FacebookTwitterLinkedIn

Trojan Ave Maria

Também Conhecido Como: malware Ave Maria
Tipo: Trojan
Nível de Estragos: Grave

Tomas Meskauskas Escrito por a (atualizado)

Guia de remoção do vírus Ave Maria

O que é Ave Maria?

Ave Maria é um trojan de alto risco projetado para roubar várias informações e causar "infecções em cadeia" (disseminar outras infecções). É tipicamente proliferado usando várias campanhas de email de spam. Os criminosos enviam milhares de e-mails enganosos que contêm anexos infecciosos, a maioria dos quais são ficheiros do Microsoft Office (geralmente Excel). Os e-mails são exibidos com mensagens incentivando os utilizadores a abrir o documento anexado, no entanto, isso resulta na infiltração de Ave Maria.

Malware Ave Maria

Um dos e-mails que examinamos foi uma confirmação do pedido, que continha uma "fatura" anexada. A mensagem afirma essencialmente que as informações relativas a um tipo de pedido são fornecidas no documento anexo e incentiva os utilizadores a revê-lo. Isso, no entanto, resulta numa infecção por malware. Este e-mail em particular foi supostamente enviado por um funcionário da empresa Mignon Sista International, no entanto, trata-se de uma tática enganosa - os ciber criminosos geralmente alegam ser funcionários de empresas populares ou agências governamentais para dar a impressão de legitimidade, já que os utilizadores são muito mais prováveis para abrir anexos que são recebidos de nomes familiares. Os desenvolvedores desse vírus geralmente têm como alvo pequenas empresas, em vez de utilizadores comuns. Portanto, a maioria dos destinatários são funcionários/proprietários de várias empresas e negócios. Isso, no entanto, não significa que os utilizadores regulares estejam seguros. O vírus Ave Maria foi desenvolvido para rastrear informações e registar as teclas digitadas pelas vítimas. Essas infecções são usadas para recolher informações pessoais, como logins/palavras-passe (de e-mails, redes sociais, etc.), informações de cartão de crédito e assim por diante. Ter essas informações roubadas é muito arriscado. Os criminosos visam gerar o máximo de rendimento possível. Portanto, provavelmente usarão de maneira incorreta as contas roubadas. Se obtiverem acesso a contas bancárias, poderão roubar todos os fundos por transferência para as suas contas ou por meio de compras on-line. E-mails, redes sociais e outras contas podem ser usadas para roubar identidades e executar várias ações maliciosas (por exemplo, enviar malware para os contatos das vítimas, pedir aos contatos para emprestar dinheiro e assim por diante). Além disso, Ave Maria injeta no sistema mais malwares. Na época da pesquisa, Ave Maria estava acostumada a proliferar outro trojan de roubo de dados chamado LokiBot. No entanto, a lista de recursos do Ave Maria inclui o descarregamento e a execução de ficheiros, o que significa que a situação pode (e provavelmente irá) eventualmente mudar e os criminosos usarão Ave Maria a distribuir algum outro malware. Normalmente, os backdoors são normalmente usados para proliferar ransomware e mineradores de cripto mineradores. É bastante incomum para os trojans distribuirem vírus com funcionalidade semelhante (como neste caso, tanto Ave Maria quanto LokiBot são projetados para roubar dados). Normalmente, os trojans disseminam infecções que se comportam com recursos diferentes. Também vale a pena mencionar que, dependendo da variante de Ave Maria (executável), seu nome de processo está no Gestor de Tarefas do Windows é diferente. No entanto, sabe-se que Ave Maria geralmente se oculta atrás de nomes de vários processos genuínos (por exemplo, "Firefox", "svchost.exe", etc.) para ocultar a sua presença. O interessante é que os ícones dos processos da Ave Maria não são genuínos (por exemplo, o ícone do processo "Firefox" é um quadrado embaçado, em vez do ícone original que é uma raposa enrolada em todo o mundo). Isso permite distinguir os processos falsos. Além disso, este malware é projetado para alterar as configurações do Windows Defender e evitar que verifique todo o disco em que o Windows está instalado (normalmente o seu disco C: \). Isso porque os ficheiros do Ave Maria estão ocultos no diretório do Windows (há poucos duplicados, um deles está oculto na pasta "%APPDATA%") e adiciona uma entrada de registo do Windows. Pode ver a lista completa dos recursos de Ave Maria abaixo. Em resumo, ter esse vírus no seu computador pode levar a vários problemas de privacidade, perdas financeiras e infecções de computador de alto risco. Como mencionado acima, o processo da Ave Maria pode ser encontrado no Gestor de Tarefas do Windows sob nome aleatório. Se encontrar qualquer processo duvidoso em execução e suspeitar da presença da Ave Maria, examine imediatamente o seu computador com um antivírus/anti-spyware de boa reputação e elimine todas as ameaças detectadas.

