Como remover o Mispadu do sistema operativo
Escrito por Tomas Meskauskas a (atualizado)
Que tipo de malware é o Mispadu?
Mispadu (também conhecido como URSA) é o nome de um Trojan bancário. Os criminosos cibernéticos por trás deste software têm como alvo pessoas que vivem no Brasil, Espanha e México.
Procuram roubar credenciais, cartões de crédito e dados bancários. A investigação mostra que este malware é distribuído através de campanhas de spam e anúncios maliciosos. As pessoas com computadores infectados com Mispadu são susceptíveis de sofrer perdas monetárias e problemas de privacidade online. Este Trojan bancário deve ser removido do sistema imediatamente.
Mais sobre o Mispadu
O malware pode ser utilizado para simular acções do teclado e do rato, tirar screenshots, registar as teclas premidas e recolher informações como versões do sistema operativo, nomes de computadores, lista de programas de segurança instalados e aplicações bancárias que são habitualmente utilizadas na América Latina.
Além disso, o Mispadu pode atualizar-se através de um ficheiro que descarrega e executa via Visual Basic Script (VBS). Uma caraterística de registo de teclas permite-lhe registar as teclas premidas no teclado. Por isso, pode ser usado para registar nomes de utilizador de login, palavras-passe e outras informações sensíveis.
Os screenshots também podem conter detalhes pessoais. O Mispadu é instalado com aplicações de navegador que utiliza para roubar credenciais guardadas em navegadores como o Google Chrome, Mozilla Firefox, Internet Explorer, e clientes de email como o Mozilla Thunderbird, Microsoft Outlook, Windows Live Mail, e outros.
Uma das aplicações (uma extensão maliciosa do Google Chrome) é capaz de roubar dados de cartões de crédito, registando o conteúdo de vários campos de entrada preenchidos pelas vítimas em vários sites, principalmente os relacionados com serviços bancários online.
Esta aplicação visa o sistema de pagamento Boleto e é capaz de substituir os números de identificação por um número associado a uma conta bancária utilizada para receber fundos para um invasor. Por conseguinte, uma página web legítima pode ser utilizada indevidamente para gerar um código de barras de pagamento utilizando o número de conta do atacante em vez de um número legítimo.
Além disso, o Trojan bancário Mispadu pode ser usado para substituir os dados guardados na área de transferência pelos dados do atacante. Desta forma, os criminosos cibernéticos podem substituir um endereço de carteira de criptomoeda guardado pelo seu próprio, e assim as vítimas podem inadvertidamente fazer pagamentos para o endereço de carteira de um invasor.
| Nome | Malware bancário Mispadu |
| Tipo de Ameaça | Trojan, vírus que rouba palavras-passe, malware bancário, spyware. |
| Nomes de Detecção | Avast (Other:Malware-gen [Trj]), BitDefender (VB:Trojan.VBS.Agent.BJQ), ESET-NOD32 (VBS/TrojanDownloader.Agent.RVY), Kaspersky (HEUR:Trojan.Script.Generic), Lista Completa (VirusTotal) |
| Nome(s) do(s) Processo(s) Malicioso(s) | Instalador do Windows |
| Carga útil | Este Trojan instala uma extensão maliciosa do Google Chrome e outras aplicações do navegador. |
| Sintomas | Os trojans são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que nenhum sintoma específico é claramente visível numa máquina infectada. |
| Métodos de Distribuição | Anexos de email infectados, anúncios online maliciosos, engenharia social, "cracks" de software. |
| Danos | Palavras-passe e informações bancárias roubadas, roubo de identidade, o computador da vítima adicionado a uma rede de bots. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Malware similar
O Mispadu é semelhante a outro Trojan bancário denominado Casbaneiro. Mais exemplos destes Trojans incluem Bolik e Tinynuke.
Apesar das suas diferenças, a maioria destes programas maliciosos são utilizados para roubar dados de cartões de crédito e outros detalhes sensíveis relacionados com a banca online. Os criminosos cibernéticos usam malware bancário para roubar fundos das vítimas através da utilização indevida de detalhes roubados, fazendo transacções fraudulentas, e assim por diante. Se o seu computador estiver infetado com Mispadu ou outro software malicioso, remova-o imediatamente.
