor as suas definições do Mozilla Firefox. Abra o Mozilla Firefox, no canto superior direito da janela principal clique no menu Firefox , na caixa do menu suspenso escolha Menu de Ajuda Aberto e selecione o menu de ajuda firefox 
.
Selecione Informação de Soluções de Problemas.
Na janela aberta, clique no botão Repor Firefox.
Nas janelas abertas confirme que quer restaurar as suas configurações do Mozilla Firefox para padrão, clicando no botão Repor.
Remova extensões fraudulentas do Safari:
Certifique-se de que o seu navegador Safari está ativo, clique no menu Safari, e depois selecione Preferências….
Na janela de preferências selecione o separador Extensões. Procure todas as extensões recentemente instaladas e desinstale as suspeitas.
Na janela de preferências selecione o separador Geral e certifique-se que a sua página inicial está definida para o URL preferido, se for alterado por um sequestrador de navegador - altere-o.
Na janela de preferências selecione o separador Pesquisar e certifique-se que a sua página de pesquisa de Internet preferida está definida.
Método opcional:
Certifique-se de que o seu navegador Safari está ativo e clique no menu Safari. Do menu suspenso, selecione Limpar Histórico e Dados dos Sites.
Na janela aberta selecione histórico todo e clique no botão Limpar Histórico.
Remova as extensões maliciosas do Microsoft Edge:
Clique no ícone do menu Edge 
(chromium) (no canto superior direito do Microsoft Edge), selecione "Extensões". Localize quaisquer complementos suspeitos do navegador recentemente instalados e remova-os.
Altere a sua página inicial e as novas configurações do separador:
Clique no ícone do menu Edge (chromium) (no canto superior direito do Microsoft Edge), selecione "Configurações". Na seção "Inicialização", procure o nome do seqUestrador de navegador e clique em "Desativar".
Altere o seu mecanismo de pesquisa da Internet padrão:
Para alterar o seu mecanismo de pesquisa padrão no Microsoft Edge: Clique no ícone de menu Edge (chromium) (no canto superior direito do Microsoft Edge), selecione "Privacidade e serviços", role para a parte inferior da página e selecione "Endereço Barra". Na seção "Mecanismos de pesquisa usados na barra de endereço", procure o nome do mecanismo de pesquisa indesejado na Internet. Quando localizado, clique no botão "Desativar" ao lado. Como alternativa, pode clicar em "Gerir mecanismos de pesquisa", no menu aberto, procure por mecanismos de pesquisa indesejados na Internet. Clique no ícone do puzzle Microsoft Edge (Chromium) 
junto e selecione "Desativar".
Método opcional:
Se continuar a ter problemas com a remoção do vírus chromeloader, redefina as configurações do navegador Microsoft Edge. Clique no ícone do menu Edge (chromium) (no canto superior direito do Microsoft Edge) e selecione Configurações.
No menu de configurações aberto, selecione Redefinir configurações.
Selecione Restaurar configurações para os seus valores padrão. Na janela aberta, confirme que deseja redefinir as configurações do Microsoft Edge para o padrão, clicando no botão Redefinir.
- Se isso não ajudou, siga estas instruções alternativas, explicando como redefinir o navegador Microsoft Edge.
Resumo:
Um sequestrador de navegadir é um tipo de adware que altera as configurações do navegador de Internet do utilizador mudando o motor de busca e a página inicial padrão para sites indesejados.Mais comummente, este tipo de adware infiltra-se no sistema operacional do utilizador através de descarregamentos de software gratuito. Se o seu descarregamento for gerido por um cliente de descarregamento, certifique-se de excluir da instalação barras de ferramentas ou aplicações promovidas que procuram mudar o seu motor de busca e página inicial de Internet padrão.
Ajuda na remoção:
Se estiver a experienciar problemas ao tentar remover vírus chromeloader a partir dos seus navegadores de Internet, por favor, peça ajuda no nosso fórum de remoção de malware.
Deixe um comentário:
Se tiver informações adicionais sobre vírus chromeloader ou a sua remoção por favor, partilhe o seu conhecimento na secção de comentários abaixo.
Fonte: https://www.pcrisk.com/removal-guides/23957-chromeloader-malware
Perguntas Frequentes (FAQ)
Qual é o objetivo do malware ChromeLoader?
O ChromeLoader foi projetado para instalar extensões maliciosas nos navegadores das vítimas. No momento da pesquisa, a extensão do navegador ChromeLoader exibia qualidades de adware e sequestrador de navegador. Por outras palavras, exibiu anúncios e modificou as configurações do navegador para causar redirecionamentos. Devido à marca bastante complicada do ChromeLoader, é possível que este programa malicioso seja atualizado com recursos mais prejudiciais (por exemplo, extração de dados confidenciais, gravação de informações etc.).
Quais são as ameaças representadas por adware e infecções por sequestradores de navegador?
Os sequestradores de navegador alteram as configurações do navegador (e podem usar táticas de garantia de persistência para impedir que os utilizadores os acedam/alterem) para causar redirecionamentos para mecanismos de pesquisa falsos. Os redirecionamentos podem ocorrer quando novos separadores/janelas do navegador são abertos, consultas de pesquisa são digitadas na barra de URL, etc. Os mecanismos de pesquisa ilegítimos geralmente recolhem informações sobre os seus visitantes. Como estes sites raramente são capazes de gerar resultados de pesquisa, redirecionam para sites legítimos (por exemplo, Google, Bing, Yahoo, etc.).
O adware é projetado para exibir anúncios em sites visitados e/ou outras interfaces; alguns tipos também podem forçar a abertura de sites e recolher dados privados. Os anúncios exibidos são conhecidos por promover conteúdo fraudulento/malicioso, e alguns podem fazer descarregamentos/instalações furtivos (quando clicados).
Portanto, a presença destes programas num dispositivo pode conduzir a infecções do sistema, problemas graves de privacidade, perdas financeiras e roubo de identidade.
Como é que o malware ChromeLoader se infiltrou no meu computador?
O ChromeLoader foi ativamente proliferado através de postagens no Twitter a promover programas/média piratas através de códigos QR que induzem os utilizadores a instalar um ficheiro ISO virulento. Em geral, o malware é distribuído principalmente através de descarregamentos drive-by, fraudes online, e-mails e mensagens de spam, fontes de descarregamento não confiáveis (por exemplo, sites não oficiais e freeware, redes de partilha peer-to-peer, etc.), ativação ilegal de programas ("cracking ") ferramentas, atualizações falsas e publicidades maliciosas.
O Combo Cleaner vai proteger-me contra o malware?
Sim, o Combo Cleaner pode detectar e eliminar quase todas as infecções de malware conhecidas. No entanto, é essencial realizar uma verificação completa do sistema, pois os programas maliciosos de última geração geralmente ocultam-se profundamente nos sistemas.
Excelente!
▼ Mostrar comentários