PUA:Win32/Caypnamer.A!ml é uma detecção usada pelo Defender da Microsoft que identifica arquivos ou processos que apresentam características suspeitas. Normalmente está associado a aplicativos potencialmente indesejados (APIs). Embora os PUAs não sejam considerados malware, pois não causam danos diretos ao sistema, sua presença pode representar um risco potencial à segurança.
Freqüentemente, esta detecção aparece após o uso de software crackeado, ferramentas de geração de chaves, treinadores, motores de trapaça, e programas de software que alteram o comportamento de outros aplicativos. O uso de tais ferramentas é muitas vezes ilegal e pode levar a graves consequências legais, além de ser perigoso do ponto de vista da segurança cibernética.
PUA:Win32/Caypnamer.A!Visão geral
PUA:Win32/Caypnamer.A!ml é um nome de detecção que o Microsoft Defender usa para identificar um aplicativo potencialmente indesejado (PUA). O nome “Caypnamer” não possui uma definição específica, então fiz minhas próprias suposições sobre seu significado durante a pesquisa.
A maior parte do tempo, esta detecção parece software crackeado, ferramentas de geração de chaves, treinadores, ou motores de trapaça. Muitas vezes são obtidos de fontes não confiáveis ou por meios ilícitos. Os usuários baixam e executam esses programas sem saber, introduzindo código malicioso em seus sistemas. Embora seja ilegal usar tais ferramentas, também traz o risco de infectar seu dispositivo com malware.
A principal coisa em comum entre todos os softwares mencionados é a capacidade de interferir na memória dos processos. Alguns deles injetam o código em um programa em execução para alterar os valores internos (motores de trapaça, treinadores), alguns fazem isso para fazer o programa pular certos procedimentos, mais comumente verificações de licença. Na minha opinião, esta é a principal coisa que define Caypnamer sobre outros nomes PUA.
É PUA:Win32/Caypnamer.A!ml um falso positivo?
Às vezes, a detecção de PUA:Win32/Caypnamer.A!ml pode ser um falso positivo. Isso ocorre porque é uma detecção do Microsoft Defender, especificamente, o sistema de detecção de IA. O “!ml” partícula no final significa aprendizado de máquina. Essa detecção geralmente é acionada quando o aplicativo pode interferir nos arquivos e na memória de um programa.
Análise técnica
Vamos examinar PUA:Win32/Caypnamer.A!ml passo a passo para entender como funciona. Embora seja apenas arriscado, em vez de totalmente malicioso, realiza algumas ações que não deveriam estar aqui. Eu fiz a análise com base na amostra de um treinador para um dos jogos populares.
Virtualização/Evasão de Sandbox
Após o lançamento, Caypnamer realiza várias verificações que detectam se está sendo executado em uma máquina virtual ou ambiente sandbox. Ele acessa a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Esta consciência visa evitar tentativas de análise conduzidas dentro de tais ambientes controlados. Isso nao esta claro por que o treinador precisará saber se ele está sendo executado na VM/sandbox.
Descoberta
Outras ações do Caypnamer também são pouco seguras. Ele realiza reconhecimento do sistema infectado para coletar informações sobre sua configuração e ambiente. Algumas das amostras do Caypnamer são capazes de evadir a detecção de antivírus, e esses dados são o que dão uma pista sobre como fazer isso.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Ele lê as políticas de software para compreender as medidas de segurança e identificar possíveis vulnerabilidades. Adicionalmente, ele pode consultar as configurações de horário do sistema e informações de fuso horário para personalizar seu comportamento ou evitar a detecção com base em gatilhos baseados em tempo.
Como remover um Caypnamer.A!ml?
Se você não tiver certeza da validade da detecção, você pode usar uma ferramenta antimalware de terceiros. Eu recomendo Antimalware GridinSoft. Este programa irá ajudá-lo a determinar se existe algum programa perigoso em seu sistema. Por favor, execute uma verificação completa, que verifica todos os volumes do seu computador. A verificação pode demorar cerca 10 minutos para concluir. Assim que a verificação for concluída, Clique no “Limpar” botão para remover quaisquer itens detectados.