Como é que o Mispadu se infiltrou no meu computador?
Os criminosos cibernéticos proliferam o Mispadu através de campanhas de spam e anúncios online maliciosos. Enviam emails com hiperligações para sites. Apresentam estes emails como legítimos, oficiais, e tentam enganar os destinatários para que abram a ligação, que depois descarrega um ficheiro malicioso.
Se aberto/executado, o ficheiro instala Mispadu. Os criminosos cibernéticos também distribuem malware através de anexos maliciosos. Em vez de incluírem uma hiperligação, anexam um ficheiro que, se for aberto, leva à instalação de malware. Além disso, a investigação mostra que o Mispadu é distribuído através de anúncios maliciosos, cupões falsos e descontos para a McDonald's no Facebook.
Se clicados, estes anúncios levam a sites questionáveis que contêm botões de descarregamento, que descarregam um ficheiro de arquivo malicioso (ZIP) contendo um instalador MSI. Se executado, o instalador inicia o processo de instalação do Trojan bancário Mispadu.
Como evitar a instalação de software malicioso?
Não confie em anúncios intrusivos, especialmente se forem exibidos em páginas web questionáveis (ou conduzirem a páginas web deste tipo). Muitas vezes induzem as pessoas a descarregar/instalar malware. As hiperligações de sites e os anexos incluídos em emails irrelevantes não devem ser abertos, especialmente se as mensagens forem recebidas de endereços desconhecidos e suspeitos.
O software não deve ser descarregue através de descarregadores de terceiros, sites não oficiais, redes Peer-to-Peer, como clientes de torrent, eMule ou outras ferramentas/fontes semelhantes. Descarregue apenas a partir de páginas web oficiais e através de hiperligações directas. Atualize o software instalado usando funções implementadas ou ferramentas fornecidas pelos desenvolvedores oficiais de software, e não por atualizadores falsos de terceiros.
O mesmo aplica-se à ativação de software pago. As ferramentas de "cracking" de software são ilegais e causam frequentemente infecções no computador.
Proteja os sistemas contra ataques de malware, verificando-os regularmente com um pacote anti-spyware ou antivírus de boa reputação e certifique-se de que está atualizado. Se acredita que o seu computador já está infetado, recomendamos a execução de uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
O trojan Mispadu oculto sob o nome de "instalador do Windows" no Gestor de Tarefas do Windows:
Screenshots de emails de spam usados para disseminar o trojan Mispadu:
Exemplo 1:
Texto apresentado no interior:
Subject: Importante anuncio del cliente - BBVA BANCOMER
Estado de cuenta.
BBVA Bancomer
Desgarda tu estado de cuenta
Adjunto te enviamos su factura para el periodo de Agosto-2019, evitar el bloqueo de cuenta, descargar su factura.Descargar
Encuenta una sucursal
Necesitas Ayuda?
Sguenos en:
Example 2:
Texto apresentado no interior:
Subject: Devolução de mercadorias não entregues. Ausencia de Destinatário!
Correios Brasil AGORA NA WEB
Correios
Atenção, foram realizadas 3 tentativas de entrega no seu endereço
Por motivo de ausência de destinatário sua encomenda
Retornou na data ( 28/08/2019 as 10:32:35 ) para nosso centro de distribuição de encomendas e cartas.
OCORRENCIAS ID OBJETO: -
Segue URL de Formulário para Retirada :
hxxp://correios.com.br/retiradaINFORMAÇÕES
horário não indica quando a situação ocorreu, mas sim quando os dados foram recebidos pelo sistema.
Tentativa de entrega sem sucesso, segue comunicado de postagem aguardando retirada no local.Política de Privacidade e notas legais - © Copyright 2019 Correios - Todos os direitos reservados.
Atualização de 16 de setembro de 2020 - A área de interesse do trojan Mispadu expandiu-se para incluir a Argentina, Bolívia, Chile, Colômbia, Costa Rica, Equador, Itália, Paraguai, Peru e Portugal.
É de salientar que, em Portugal, este malware tem sido proliferado sob a capa de conteúdos relacionados com quatro organizações legítimas: Vodafone e MEO (Serviços de Comunicações e Multimédia) - prestadores de serviços de telecomunicações, Polícia Judiciária - uma das principais agências de investigação criminal em Portugal, e EDP (Energias de Portugal) - empresa de serviços eléctricos.
Atualização de 2 de fevereiro de 2024 - Os autores do malware bancário Mispadu aproveitaram a oportunidade para explorar uma falha de segurança do Windows SmartScreen, já corrigida, para comprometer os utilizadores. Na mais recente cadeia de infeção, utilizaram ficheiros de atalho de Internet fraudulentos ocultos em ficheiros de arquivo ZIP falsos, tirando partido da CVE-2023-36025, uma falha de contorno de alta gravidade abordada pela Microsoft em novembro de 2023.
No centro desta exploração está a criação de um ficheiro de atalho da Internet (.URL) ou de uma hiperligação que direcciona para ficheiros maliciosos, contornando eficazmente os avisos do SmartScreen.
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é o Mispadu?
- PASSO 1: Remoção manual do malware Mispadu.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner.
Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:
Reinicie o computador no Modo de Segurança:
Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador, prima a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo de Segurança com Rede da lista.
O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":
Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançadas, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada.
Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização".
Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Prima F5 para iniciar no Modo de Segurança com Rede.
O vídeo demonstra como iniciar Windows 8 "Modo de Segurança com Rede"::
Utilizadores Windows 10: Clique no logótipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas".
No menu de opções avançadas, selecione "Configurações de Início" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operativo no Modo de Segurança com Rede.
O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":
Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar"..
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.
Deve anotar o caminho completo e o nome. Note que alguns malwares ocultam os seus nomes de processos com nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o rato sobre o nome e escolha "Excluir".
Depois de remover o malware através da aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o nome malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de o eliminar.
Inicie o seu computador no Modo de Segurança. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer capacidades avançadas de computação. Se não tiver essas capacidades, deixe a remoção de malware para programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente.
Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operativo e de usar o software antivírus. Para garantir que o seu computador está livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.
Perguntas Frequentes (FAQ)
O meu computador está infectado com malware Masad, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Os utilizadores devem primeiro tentar usar um software antivírus respeitável para remover o malware Mispadu antes de recorrer à formatação. A formatação irá apagar todos os dados no dispositivo de armazenamento.
Quais são os principais problemas que o malware pode causar?
O malware pode causar perda de dados, danos financeiros, roubo de identidade, instabilidade do sistema e acesso não autorizado a informações confidenciais.
Qual é o objetivo do malware Mispadu?
O objetivo do malware Mispadu inclui simular acções do teclado e do rato, capturar imagens de ecrã, gravar as teclas premidas, recolher informações do sistema, atualizar-se, roubar credenciais de navegadores e clientes de email, visando especificamente sistemas bancários online (como o Boleto), e manipular dados da área de transferência para substituir endereços de carteiras de criptomoedas para transações fraudulentas.
Como é que o Mispadu se infiltrou no meu computador?
Os utilizadores podem infetar os computadores ao serem vítimas do Mispadu através de emails de spam que contêm hiperligações de sites fraudulentos ou anexos maliciosos. Os criminosos cibernéticos também usam anúncios online maliciosos, cupões falsos e descontos do Facebook para o McDonald's para atrair os utilizadores a clicar em sites questionáveis com botões de descarregamento. Estes sites solicitam o descarregamento de um ficheiro de arquivo malicioso (ZIP) que contém um instalador MSI. Se os utilizadores executarem o instalador, este inicia o processo de instalação do Trojan bancário Mispadu.
O Combo Cleaner protege-me de malware?
O Combo Cleaner está equipado para detetar e eliminar quase todas as infecções de malware conhecidas. É crucial estar ciente de que o malware avançado tende a ocultar-se extensivamente dentro do sistema. Por isso, é imperativo efetuar uma verificação completa do sistema.
Excelente!
▼ Mostrar comentários