PUA:Win32/Presenoker

PUA:Win32/Presenoker Adware Analysis & Removal
Detailed analysis of PUA:Win32/Presenoker and removal recommendations.

PUA:Win32/Presenoker é um adware projetado para ganhar dinheiro exibindo anúncios intrusivos e coletando dados. Este malware pode assumir o controle do seu navegador e enviar você para páginas de publicidade. A maioria deles será questionável, sem sequer um leve tom de relevância.

Muitas vezes é disfarçado como software legítimo crackeado, localizador de motorista, ou ajustador. Este malware também pode roubar algumas informações.

PUA:Visão geral do Win32/Presenoker

PUA:Win32/Presenoker é adware projetado para gerar receita por meio de anúncios intrusivos. Além de malvertising, pode roubar usuários’ dados, incluindo histórico de pesquisa, biscoitos, e outras informações confidenciais. Embora ele coleta informações básicas do sistema, trata-se apenas de imprimir as impressões digitais do sistema; não toca em senhas ou tokens de sessão. Quase todas as instâncias deste malware estão conectadas a sites que redirecionam os usuários para páginas de publicidade. Embora algumas páginas anunciadas sejam legítimas, outros são questionáveis, degradando significativamente a experiência do usuário.

PUA:Captura de tela da janela de detecção do Win32/Presenoker
PUA:Janela de detecção do Win32/Presenoker

PUA:O Win32/Presenoker geralmente se espalha sob o disfarce de software legítimo quebrado, enganando os usuários e infiltrando seus dispositivos sem o seu consentimento. O malware também se disfarça como um localizador ou ajustador de driver de laptop. No entanto, quase tudo baixado que não seja de um site oficial pode levar à infecção pelo Presenoker.

Análise Técnica Presenoker

Vamos analisar seu comportamento com base no PUA:Win32/Presenoker análise de amostra. Como eu disse acima, malware se infiltra no sistema sob o disfarce de software legítimo. No nosso caso, é uma ferramenta gratuita de pesquisa do kernel do Windows.

Uma vez no sistema, malware busca persistência. Para fazer isso, ele executa ações padrão - ele cria arquivos de driver, adiciona entradas de registro apropriadas, e obtém as permissões necessárias. Entre estes últimos está a capacidade de modificar o kernel para executar programas na inicialização do sistema.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\bajejyicthbeby.sys
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\bhrzxcfdwsfytp.sys
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\boalxrinybzftbduk.sys

O malware criou várias entradas de registro para cada arquivo para garantir que seus drivers e serviços fossem carregados “Modo de segurança mínimo”, um modo de diagnóstico do Windows apenas com funções essenciais.

Comunicação C2

Presenoker recebe várias solicitações HTTP feitas para vários URLs, incluindo xttp://ww1.epoolsoft[.]com e xttp://www.epoolsoft[.]com, sugerindo comunicação com comando e controle (C2) servidor. Conexões TCP são estabelecidas para vários endereços IP nas portas 80 e 443, indicando comunicação potencial com servidores externos.

TCP 63.143.32.86:80
TCP 64.190.63.136:80
UDP a83f:8110:0:0:6076:c7a:e801:0:53

O malware provavelmente recebe anúncios através de alguns canais (abrir alguns desses endereços redireciona para os sites anunciados).

Publicidade maliciosa

Como eu disse antes, o objetivo principal deste malware é a publicidade. Geralmente, esses anúncios geralmente promovem fraudes on-line, software não confiável ou perigoso, e malware. Quando clicado, alguns anúncios podem executar scripts para instalar ou baixar software sem o consentimento do usuário.

Captura de tela do site promovidoUm site promovido para o qual epoolsoft.com redireciona.
Captura de tela do site promovidoUm site promovido para o qual epoolsoft.com redireciona.
Captura de tela do site promovidoUm site promovido para o qual epoolsoft.com redireciona.

Em casos raros, os usuários verão o que parece ser um site legítimo de pesquisa na Internet, como Yahoo ou Bing, mas com resultados alterados. As URLs abaixo são os sites intermediários que aparecem na barra de URL durante esse redirecionamento. Parece que eles coletam informações sobre as consultas de pesquisa e Deus sabe o que mais.

http://www.epoolsoft.com/PCHunter_StandardV1.56=DE8D8650A2322F6FBD61DC24EA6CE9703EDC1C1ABBA4523E236D3DE26CFD2B49C08503DEEA5AEDF515739967BDA959FD
http://ww1.epoolsoft.com/?sub1=39aa0efd-0311-11ef-af09-729c7805264a
http://www.epoolsoft.com/pchunter/pchunter_free

Este site contém links que, quando clicado, irá redirecioná-lo usando adsensecustomsearchads[.]com

Captura de tela do endereço de redirecionamento

Evasão de Defesa

Malware pode usar IsDebuggerPresent e SetWindowsHookExW para evitar a detecção e empregar técnicas de captura. O arquivo PE possui uma seção (não .texto) que é altamente provável que contenha código compactado usando uma taxa de compactação zlib menor que 0.011. Ele também verifica depuradores, incluindo nomes de janelas e hardware/firmware exclusivos, e pode detectar máquinas virtuais. Além disso, pode usar loops evasivos para dificultar a análise dinâmica e verificar se o processo atual está em depuração.

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion

Como o nome diz, essas chaves contêm informações do BIOS. São dados suficientes para entender se o sistema é uma máquina virtual ou algum outro ambiente modificado.

Como remover Presenoker?

Para remover PUA:Win32/Presenoker você precisa usar uma solução antimalware poderosa. GridinSoft Anti-Malware será uma excelente escolha para limpar seu sistema de software indesejado. Além de limpar, esta solução irá prevenir futuras infecções no seu dispositivo.

<span longo = "um">PUA:Win32/Presenoker</período>

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *