PUA:Win32/Packunwan é uma detecção genérica de programas potencialmente indesejados que usa empacotamento de software. Pode variar desde ser apenas irritante até criar uma grave ameaça à segurança do sistema. Dependendo disso, o grau de dano ao sistema irá variar.
Geralmente, esses programas indesejados são distribuídos como “software recomendado” em freeware, shareware ou instaladores crackeados. O nome “Packunwan” significa o programa indesejado que usa empacotamento, o que torna a análise mais complicada. Os programas detectados com este nome são quase sempre ferramentas sem nome ou duplicatas de outros programas.
PUA:Visão geral do Win32/Packunwan
A PUA:Win32/Packunwan é um aplicativo potencialmente indesejado (PUA) detecção. No entanto, a análise de amostras coletadas na Web revelou muito mais funcionalidades maliciosas. Devido à natureza diversificada dos relatórios, é um desafio determinar seu comportamento preciso sem uma análise aprofundada. Ao mesmo tempo, este programa indesejado não foi atribuído a nenhum desenvolvedor ou empresa conhecida, levando à especulação de que esses programas podem ser de origem duvidosa.
Enquanto PUAs não são necessariamente vírus, eles ainda podem ser perturbadores e representar riscos de segurança. Packunwan normalmente exibe anúncios indesejados em seu computador. Também pode rastreie sua atividade de navegação e altere as configurações do seu navegador. Entre as mais notáveis está a mudança na sua página inicial ou mecanismo de busca.
Por outro lado, o comportamento deste programa na verdade está muito além “mostrando anúncios indesejados”. A análise da amostra mostra que ela coleta muita informação do sistema, que, em combinação com a evasão de embalagem e detecção, faz com que pareça suspeito. A atividade geral do Packunwan pode comprometer a privacidade e a injeção de malware.
Análise Técnica Packunwan
Como acabei de dizer, ao analisar amostras de malware Packunwan, Eu vi muitas ações questionáveis. Em particular, ele coleta muitas informações sobre o sistema. Não o suficiente para chamá-lo de spyware, mas ainda mais do que eu consideraria aceitável. Também, sua rede é completamente estranha, beirando o que você esperaria de malware conta-gotas. Mesmo que nem todas as amostras fossem assim, havia um padrão de comportamento consistente.
Lançar & Descoberta do sistema
Após a execução, a amostra revisada de Packunwan verifica as configurações de localização do computador sem motivo óbvio. Este é o comportamento padrão para um malware, mas não um “atualizador de driver”. Para fazer isso, ele consulta o registro em busca de valores específicos relacionados às configurações de código de país.
Depois disso, o programa começa a coletar informações do sistema. Verificando a seleção de entradas de registro e consultas de funções do sistema, recupera a lista de software instalado, Informações do sistema operacional e drivers do sistema. Este último é necessário para a funcionalidade do “atualizador de driver”, mas também pode ser útil para descobrir se o sistema é uma máquina virtual.
Um truque anti-análise do qual tenho certeza é verificar as informações do disco por meio da consulta do registro. O malware verifica as chaves de registro SCSI, que descobrem se é um espaço em disco virtual criado por um ambiente sandbox ou uma máquina virtual. A tecnologia SCSI não é suportada atualmente, e é improvável que um geek que tente brincar com hardware geriátrico use aplicativos questionáveis.
HKLM\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_MSFT&PROD_VIRTUAL_DVD-ROM\2&1F4ADFFE&0&000001
HKLM\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000
Persistência e Evasão de Detecção
PUA:Win32/Packunwan usa várias técnicas de ofuscação para evitar a detecção. Como o próprio nome indica, seus arquivos estão compactados, ou seja. compactado e criptografado. A amostra que revi dados criptografados usando RC4 PRGA. Adicionalmente, ele tenta se ocultar criando arquivos em diretórios de usuários com extensões que não correspondem ao tipo de arquivo. Ao mesmo tempo, disfarça a carga útil como parte do “atualizador de driver” arquivos.
Para persistência, o programa cria serviços do Windows e adiciona entradas às chaves de execução do registro/pastas de inicialização. Embora seja um passo bastante difundido, continua eficaz, especialmente em sistemas mal protegidos. Packunwan também não permite que você desative a inicialização da interface – uma prática comum entre programas indesejados.
Comunicações de rede
Mencionei que Packunwan geralmente se destaca por sua atividade de networking. No entanto, nem todas as amostras tinham tantas coisas estranhas acontecendo no fundo quanto aquela que eu observei mais profundamente. Durante um curto período de tempo, realiza acesso conseqüente ao servidor remoto. Você pode ver o exemplo de uma dessas mensagens abaixo:
Com certeza, os atualizadores de driver devem obter os drivers que estão prestes a instalar em algum lugar. Mas até onde eu saiba, nem mesmo um único programa cria tanto caos nos logs de rede. Ou é um design de software ruim, ou a tentativa de esconder algo misturando-o nesta bagunça.
Como remover PUA:Win32/Packunwan
Você precisará de uma ferramenta antimalware para remover PUA:Win32/Packunwan. Eu recomendo o GridinSoft Anti-Malware – será a solução ideal nesse caso. Você deve executar uma verificação completa, seja um PUA de adware ou um conta-gotas. Pode demorar um pouco mais, mas garantirá uma limpeza mais eficaz.