Como remover o TAR Woody (Trojan de Acesso Remoto) do sistema operativo
Escrito por Tomas Meskauskas a (atualizado)
O que é o TAR Woody?
Woody é o nome de um Trojan de Acesso Remoto (RAT). O malware dentro desta categoria permite o acesso remoto e o controlo sobre máquinas comprometidas. Woody é uma peça de software malicioso sofisticado, e tem uma variedade de funcionalidades.
A investigação realizada pela equipa de Malwarebytes Threat Intelligence indica que os criminosos cibernéticos por trás de Woody têm como alvo várias entidades russas, tais como a United Aircraft Corporation (OAK).
Visão geral do malware Woody
O TAR Woody permite o acesso/controlo remoto sobre dispositivos infectados; pode executar uma vasta gama de comandos e funções, incluindo os relacionados com a recolha de dados, infiltração de conteúdos e exfiltração.
Para elaborar algumas destas funcionalidades - Woody é capaz de extrair uma grande variedade de dados do sistema, por exemplo, versão e arquitectura do sistema operacional, nome do computador, informação PowerShell, contas de utilizadores e privilégios, dados de rede, processos em execução, anti-vírus instalados, etc.
Este trojan também visa informação pessoal. Pode recolher dados de directório, ou seja, recolher ficheiros: nomes, tipos, formatos, tempos de criação/modificação/acesso, tamanho, permissões, etc. O TAR pode também exfiltrar (descarregar) ficheiros. Além disso, é capaz de fazer screenshots.
Além disso, Woody tem a capacidade de se infiltrar (carregar) ficheiros e executá-los. Isto significa que este programa malicioso pode ser utilizado para descarregar/instalar trojans adicionais, ransomware, e outro malware. A capacidade de causar infecções em cadeia cria outra camada de risco associada ao TAR Woody.
Além disso, a forma como os dados/conteúdo obtidos através deste trojan serão utilizados pode variar em função da própria informação e dos objectivos dos criminosos cibernéticos, que podem variar desde a extorsão à espionagem.
Em suma, Woody pode causar infecções múltiplas do sistema, graves problemas de privacidade, perdas financeiras, e levar ao roubo de identidade. Se suspeitar que o seu sistema está infectado com o TAR Woody (ou outro malware), recomendamos fortemente a utilização imediata de um anti-vírus e a remoção desta ameaça.
| Nome | trojan de acesso remoto Woody |
| Tipo de Ameaça | Trojan, vírus ladrão de palavras-passe, malware bancário, spyware. |
| Nomes de Detecção | Avast (Win64:DropperX-gen [Drp]), Combo Cleaner (Trojan.GenericKD.39756987), ESET-NOD32 (Uma Variante De Win64/Agent.OS), Kaspersky (Trojan.MSIL.DOTHETUK.yts), Microsoft (Trojan:Win32/Casdet!rfn), Lista Completa de Detecções (VirusTotal) |
| Nomes de Detecção (documento malicioso) | Avast (OLE:RemoteTemplateInj [Trj]), Combo Cleaner (Trojan.GenericKD.39762341), ESET-NOD32 (DOC/TrojanDownloader.Agent.AAP), Kaspersky (HEUR:Exploit.MSOffice.Agent.n), Microsoft (Exploit:O97M/CVE-2017-0199.AM!MTB), Lista Completa de Detecções (VirusTotal) |
| Sintomas | Os Trojans são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem em silêncio, pelo que nenhum sintoma em particular é claramente visível numa máquina infectada. |
| Métodos de Distribuição | Anexos de email infectados, anúncios online maliciosos, engenharia social, 'cracks' de software. |
| Danos | As palavras-passe e informações bancárias roubadas, roubo de identidade, computador da vítima adicionado a um botnet. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Exemplos de Trojans de acesso remoto
Analisámos inúmeros TARs; ApolloRAT, PingPull, PowerShell RAT, NetDooka, e Nerbian são apenas alguns exemplos.
Estes trojans são muitas vezes incrivelmente multifuncionais; as suas ameaças e utilizações são excepcionalmente variadas. Contudo, independentemente da versatilidade ou falta de um programa malicioso - a presença de malware num sistema põe em perigo a segurança do dispositivo e do utilizador.
Como é que Woody se infiltrou no meu computador?
A equipa de Malwarebytes Threat Intelligence observou dois métodos utilizados principalmente na distribuição do Woody. Os primeiros casos implicaram ficheiros de arquivo maliciosos, enquanto os documentos infecciosos do Microsoft Office que abusam da vulnerabilidade Follina surgiram mais tarde.
Estes ficheiros foram nomeados em russo (não necessariamente na escrita cirílica) e relacionados com segurança, formulários, documentação, e assim por diante. É altamente provável que estes ficheiros maliciosos tenham sido distribuídos como anexos ou ligações para descarregar em e-mails de spam.
