Como remover o malware LOBSHOT do seu computador
Escrito por Tomas Meskauskas a (atualizado)
O que é LOBSHOT?
O LOBSHOT é um tipo de malware com uma característica denominada hVNC (Computação em Rede Virtual Oculta) que permite aos invasores aceder ao computador da vítima sem serem notados. O componente hVNC é eficaz na evasão dos sistemas de detecção de fraudes. Além disso, o LOBSHOT está a ser utilizado para levar a cabo crimes financeiros através da utilização de trojans bancários e funcionalidades de roubo de informação.
Mais sobre LOBSHOT
Inicialmente, o LOBSHOT cria uma estrutura personalizada que inclui um catálogo de informações como o GUID da máquina, a edição do Windows, o nome do computador e o nome de utilizador, os detalhes do objecto do ambiente de trabalho do Windows, o número de processos em execução, o ID do processo de malware e o processo principal, a resolução do ecrã, as informações do dispositivo de visualização, o DPI do(s) ecrã(s), bem como os identificadores dos objectos do ambiente de trabalho e das janelas.
Após a execução, o LOBSHOT cria um duplicado de si próprio no directório "C:\ProgramData", lança um novo processo utilizando o explorer.exe, termina o processo original e, subsequentemente, remove o ficheiro original. Esta abordagem é utilizada para ocultar a linhagem da árvore de processos e tornar a detecção mais difícil para os analistas.
O LOBSHOT utiliza o método de persistência de chave de execução do Registo para manter a sua persistência. Assim que o LOBSHOT estabelece o seu mecanismo de persistência, inicia um novo protocolo para activar a sua funcionalidade de roubo. Este processo começa por visar extensões de navegador relacionadas com encriptação (incluindo numerosas extensões de carteira do Chrome, Edge e Firefox).
O módulo hVNC do LOBSHOT é outra capacidade significativa do malware. Neste ponto, a máquina comprometida começa a enviar screenshots do ambiente de trabalho encoberto para um cliente sob o controlo do invasor. O invasor tem o controlo remoto completo do dispositivo, utilizando o cliente para manipular o teclado, clicar em botões e mover o rato.
O módulo hVNC do LOBSHOT permite que o invasor execute vários comandos. Estes comandos incluem o início de um novo processo explorer.exe, o lançamento do comando Executar do Windows, o início de um novo processo do Windows com um comando fornecido, o lançamento de navegadores de Internet como o Internet Explorer, o Edge e o Firefox, o encerramento de processos explorer.exe existentes, a adulteração das definições de som do Windows, a definição ou recuperação de texto da Área de Transferência e a activação do Menu Iniciar.
Nome | vírus LOBSHOT |
Tipo de Ameaça | Ladrão de informação, Trojan de administração remota |
Nomes de Detecção (LOBSHOT) | Avast (Win32:BackdoorX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.271868), ESET-NOD32 (Uma Variante De Win32/Agent.AEYE), Kaspersky (Backdoor.Win32.DarkVNC.rr), Microsoft (Trojan:Win32/Sdaloog.C), Lista Completa (VirusTotal) |
Domínios Relacionados | anydeskcloud[.]tech |
Nomes de Detecção (anydeskcloud[.]tech) | AlphaSOC (Malware), Combo Cleaner (Malware), ESET (Malware), Forcepoint ThreatSeeker (Malicious), G-Data (Malware), Lista Completa de Detecções (VirusTotal) |
Sintomas | O LOBSHOT foi projetado para infiltrar-se furtivamente no computador da vítima e permanecer em silêncio, de modo que nenhum sintoma específico é claramente visível numa máquina infectada |
Métodos de Distribuição | Anúncios online maliciosos, sites falsos, instaladores maliciosos |
Danos | Palavras-passe e informações bancárias roubadas, roubo de identidade, infecções adicionais, perdas monetárias e muito mais |
Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Danos Possíveis
Os criminosos cibernéticos podem usar o LOBSHOT para uma variedade de actividades maliciosas. Foi observado que o LOBSHOT emprega trojans bancários e capacidades de roubo de informação, o que significa que pode roubar dados sensíveis do computador da vítima, incluindo informação financeira.
Com o seu módulo hVNC, os invasores podem obter controlo remoto total do dispositivo infectado, permitindo-lhes executar uma vasta gama de actividades maliciosas. Além disso, o LOBSHOT pode iniciar novos processos e modificar as configurações de som do Windows. De forma geral, o LOBSHOT pode causar danos significativos ao computador da vítima e colocar as suas informações confidenciais em risco.
Como é que LOBSHOT se infiltrou no meu computador?
Esta cadeia de infecção começa com um utilizador a fazer uma pesquisa na Internet por software legítimo (por exemplo, AnyDesk). No entanto, um dos resultados da pesquisa em que o utilizador clica é um anúncio do Google, que o leva a uma página de destino mascarada para o descarregamento do software. O utilizador descarrega e executa um instalador MS a partir desta página, que inicia o PowerShell.
Em seguida, o PowerShell descarrega o malware LOBSHOT e executa-o através do rundll32. Assim que o LOBSHOT é executado, inicia as suas actividades maliciosas, que incluem o roubo de informação sensível e o fornecimento de acesso remoto ao invasor através do seu módulo hVNC.
Como evitar a instalação de malware?
Tenha cuidado ao descarregar e instalar software de fontes desconhecidas, especialmente se for uma versão pirateada ou danificada. Certifique-se de que mantém o seu sistema operativo e todo o software actualizado com as últimas correcções e actualizações de segurança. Utilize um antivírus ou software de segurança de boa reputação e mantenha-o actualizado.
Desconfie de anexos de emails, ligações ou pop-ups suspeitos e evite clicar neles. Descarregue apenas software e ficheiros de fontes respeitáveis (páginas e lojas oficiais). Se acredita que o seu computador já está infectado, recomendamos a execução de uma análise com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Site falso do AnyDesk a distribuir LOBSHOT:
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é LOBSHOT?
- PASSO 1. Remoção manual do malware LOBSHOT.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner.
Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:
Reinicie o computador no Modo de Segurança:
Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador, prima a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo de Segurança com Rede da lista.
O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":
Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançadas, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada.
Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização".
Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Prima F5 para iniciar no Modo de Segurança com Rede.
O vídeo demonstra como iniciar Windows 8 "Modo de Segurança com Rede"::
Utilizadores Windows 10: Clique no logótipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas".
No menu de opções avançadas, selecione "Configurações de Início" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operativo no Modo de Segurança com Rede.
O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":
Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar"..
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.
Deve anotar o caminho completo e o nome. Note que alguns malwares ocultam os seus nomes de processos com nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o rato sobre o nome e escolha "Excluir".
Depois de remover o malware através da aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o nome malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de o eliminar.
Inicie o seu computador no Modo de Segurança. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer capacidades avançadas de computação. Se não tiver essas capacidades, deixe a remoção de malware para programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operativo e de usar o software antivírus. Para garantir que o seu computador está livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.
Perguntas Frequentes (FAQ)
O meu computador está infectado com o malware LOBSHOT, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação do seu dispositivo de armazenamento pode remover o malware LOBSHOT, mas é um passo drástico que resultará na perda de todos os dados no dispositivo afectado. Antes de dar esse passo, é recomendável tentar remover o malware usando um software anti-malware credível.
Quais são os maiores problemas que o malware pode causar?
As consequências da infecção por malware podem variar e podem incluir roubo de identidade, danos financeiros, diminuição do desempenho do computador, infecções adicionais e outros danos.
Qual é o objetivo do malware LOBSHOT?
O objectivo do malware LOBSHOT é roubar informações sensíveis, tais como palavras-passe e credenciais de carteiras de criptomoedas, dos sistemas infectados. Também tem capacidades de controlo remoto total do dispositivo infetado, permitindo ao invasor executar comandos e interagir com o sistema através de um módulo de computação de rede virtual oculto.
Como é que o malware LOBSHOT se infiltrou no meu computador?
O malware LOBSHOT infiltrou-se no seu computador depois de ter clicado num anúncio do Google, levando-o a um site falso que se disfarçava como sendo um descarregamento de software legítimo. Em seguida, o utilizador descarregou e executou um instalador MS a partir dessa página, que lançou o PowerShell. Através do PowerShell, o LOBSHOT foi descarregue e executado via rundll32, permitindo-lhe executar as suas actividades maliciosas.
O Combo Cleaner vai proteger-me contra o malware?
O Combo Cleaner pode detectar e remover a maioria dos tipos de infecções por malware conhecidas. No entanto, é importante notar que o malware sofisticado muitas vezes oculta-se profundamente no sistema. Portanto, é altamente recomendável executar uma análise completa do sistema para garantir a remoção completa.
▼ Mostrar comentários