Resumo da Ameaça:
Name malware Ave Maria
Tipo de Ameaça Trojan, vírus de roubo de palavras-passe, malware para bancos, spyware
Nomes de Detecção (chthonic.exe) Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.Agent.DSVM), ESET-NOD32 (uma variante de Win32/Kryptik.GRNX), Kaspersky (Trojan-Spy.Win32.AveMaria.hl), Lista Completa (VirusTotal)
Endereços IP relacionados 91.192.100.61:2580 (Command & Control [C&C] server), 89.46.223.202 (URL de descarregamento de Ave Maria)
Domínios relacionados maxibrainz[.]warzonedns[.]com:2580 (Command & Control [C&C] server), secured[.]icbegypt[.]com (URL de descarregamento de Ave Maria)
Nome do(s) processo(s) malicioso (s) apo.exe, Firefox, scvhost.exe - disfarça-se como um processo svchost.exe genuíno do Windows (observe que segundo e terceiro caracteres são trocados). O nome do processo depende da variante de Ave Maria (executável).
Carga LokiBot trojan.
Sintomas Os trojans são projetados para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, assim, nenhum sintoma específico é claramente visível numa máquina infectada.
Métodos de distribuição Anexos de e-mail infectados, anúncios on-line maliciosos, engenharia social, software pirateado.
Danos Informações bancárias roubadas, palavras-passe, roubo de identidade, computador da vítima adicionado a um botnet.
Remoção

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.
▼ Descarregar Combo Cleaner
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.

Ave Maria partilha muitas semelhanças com vários outros vírus do tipo trojan, como o TrickBotAdwindFormBook, e Qakbot. Embora esses vírus sejam desenvolvidos por diferentes criminosos cibernéticos, todos têm o mesmo objetivo: roubar dados pessoais. Além disso, como acontece com a Ave Maria, esses vírus costumam ser distribuídos usando campanhas de email de spam. Representam uma ameaça significativa à privacidade e segurança financeira dos utilizadores. Portanto, eliminar malware como Ave Maria é fundamental.

Como é que a Ave Maria se infiltrou no meu computador?

Como mencionado acima, Ave Maria é distribuído usando campanhas de email de spam que contêm documentos maliciosos do MS Office anexados. Na maioria dos casos, o formato do anexo é o Excel, que explora uma vulnerabilidade do MS Office (nome de código CVE-2017-11882) para injetar o Ave Maria no sistema. Esse é um método comum para proliferar cavalos de tróia, como o Ave Maria, mas o anexo nem sempre é um documento do MS Office - o tipo de ficheiro pode ser diferente (por exemplo, PDF, JavaScript, .exe, arquive ou outro). Em qualquer caso, a interação do utilizador é necessária para que o malware se infiltre no sistema. O utilizador deve executar/abrir manualmente o anexo, caso contrário, o vírus não poderá entrar no sistema.

Como evitar a instalação de malware?

Para prevenir esta situação, os utilizadores devem ser muito cautelosos quando navegam na Internet. Pense sempre duas vezes antes de abrir anexos de e-mail. Se o ficheiro/link parecer irrelevante e/ou o remetente parecer suspeito/irreconhecível, não abra nada. Tenha em mente que os criminosos geralmente tentam abusar da curiosidade do destinatário enviando mensagens fraudulentas, como "recebeu um pacote", "ganhou na lotaria", e assim por diante. Infelizmente muitos utilizadores caem nessas fraudes, esperando que tenham ganho algo grátis. Portanto, nunca deve confiar em tais mensagens. Tenha um conjunto antivírus/antispyware de boa reputação instalado e funcionando, pois esses programas geralmente detectam e eliminam malware antes que qualquer dano seja feito. A falta de conhecimentos dessas ameaças e o comportamento imprudente são as principais razões para infecções por computador. A chave de segurança é precaução. Se acredita que o seu computador já está infectado, recomendamos que execute uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.

Lista das características do trojan Ave Maria:

  • Exfiltração da Câmara
  • Limpeza
  • Injeção de código
  • Descarregamento e Execução
  • Gestão de ficheiros: criação, descarregamento, exfiltração, exclusão
  • Suporte para ladrão de informações:
    Firefox
    Foxmail
    Google Chrome
    Internet Explorer
    Outlook
    Thunderbird
  • Offline Keylogger
  • Persistência
  • Privilégio Escalação, suporte do Windows 7 para o Windows 10
  • Gestão de Processos: enumeração, rescisão
  • RDP using rdpwrap

Exemplos de processos invasores ("apo.exe" e "Firefox") de Ave Maria no Gestor de Tarefas do Windows:

trojan Ave Maria no Gestor de Tarefas do Windows - Firefox (exemplo 1) trojan Ave Maria no Gestor de Tarefas do Windows - Firefox (exemplo 2)

Remoção automática instantânea do malware: A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
 ▼ DESCARREGAR Combo Cleaner O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Como remover o malware manualmente?

A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner. Se deseja remover malware manualmente, a primeira etapa é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:

processo fraudulento em execução no exemplo de computador do utilizador

Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estas etapas:

remoção manual de malware passo 1  Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:

Screenshot da aplicação autoruns

remoção manual de malware passo 2Reinicie o computador no modo de segurança:

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo Seguro com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

remoção manual de malware passo 3Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.

extraia autoruns.zip e execute autoruns.exe

remoção manual de malware passo 4Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar".

Clique em 'Opções' no topo e desmarque as opções 'Ocultar locais vazios' e 'Ocultar entradas do Windows'

remoção manual de malware passo 5Verifique a lista fornecida pelo aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.

Deve anotar o caminho completo e o nome. Observe que alguns malwares ocultam seus nomes de processos em nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o mouse sobre o nome dele e escolha "Excluir"

localize o ficheiro de malware que deseja remover

Depois de remover o malware por meio do aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o malware name em seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware,

procurando por ficheiro de malware no seu computador

Inicie o seu computador no Modo Seguro. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Observe que a remoção manual de ameaças requer habilidades avançadas de computação. Se não tiver essas habilidades, deixe a remoção de malware para programas antivírus e anti-malware. Essas etapas podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operacional e de usar o software antivírus.

Para garantir que o seu computador esteja livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.

▼ Mostrar comentários

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Instruções de remoção em outras línguas
Guia de Remoção de novos vírus
Guias de Remoção dos Vírus principais
Code QR
malware Ave Maria Code QR
Digitalize o código QR para ter um guia de remoção de acesso fácil de malware Ave Maria no seu dispositivo móvel.
Nós recomendamos:

Livre-se hoje das infecções por malware Windows:

▼ REMOVER AGORA
Descarregar Combo Cleaner

Plataforma: Windows

Classificação do editor para Combo Cleaner:
ClassificaçãoExcelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.