É de salientar que os ficheiros virulentos podem estar em vários formatos, por exemplo, documentos do Microsoft Office e PDF, ficheiros (ZIP, RAR, etc.), executáveis (.exe, .run, etc.), JavaScript, e assim por diante. Quando um ficheiro infeccioso é aberto - os processos de descarregamento/instalação de malware são iniciados.
Além disso, o software malicioso não é difundido exclusivamente através de email não solicitado (spam). O software malicioso é também comummente proliferado através de fraudes online, descarregamentos drive-by (furtivos e enganadores), fontes de descarregamento duvidosas (por exemplo, websites não-oficiais e gratuitos de alojamento de ficheiros, redes de partilha P2P, etc.), ferramentas de activação de software ilegal ("cracking"), actualizações falsas, e malvertising (anúncios maliciosos).
Como evitar a instalação de malware?
Aconselhamos a não abrir os anexos e links encontrados em e-mails e mensagens suspeitos - uma vez que isso pode resultar numa infecção do sistema. Além disso, recomendamos a utilização das últimas versões do Microsoft Office, especialmente as lançadas após 2010, uma vez que têm o modo "Vista Protegida" que impede a execução automática de comandos macro.
Além disso, todos os descarregamentos devem ser feitos a partir dos canais oficiais e verificados. É igualmente importante activar e actualizar programas utilizando funções/ferramentas fornecidas por programadores genuínos, uma vez que ferramentas de activação ilegal ("cracking") e actualizações falsas podem conter malware.
É crucial ter um anti-vírus de confiança instalado e mantido actualizado. Este software tem de ser utilizado para executar verificações regulares do sistema e para remover ameaças e problemas detectados. Se acredita que o seu computador já está infectado, recomendamos que execute uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Imagem de um documento malicioso que distribui o TAR Woody:
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é Woody?
- PASSO 1. Remoção manual do malware Woody.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner.
Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:
Reinicie o computador no Modo de Segurança:
Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador, prima a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo de Segurança com Rede da lista.
O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":
Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançadas, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada.
Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização".
Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Prima F5 para iniciar no Modo de Segurança com Rede.
O vídeo demonstra como iniciar Windows 8 "Modo de Segurança com Rede"::
Utilizadores Windows 10: Clique no logótipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas".
No menu de opções avançadas, selecione "Configurações de Início" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operativo no Modo de Segurança com Rede.
O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":
Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar"..
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.
Deve anotar o caminho completo e o nome. Note que alguns malwares ocultam os seus nomes de processos com nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o rato sobre o nome e escolha "Excluir".
Depois de remover o malware através da aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o nome malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de o eliminar.
Inicie o seu computador no Modo de Segurança. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer capacidades avançadas de computação. Se não tiver essas capacidades, deixe a remoção de malware para programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operativo e de usar o software antivírus.
Para garantir que o seu computador está livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.
Perguntas Frequentes (FAQ)
O meu computador está infectado com malware Woody, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Não, a remoção do Woody não requer formatação.
Quais são os maiores problemas que o malware Woody pode causar?
Woody é um TAR - malware concebido para permitir o acesso/controlo remoto sobre dispositivos. Pode realizar uma grande variedade de acções em sistemas infectados, incluindo o descarregamento/instalação de programas maliciosos adicionais e a recolha de dados sensíveis/pessoais. Portanto, as ameaças que Woody representa são especialmente amplas, consistindo principalmente em múltiplas infecções de sistemas, graves problemas de privacidade, perdas financeiras, e roubo de identidade.
Qual é o objetivo do malware Woody?
A maioria dos programas maliciosos visa gerar rendimentos para os atacantes. No entanto, os criminosos cibernéticos podem também utilizar malware para se divertirem, levar a cabo ressentimentos pessoais, interromper processos (por exemplo, sites, serviços, empresas, instituições, etc.), e até lançar ataques de motivação política/geopolítica.
Como é que o malware Woody se infiltrou no meu computador?
O malware é principalmente difundido através de descarregamentos drive-by, emails de spam, fraudes online, fontes de descarregamento não confiáveis (por exemplo, sites gratuitos e de terceiros, redes de partilha P2P, etc.), ferramentas ilegais de activação de software ("cracks"), e actualizações falsas. Além disso, alguns programas maliciosos podem auto-proliferar através de redes locais e dispositivos de armazenamento amovíveis (p. ex., discos rígidos externos, unidades flash USB, etc.).
O Combo Cleaner vai proteger-me contra o malware?
Sim, o Combo Cleaner é capaz de detectar e eliminar praticamente todas as infecções malware conhecidas. Note-se que, uma vez que os programas maliciosos de alta qualidade geralmente se escondem no fundo dos sistemas - executar uma verificação completa do sistema é primordial.
Excelente!
▼ Mostrar comentários