O processo RegAsm.exe é um componente importante do sistema operacional Windows associado ao .NET Framework. Este utilitário é projetado para registrar assemblies .NET no registro do Windows, permitindo que clientes COM chamem aplicativos gerenciados. Vamos analisar sua funcionalidade e ver se o malware pode abusar dela.
O que é RegAsm.exe?
RegAsm.exe (Ferramenta de registro de montagem) é um utilitário de linha de comando que fornece aos usuários e desenvolvedores a capacidade de registrar CLR (Tempo de execução de linguagem comum) assemblies no registro do Windows. A principal função deste utilitário é crie entradas de registro que vinculem identificadores de classe COM e interfaces para as classes .NET correspondentes. Graças a este processo, é possível usar funcionalidades escritas em linguagens .NET (por exemplo., C# ou VB.NET) em aplicativos desenvolvidos em linguagens não gerenciadas (por exemplo., C++). Isso amplia as possibilidades de integração de diferentes softwares.
Como funciona?
O processo é executado por meio do prompt de comando do Visual Studio Developer e do Visual Studio Developer PowerShell usando a seguinte sintaxe:
RegAsm.exe assembly_name.dll [options]
Aqui “nome_assembly” é o nome do arquivo do assembly a ser registrado.
Possível “opções” incluir:
- /registered – adiciona informações sobre o local do assembly ao registro, que permite ao CLR encontrar o assembly pelo seu caminho;
- /tlb – cria uma biblioteca de tipos (Arquivo TLB) para a montagem, o que é necessário para usá-lo como um objeto COM;
- /registered – usa apenas versões de tipos já registrados no registro;
- /unregistered – remove informações sobre o assembly do registro.
RegAsm.exe pode ser um vírus?
Embora o próprio RegAsm.exe seja um utilitário legítimo da Microsoft para registrar compilações do Windows. Seu nome pode ser usado por malware para disfarçar a sua actividade. É um método comum usado por vírus e outros tipos de malware para se autodenominarem pelos nomes de arquivos legítimos do sistema.. Isso é feito para confundir os usuários e os programas antivírus.
Encontrar este processo no Gerenciador de Tarefas não é tão fácil. RegAsm.exe é iniciado apenas para realizar o registro da compilação e termina imediatamente depois. Portanto, sua presença no Gerenciador de Tarefas será muito breve. Nesse caso, o usuário pode simplesmente não perceber este processo se não olhar para o Gerenciador de Tarefas exatamente no momento de sua execução.
O malware pode criar ou baixar um arquivo chamado RegAsm.exe (não é original, obviamente) em um local inadequado (como na pasta de um usuário ou em pastas temporárias) e execute-o a partir daí para evitar a detecção. Para descobrir se o processo RegAsm.exe é legítimo ou malware, existem algumas etapas que você pode seguir:
1. Verificando a localização do arquivo:
O local padrão do arquivo RegAsm.exe no Windows 10/11 sistemas depende do número da versão do Microsoft .NET Framework.
O padrão é:
C:\WindowsMicrosoft.NETFramework64[versão]\RegAsm.exe
(“versão” – é a versão do .NET Framework, por exemplo, v4.0.30319 para .NET Framework 4.5 e acima.)
Para verificar a presença e localização exata de RegAsm.exe em seu computador, você pode usar a função de pesquisa no Windows Explorer ou executar o seguinte comando na linha de comando (DMC):
dir C:\ /s /b | findstr RegAsm.exe
Este comando também procurará o arquivo RegAsm.exe em toda a unidade C, mostrando caminhos completos para arquivos que correspondem aos critérios de pesquisa. Se o arquivo que você encontrou no Gerenciador de Tarefas tiver um local diferente, isso pode ser um sinal de atividade maliciosa.
2. Verificação de assinatura digital:
Arquivos legítimos da Microsoft geralmente possuem uma assinatura digital indicando sua origem. Verificar a assinatura do arquivo nas propriedades pode mostrar se o arquivo foi editado ou não.
Além disso, RegAsm.exe pode ser usado por invasores para registrar assemblies maliciosos no sistema. Código malicioso registrado como um servidor COM pode ser invocado por outros aplicativos, potencialmente comprometendo o sistema. É especialmente perigoso se um invasor obtiver acesso a uma conta com privilégios administrativos.
Posso remover RegAsm.exe do meu PC?
Desinstalar RegAsm.exe não é uma ação recomendada, pois é um componente padrão e importante do Microsoft .NET Framework no registro do sistema Windows. Esta ação pode interromper a funcionalidade de aplicativos que dependem deste utilitário e causar erros de software no computador.
Mas se você tiver certeza absoluta de que RegAsm.exe foi modificado ou substituído por um programa malicioso, então você pode remover a cópia maliciosa do arquivo. No entanto, você não deve remover o próprio utilitário legítimo.
A melhor maneira de remover malware é usar um software antivírus, que também pode procurar e remover outras ameaças. Antimalware GridinSoft é esse software. Ele encontrará facilmente o arquivo suspeito e o removerá.
