PUADLManager:Win32/Sepdot

What is PUADIManager:Win32/Sepdot detection? PUA Analysis
Seeing the PUADIManager:Win32/Sepdot detection? This may end up with much more malware

PUADLManager:Win32/Sepdot é um aplicativo potencialmente indesejado que instala software adicional. Ele sinaliza especificamente um software aplicativo que lida com a funcionalidade de agrupamento de software. O Sepdot costuma estar incluído em aplicativos freeware ou software pirata.

Aplicativos potencialmente indesejados podem parecer ameaças menos perigosas, mas eles ainda podem criar os problemas. Anúncios intrusivos, rastreando usuários’ atividade on-line, coleta de informações pessoais – tudo isso está entre os sintomas mais comuns. O Sepdot deve ser removido tão rapidamente quanto qualquer outra coisa detectada por programas antivírus.

PUADLManager:Visão geral do Win32/Sepdot

PUADLManager:Win32/Sepdot é uma detecção que o Microsoft Defender usa para detectar software potencialmente indesejado. Como o nome sugere, este aplicativo indesejado é um instalador de pacote. É mais frequentemente distribuído em aplicativos freeware ou pirated software. A peculiaridade de tais instaladores é que todos os processos de download de software adicional são realizados em segundo plano, sem a permissão do usuário.

PUADLManager:Captura de tela da janela de detecção Win32/Sepdot
PUADLManager:Janela de detecção Win32/Sepdot

Aplicativos indesejados que o Sepdot instala podem liberar uma enxurrada de anúncios intrusivos, rastrear a atividade online do usuário, e até coletar algumas informações pessoais. Às vezes, pode oferecer funcionalidades aparentemente úteis, como atualização de driver, limpeza do sistema ou ajustes na interface do Windows. No entanto, estas são meras fachadas sem valor real de desempenho. Tê-los em execução no sistema expõe você a riscos significativos.

Análise técnica

Para entender como o PUADLManager:Win32/Sepdot funciona, vamos testar uma amostra de um em uma máquina virtual. Este exemplo específico é um programa para baixar vídeos de serviços online populares. A funcionalidade do Sepdot é bastante semelhante a outros empacotadores, embora ainda existam algumas diferenças. O vetor de infecção inicial começa com o usuário executando o arquivo infectado.

Persistência e escalada de privilégios

Sepdot cria processos e arquivos em diretórios do sistema para ganhar persistência e aumentar privilégios. Em particular, ele coloca os seguintes arquivos em diretórios temporários e diretórios de alguns programas:

%USERPROFILE%\AppData\Local\Temp\aTube_Catcher_files
%WINDIR%\Microsoft.NET\Framework\v4.0.30319\clr.dll
C:\Program Files (x86)\Google\GoogleUpdater\122.0.6234.0\updater.exe
C:\Program Files (x86)\Microsoft\Temp\EU4D43.tmp\MicrosoftEdgeUpdate.exe

Além desses arquivos, o malware descarta muitas DLL arquivos e altera determinados valores específicos do registro. Tais ações permitem que PUADLManager:Win32/Sepdot para legitimar sua presença no sistema.

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\APPID\MicrosoftEdgeUpdate.exe\AppID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\APPID\{A6B716CB-028B-404D-B72C-50E153DD68DA}\ServiceParameters
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{D1E8B1A6-32CE-443C-8E2E-EBA90C481353}\LocalizedString

Coleção de dados

Sepdot coleta muitas informações sobre o sistema, particularmente sobre o perfil do usuário, configuração de hardware e versão do Windows. Eu suponho que isso seja apenas para obter impressões digitais do sistema.

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Display
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\FipsAlgorithmPolicy\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SystemInformation
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ActiveComputerName

A amostra não verifica valores como versão do BIOS ou outros valores de baixo nível, mas as chaves de registro acima fornecem informações abrangentes sobre o dispositivo que está executando. Também não parece evasão de VM/depurador, já que a coisa não verifica nenhum valor de registro relacionado.

Impacto

O efeito no sistema de destino é semelhante a outros empacotadores. PUADLManager:Downloads e instalações do Win32/Sepdot vários programas potencialmente indesejados junto com o programa principal. Além disso, com base nos dados coletados, essa coisa baixa e instala “relevante” software indesejado para o usuário.

Dado que alguns serviços dependem da localização geográfica, esta abordagem permite o uso mais favorável dos recursos adicionais do instalador de software. Por exemplo, proxies permitem contornar restrições regionais. Em casos adequados, Sepdot instalará proxyware como Stopabit ou Taskbarify em tal sistema.

Descrição da barra de tarefas
Janela do aplicativo Taskbarify – um dos vários PUAs que o Sepdot instalou no sistema de teste

Em outros casos, o empacotador pode introduzir aplicativos semelhantes a adware ou software nocivo (navegadores falsos, limpadores de sistema, etc.). O nome deles se explica muito bem, embora quase todos esses aplicativos coletem telemetria excessiva da máquina do usuário.

Como remover PUADLManager:Win32/Sepdot?

Para remover PUADLManager:Win32/Sepdot, você precisará de uma ferramenta antimalware avançada. GridinSoft Anti-Malware será a melhor opção, pois pode repelir com facilidade até mesmo aqueles aplicativos indesejados que outros antivírus ignoram. Baixe Gridinsoft Anti-Malware e execute uma verificação completa. Além de digitalizar, você pode redefinir seus navegadores e arquivo HOSTS no programa, o que ajudará a eliminar vestígios de atividades maliciosas com apenas alguns cliques.

<span longo = "um">PUADLManager:Win32/Sepdot</período>

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *