Como remover o backdoor NANOREMOTE do sistema operativo
TrojanTambém conhecido como: NANOREMOTE malware
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o NANOREMOTE?
O NANOREMOTE é um backdoor - um tipo de malware que abre um canal oculto num computador infetado para que os atacantes possam emitir comandos e entregar cargas adicionais a qualquer momento. De acordo com a investigação da Elastic Security Labs, o NANOREMOTE faz parte da campanha de ameaças REF7707 e está intimamente relacionado com outro implante da mesma família chamado FINALDRAFT.
Uma vez ativo, o NANOREMOTE permite aos operadores executar comandos shell, gerir ficheiros, carregar programas na memória e mover dados para dentro e para fora da máquina infetada. Encaminha as suas comunicações através dos próprios serviços da Google, o que ajuda o seu tráfego a misturar-se com atividade legítima.
Mais sobre o NANOREMOTE
O NANOREMOTE é tipicamente implementado por um componente carregador chamado WMLOADER. O WMLOADER disfarça-se como um ficheiro legítimo do Bitdefender chamado BDReinit.exe, completo com uma assinatura digital falsificada. Quando executado, desencripta o payload do NANOREMOTE a partir de um ficheiro encriptado chamado wmsetup.log antes de o carregar na memória através de shellcode incorporado.
Para comando e controlo, o NANOREMOTE comunica através da API do Google Drive. Autentica-se utilizando tokens OAuth 2.0 incorporados na sua configuração e envia pedidos de beacon regulares para os servidores da Google. Como estas ligações são feitas a uma plataforma conhecida e de confiança, são mais difíceis de serem sinalizadas como suspeitas pelas ferramentas de segurança.
Todo o tráfego é comprimido com Zlib e depois encriptado com AES-CBC antes de ser enviado. Cada pedido segue um formato JSON estruturado que inclui um identificador de máquina, um ID de comando e um payload de dados.
Capacidades do NANOREMOTE
A Elastic Security Labs identificou 22 manipuladores de comandos incorporados no NANOREMOTE, dando aos operadores um amplo controlo remoto sobre um sistema infetado. Estes comandos abrangem gestão de ficheiros, execução de código, transferência de dados e reconhecimento do sistema.
Os comandos relacionados com ficheiros permitem aos operadores listar diretórios, navegar pelo sistema de ficheiros e criar, eliminar ou mover ficheiros. Os operadores também podem enumerar unidades de armazenamento ligadas e agendar carregamentos e transferências de ficheiros, com suporte para pausar e retomar transferências. Cada transferência é verificada com um checksum MD5.
No lado da execução, o NANOREMOTE inclui um carregador de PE personalizado que pode executar programas a partir do disco ou executar binários na memória a partir de payloads codificados em Base64, contornando completamente o carregador padrão do Windows. Comandos de shell também podem ser emitidos e executados através de processos criados.
No arranque, o malware recolhe informações básicas do sistema - os endereços IP da máquina, nome do host, nome de utilizador, versão do sistema operativo e se o utilizador atual tem direitos de administrador.
Persistência e evasão de defesas
O NANOREMOTE utiliza a biblioteca Detours da Microsoft para intercetar funções do sistema chave como GetStdHandle e ExitProcess. Isto impede que uma única thread com falha provoque a paragem de todo o processo, o que ajuda o malware a continuar em execução mesmo quando componentes individuais encontram erros.
O carregador de PE personalizado incorporado contorna os hooks que os produtos de segurança de endpoint normalmente colocam no carregador padrão do Windows. Isto torna mais difícil para o software de proteção detetar executáveis recém-carregados em tempo de execução.
O NANOREMOTE também instala um manipulador de falhas a nível do processo que gera ficheiros minidump do Windows. A Elastic Security Labs observou que o malware cria um diretório local chamado Log e escreve atividade detalhada num ficheiro chamado pe_exe_run.log, sugerindo que foi concebido com a resolução de problemas do lado do operador em mente.
| Nome | NANOREMOTE malware |
| Tipo De Ameaça | Backdoor, Trojan |
| Nomes De Deteção | Avast (Win64:Malware-gen), Combo Cleaner (Trojan.Generic.39346873), ESET-NOD32 (Win64/Agent.HWR Trojan), Kaspersky (Trojan-Downloader.Win64.Agent.dur), Microsoft ( Trojan:Win32/Malgent!MSR ), Lista Completa (VirusTotal) |
| Sintomas | Os backdoors são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que nenhum sintoma particular é claramente visível numa máquina infetada. |
| Métodos De Distribuição | Software trojanizado, entrega direcionada através de um carregador (WMLOADER). |
| Danos | Acesso remoto ao sistema infetado, exfiltração de dados via Google Drive, execução de malware adicional, roubo de identidade. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
O NANOREMOTE dá aos atacantes acesso persistente e oculto a um computador infetado e suporta uma ampla gama de operações remotas - desde executar comandos e carregar malware adicional até exfiltrar ficheiros através do Google Drive.
A sua ligação à campanha REF7707 sugere que faz parte de um esforço de ataque direcionado e cuidadosamente coordenado. O malware deve ser removido de qualquer sistema afetado imediatamente.
Mais exemplos de backdoors são A0Backdoor, YiBackdoor e Anubis.
Como é que o NANOREMOTE se infiltrou no meu computador?
De acordo com a Elastic Security Labs, o NANOREMOTE é entregue por um carregador chamado WMLOADER. O WMLOADER faz-se passar por um componente legítimo do Bitdefender - BDReinit.exe - mas possui uma assinatura digital inválida. Quando executado, desencripta o payload do NANOREMOTE a partir de um ficheiro chamado wmsetup.log e carrega-o na memória.
A Elastic Security Labs associou o NANOREMOTE à campanha REF7707, com amostras iniciais a mostrar atividade originária das Filipinas em outubro de 2025. O malware partilha uma chave de encriptação e vários padrões de código com o implante FINALDRAFT, indicando que ambos provêm do mesmo esforço de desenvolvimento e provavelmente do mesmo agente de ameaça.
De forma mais ampla, trojans e backdoors são distribuídos através de muitos canais: e-mails de phishing com anexos maliciosos, sites falsos de transferência de software, malvertising, sites comprometidos, software pirateado e suportes amovíveis infetados.
Como evitar a instalação de malware?
Tenha cuidado com e-mails não solicitados, especialmente os que contêm anexos ou ligações - mesmo que o remetente pareça familiar. Transfira software apenas de fontes oficiais e evite cracks, geradores de chaves ou conteúdo pirateado. Mantenha o sistema operativo e todos os programas instalados atualizados, pois as atualizações frequentemente fecham as falhas de segurança que os atacantes exploram.
Evite clicar em anúncios pop-up ou notificações do navegador de sites desconhecidos e utilize um programa de segurança de confiança com proteção em tempo real ativada. Execute verificações completas do sistema regularmente. Se acredita que o seu computador já está infetado, recomendamos a execução de uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
DESCARREGAR Combo CleanerAo descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Menu rápido:
- O que é o NANOREMOTE?
- PASSO 1. Remoção manual do malware NANOREMOTE.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que programas antivírus ou anti-malware o façam automaticamente. Para remover este malware, recomendamos a utilização de Combo Cleaner Antivirus para Windows.
Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, utilizando o gestor de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:
Transfira um programa chamado Autoruns. Este programa mostra aplicações de arranque automático, localizações do Registo e do sistema de ficheiros:
Reinicie o seu computador no Modo de Segurança:
Utilizadores do Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de arranque do computador, pressione a tecla F8 no teclado várias vezes até ver o menu de Opções Avançadas do Windows e, em seguida, selecione Modo de Segurança com Rede na lista.
Vídeo que mostra como iniciar o Windows 7 no "Modo de Segurança com Rede":
Utilizadores do Windows 8: Inicie o Windows 8 no Modo de Segurança com Rede - Vá ao Ecrã Inicial do Windows 8, digite Avançado, nos resultados da pesquisa selecione Definições. Clique em Opções de arranque avançadas, na janela aberta "Definições gerais do PC", selecione Arranque avançado.
Clique no botão "Reiniciar agora". O seu computador irá agora reiniciar no "Menu de opções de arranque avançadas". Clique no botão "Resolução de problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".
Clique no botão "Reiniciar". O seu PC irá reiniciar no ecrã de Definições de Arranque. Pressione F5 para arrancar no Modo de Segurança com Rede.
Vídeo que mostra como iniciar o Windows 8 no "Modo de Segurança com Rede":
Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone de Energia. No menu aberto, clique em "Reiniciar" enquanto mantém pressionada a tecla "Shift" no teclado. Na janela "escolha uma opção", clique em "Resolução de problemas" e, em seguida, selecione "Opções avançadas".
No menu de opções avançadas, selecione "Definições de arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar na tecla "F5" no teclado. Isto irá reiniciar o seu sistema operativo no modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 10 no "Modo de Segurança com Rede":
Extraia o arquivo transferido e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Options" no topo e desmarque as opções "Hide Empty Locations" e "Hide Windows Entries". Após este procedimento, clique no ícone "Refresh".
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o caminho completo e o nome. Note que algum malware oculta nomes de processos sob nomes legítimos de processos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o seu nome e escolha "Delete".
Depois de remover o malware através da aplicação Autoruns (isto garante que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de prosseguir. Se encontrar o nome do ficheiro do malware, certifique-se de o remover.
Reinicie o seu computador no modo normal. Seguir estes passos deve remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer competências informáticas avançadas. Se não possui estas competências, deixe a remoção de malware para os programas antivírus e anti-malware.
Estes passos podem não funcionar com infeções de malware avançadas. Como sempre, é melhor prevenir a infeção do que tentar remover malware posteriormente. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e utilize software antivírus. Para ter a certeza de que o seu computador está livre de infeções por malware, recomendamos a sua verificação com Combo Cleaner Antivirus para Windows.
Perguntas Frequentes (FAQ)
O meu computador está infetado com o malware NANOREMOTE, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação remove o NANOREMOTE mas também apaga todos os ficheiros na unidade. Uma ferramenta de segurança de confiança como o Combo Cleaner deve ser experimentada primeiro, pois pode remover a infeção sem perda de dados pessoais.
Quais são os maiores problemas que o malware NANOREMOTE pode causar?
O NANOREMOTE dá aos atacantes controlo remoto total do sistema infetado. Isto pode levar a roubo de dados, execução de malware adicional, perda total de controlo sobre o computador e - ao longo do tempo - roubo de identidade e fraude financeira.
Qual é o objetivo do malware NANOREMOTE?
O objetivo do NANOREMOTE é dar aos atacantes acesso persistente e oculto a uma máquina infetada. Os operadores podem executar comandos, gerir ficheiros, carregar programas adicionais na memória e exfiltrar dados através do Google Drive, tudo permanecendo fora de vista.
Como é que o malware NANOREMOTE se infiltrou no meu computador?
O NANOREMOTE é entregue por um carregador chamado WMLOADER, que se faz passar por um ficheiro legítimo do Bitdefender. Foi associado à campanha REF7707. Em geral, os backdoors também chegam às vítimas através de e-mails de phishing, transferências de software falsas, conteúdo pirateado e sites comprometidos.
O Combo Cleaner irá proteger-me contra malware?
Sim. O Combo Cleaner consegue detetar e remover a maioria do malware conhecido, incluindo backdoors e trojans. Como ameaças como o NANOREMOTE são concebidas para se esconderem profundamente no sistema, executar uma verificação completa é importante para garantir que nada é ignorado.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários