Como remover o SnappyClient de dispositivos infetados
TrojanTambém conhecido como: Trojan de administração remota SnappyClient
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o SnappyClient?
O SnappyClient é um malware distribuído através do HijackLoader. Está escrito em C++ e é utilizado por cibercriminosos para controlar remotamente os dispositivos infetados (como um trojan de administração remota) e roubar dados. Assim que um sistema é infetado, o SnappyClient pode comunicar com um servidor C2 para receber instruções.
Visão geral do SnappyClient
Para evitar ser detetado, o SnappyClient altera o funcionamento das verificações de segurança do Windows, de modo a que o malware não seja detetado. Para tal, interfere com o AMSI, o sistema responsável por analisar o código em busca de ameaças. Em vez de permitir que o AMSI sinalize a ameaça, obriga-o a apresentá-la como segura.
Além disso, o SnappyClient possui uma lista de configurações internas que determina o seu funcionamento e onde armazenar os dados. Estas configurações controlam quais os dados que recolhe, onde os guarda, como permanece no dispositivo e se deve parar ou continuar a funcionar. Também utiliza estas configurações para manter a atividade após o reinício do sistema (persistência).
Além disso, o malware descarrega dois ficheiros encriptados do servidor do atacante. Estes ficheiros são armazenados de forma oculta e encriptada e utilizados para controlar as ações do malware no dispositivo infetado.
Funcionalidades do SnappyClient
O SnappyClient consegue capturar imagens do ecrã da vítima e enviá-las aos cibercriminosos. Também consegue visualizar e gerir os processos em execução no computador infetado. O SnappyClient consegue listar os processos ativos, suspendê-los ou retomá-los, ou mesmo encerrá-los completamente, e consegue injetar código malicioso em processos legítimos para que possa funcionar de forma oculta no sistema.
Além disso, o SnappyClient possui uma funcionalidade que permite gerir ficheiros e pastas no computador infetado. Pode listar o conteúdo dos diretórios, copiar, mover, renomear, eliminar ou criar ficheiros e pastas, e até mesmo compactar ou descompactar arquivos (incluindo aqueles protegidos por palavra-passe). Também pode executar ficheiros e verificar atalhos.
O malware também pode roubar informações confidenciais do computador infetado. Pode enviar dados do keylogger ao atacante, que regista tudo o que o utilizador digita. Pode ainda roubar palavras-passe guardadas no navegador (dados de início de sessão), cookies do navegador, histórico, favoritos, informações de sessão e dados de extensões do navegador. Além de visar os navegadores, o SnappyClient pode recolher dados de outro software instalado.
Além disso, o SnappyClient inclui uma funcionalidade que lhe permite procurar e roubar ficheiros (e pastas) do sistema e das aplicações instaladas. Os autores das ameaças podem visar dados específicos definindo filtros para nomes de ficheiros ou caminhos. Além disso, o SnappyClient pode descarregar ficheiros de um servidor remoto e guardá-los no computador infetado.
Além disso, o malware pode executar ficheiros de várias formas, incluindo a execução normal, a execução de ficheiros DLL ou a extração e execução de ficheiros a partir de arquivos. Também pode controlar a forma como o ficheiro é iniciado, incluindo as suas definições, o diretório e as opções da linha de comandos. Em alguns casos, pode tentar contornar a segurança do Windows (UAC) para executar ficheiros com permissões de administrador.
Os operadores também podem utilizar o SnappyClient para abrir uma sessão de navegador oculta no computador da vítima, a fim de visualizar e controlar secretamente a atividade na Web. Além disso, podem utilizar uma interface de linha de comandos para executar comandos no sistema infetado. Outra funcionalidade do SnappyClient é a alteração do conteúdo da área de transferência. Esta ferramenta é frequentemente utilizada para inserir carteiras de criptomoedas pertencentes a cibercriminosos.
Por último, o SnappyClient inclui uma funcionalidade que lhe permite exibir pop-ups falsos ou abrir janelas ocultas do navegador no dispositivo da vítima. Pode exibir uma caixa de mensagem com texto personalizado ou criar uma janela que carregue conteúdo da Web no seu interior.
Aplicações específicas
Sabe-se que o SnappyClient consegue roubar informações dos seguintes navegadores: 360 Browser, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi e Waterfox. Também tem como alvo extensões de carteiras de criptomoedas, tais como Coinbase, Metamask, Phantom, TronLink e TrustWallet.
Além disso, pode roubar informações do Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite e Wasabi, que são carteiras de software, ferramentas de carteiras de hardware e outras ferramentas relacionadas com criptomoedas.
| Nome | Trojan de administração remota SnappyClient |
| Tipo de ameaça | Trojan de acesso remoto (RAT) |
| Nomes de deteção | Avast (Win32:Agent-BDPI [Trj]), Combo Cleaner (Gen:Variant.Application. Fragtor.13960), ESET-NOD32 (Win32/Spy.Agent.QOZ Trojan), Kaspersky (HEUR:Trojan.Win32.Penguish.gen), Microsoft (Trojan:Win32/SnappyClient.CA!MTB), Lista completa (VirusTotal) |
| Sintomas | Os RATs são concebidos para se infiltrarem discretamente no computador da vítima e permanecerem inativos; por isso, não se observam sintomas específicos num computador infetado. |
| Possíveis métodos de distribuição | Sites falsos, mensagens enviadas através das redes sociais, HijackLoader, ClickFix |
| Danos | Senhas e dados bancários roubados, roubo de identidade, incorporação do computador da vítima a uma botnet, infeções adicionais, prejuízos financeiros, apropriação indevida de contas. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
Em suma, o SnappyClient é um malware avançado concebido para assumir o controlo de um sistema infetado, mantendo-se oculto. Permite aos cibercriminosos monitorizar a vítima, roubar informações confidenciais, manipular ficheiros e processos e executar comandos. Os ataques do SnappyClient podem causar problemas como o sequestro de contas, roubo de identidade, infeções adicionais, perdas financeiras e outros problemas.
Como é que o SnappyClient se instalou no meu computador?
O SnappyClient é distribuído através de sites falsos e de esquemas nas redes sociais. No primeiro caso, os autores da ameaça utilizam um site falso que se faz passar por uma empresa de telecomunicações real. Quando os utilizadores visitam o site, este descarrega secretamente um ficheiro malicioso chamado HijackLoader para os seus dispositivos.
Se os utilizadores executarem este ficheiro, este desbloqueia e injeta o SnappyClient. Outra forma de propagação deste malware é através de publicações nas redes sociais (como o X/Twitter). Os autores das ameaças partilham links ou instruções que induzem os utilizadores a iniciar um processo de download (por vezes utilizando métodos como o ClickFix). Isto também leva à execução do HijackLoader, que, por sua vez, instala o SnappyClient.
Como evitar a instalação de malware?
Os utilizadores devem ter cuidado com e-mails ou mensagens inesperadas, especialmente se forem de fontes desconhecidas, e não devem abrir anexos nem clicar em links, a menos que tenham a certeza de que são seguros. É também importante analisar regularmente o sistema utilizando software de segurança de confiança.
Os utilizadores devem descarregar software e ficheiros apenas a partir de sites oficiais ou lojas de aplicações de confiança. Devem evitar-se anúncios suspeitos, janelas pop-up e links desconhecidos (especialmente em sites não fiáveis), e quaisquer pedidos para permitir notificações provenientes desses sites devem ser sempre rejeitados. Além disso, os utilizadores devem manter o sistema operativo e todas as aplicações atualizados.
Se acha que o seu computador já está infetado, recomendamos que execute uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
DESCARREGAR Combo CleanerAo descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Menu rápido:
- O que é o SnappyClient?
- PASSO 1. Remoção manual do malware SnappyClient.
- PASSO 2. Verifique se o seu computador está livre de vírus.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada — normalmente, é melhor deixar que os programas antivírus ou antimalware o façam automaticamente. Para remover este malware, recomendamos a utilização de Combo Cleaner Antivirus para Windows.
Se pretender remover malware manualmente, o primeiro passo é identificar o nome do malware que pretende remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, utilizando o Gerenciador de Tarefas, e identificou um programa que parece suspeito, deve seguir estes passos:
Descarregue um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o Registo e as localizações no sistema de ficheiros:
Reinicie o computador no Modo de Segurança:
Utilizadores do Windows XP e do Windows 7: Inicie o computador no Modo de Segurança. Clique em «Iniciar», clique em «Desligar», clique em «Reiniciar» e clique em «OK». Durante o processo de arranque do computador, prima a tecla F8 do teclado várias vezes até ver o menu «Opções avançadas do Windows» e, em seguida, selecione «Modo de Segurança com Rede» na lista.
Vídeo que mostra como iniciar o Windows 7 no «Modo de Segurança com Rede»:
Utilizadores do Windows 8: Inicie o Windows 8 no Modo de Segurança com Rede - Aceda ao Ecrã Inicial do Windows 8, escreva «Avançado» e, nos resultados da pesquisa, selecione «Definições». Clique em «Opções de arranque avançadas» e, na janela «Definições gerais do PC» que se abre, selecione «Arranque avançado».
Clique no botão «Reiniciar agora». O seu computador irá agora reiniciar e aceder ao «Menu de opções avançadas de arranque». Clique no botão «Resolução de problemas» e, em seguida, clique no botão «Opções avançadas». No ecrã de opções avançadas, clique em «Definições de arranque».
Clique no botão «Reiniciar». O seu computador irá reiniciar e apresentar o ecrã de Configurações de Arranque. Prima F5 para arrancar em Modo de Segurança com Rede.
Vídeo que mostra como iniciar o Windows 8 no «Modo de Segurança com Rede»:
Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone de energia. No menu que se abre, clique em «Reiniciar» enquanto mantém premida a tecla «Shift» no teclado. Na janela «Escolher uma opção», clique em «Resolução de problemas» e, em seguida, selecione «Opções avançadas».
No menu de opções avançadas, selecione «Definições de arranque» e clique no botão «Reiniciar». Na janela seguinte, deve clicar na tecla «F5» do teclado. Isto irá reiniciar o sistema operativo no modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 10 no «Modo de segurança com rede»:
Descompacte o ficheiro comprimido descarregado e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em «Opções» na parte superior e desmarque as opções «Ocultar localizações vazias» e «Ocultar entradas do Windows». Após este procedimento, clique no ícone «Atualizar».
Consulte a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o caminho completo e o nome do programa. Tenha em atenção que alguns programas maliciosos ocultam os nomes dos processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que pretende remover, clique com o botão direito do rato sobre o nome do mesmo e selecione «Eliminar».
Depois de remover o malware através da aplicação Autoruns (isto garante que o malware não será executado automaticamente na próxima inicialização do sistema), deve procurar o nome do malware no seu computador. Certifique-se de que ativa os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de que o remove.
Reinicie o computador no modo normal. Seguir estes passos deverá eliminar qualquer malware do seu computador. Tenha em atenção que a remoção manual de ameaças requer conhecimentos avançados de informática. Se não tiver esses conhecimentos, deixe a remoção de malware a cargo de programas antivírus e antimalware.
Estes passos podem não funcionar em casos de infeções por malware avançado. Como sempre, é melhor prevenir a infeção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e utilize um software antivírus. Para ter a certeza de que o seu computador está livre de infeções por malware, recomendamos que o analise com Combo Cleaner Antivirus para Windows.
Perguntas frequentes (FAQ)
O meu dispositivo está infetado com o malware SnappyClient. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
Uma formatação completa do dispositivo pode eliminar totalmente o malware, mas também apagará todos os ficheiros armazenados. Antes de dar este passo, é normalmente mais seguro tentar limpar o sistema com uma ferramenta de confiança, como o Combo Cleaner.
Quais são os maiores problemas que o malware pode causar?
O malware pode permitir que os cibercriminosos acedam a um sistema remotamente, eliminem ou corrompam ficheiros essenciais, instalem cargas maliciosas adicionais e extraiam informações confidenciais. Isto pode conduzir a problemas como perda de dados, apropriação de contas, fraude financeira, roubo de identidade e infeções adicionais por malware.
Qual é o objetivo do SnappyClient?
O objetivo do SnappyClient é proporcionar aos cibercriminosos controlo remoto sobre um computador infetado, a fim de espionar o utilizador, roubar dados confidenciais e manipular o sistema. É utilizado para o roubo de informações (tais como palavras-passe, ficheiros e dados pessoais), monitorização do sistema e execução de ações maliciosas, mantendo-se oculto da vítima.
Como é que o SnappyClient se infiltrou no meu dispositivo?
O SnappyClient propaga-se através de sites falsos e esquemas fraudulentos nas redes sociais. Esses sites podem descarregar automaticamente um ficheiro malicioso (HijackLoader), que instala o SnappyClient caso seja aberto. Também se pode propagar através de publicações nas redes sociais que induzem os utilizadores a clicar em links ou a seguir instruções (técnica ClickFix), levando à descarga e execução do mesmo malware.
O Combo Cleaner protege-me contra malware?
O Combo Cleaner é eficaz contra a maioria dos programas maliciosos, mas certas infeções mais complexas podem ser mais difíceis de detetar. Por isso, é importante realizar uma verificação completa do sistema para inspecionar minuciosamente o dispositivo e remover quaisquer ameaças ocultas.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários