Vírus SMApps

What is SMApps?
SMApps is a pretty nasty thing. You should get rid of it as soon as possible.

SMApps é um programa malicioso que visa difundir promoções ilegais. Ele ataca principalmente os navegadores, alterando as configurações e redirecionando as consultas de pesquisa do Google para sites suspeitos.. Os possíveis métodos de distribuição são padrão: anúncios maliciosos e sites duvidosos com software hackeado.

Este malware usa diferentes métodos de evasão de detecção, anti-análise, e táticas de persistência. Embora posicionado principalmente como adware, ele pode fornecer outros aplicativos semelhantes a adware e registrar as teclas digitadas.

A cibersegurança pessoal é mais importante do que nunca. GridinSoft Anti-Malware removerá ameaças atuais e protegerá seu sistema contra possíveis novas ameaças. 👉🏼 Obtenha proteção adequada

Visão geral dos SMApps

SMApps é um malware que se enquadra a designação de adware e sequestradores de navegador. Este malware visa principalmente alterar as configurações do navegador da web, principalmente aqueles relacionados a mecanismos de pesquisa e páginas iniciais. Depois de digitar uma consulta de pesquisa no Google.com, um redirecionamento para Bangsearch[.]pró ocorre em vez dos resultados de pesquisa esperados.

Captura de tela das chaves de registro
Entradas de registro de SMApps

Além do Bangsearch, SMApps podem promover literalmente qualquer outro mecanismo, dependendo de quem paga. Mesmo quando joga o usuário para o Yahoo ou Bing, os resultados parecem alterados e podem conter conteúdo prejudicial. Além disso, sistemas de pesquisa falsos geralmente coletam dados confidenciais do usuário, em uma extensão muito maior do que os provedores de pesquisa mais comuns.

À primeira vista, pode parecer apenas irritante, como a maioria dos vírus adware. No entanto, isso é diferente. A análise detalhada mostrou que os SMApps podem roubar informações confidenciais do dispositivo da vítima e redirecionar as consultas de pesquisa. Ele pode capturar pressionamentos de teclas, coletar informações do processo, e instale carga útil adicional (geralmente outro adware). A remoção dessa coisa é complicada, independentemente do caminho da infecção, porque o malware usa vários truques para evitar isso. Eu fiz minha análise desta ameaça, encontrando todos os truques que ele faz no sistema infectado – você pode ver abaixo.

Smaps pop-ups
Spam de notificação pop-up – um dos resultados do SMApps

Os principais locais de propagação do vírus SMApps são sites que distribuem software hackeado, e anúncios maliciosos. Páginas obscuras com complementos ou mods para jogos populares contribuem para a propagação desse malware. Além disso, essa coisa pode se espalhar sozinha, replicando os arquivos para unidades USB, agindo efetivamente como um verme, então tome cuidado com o que você conecta à sua porta USB.

Análise técnica

Não foi difícil recuperar a amostra de SMApps – plataformas de análise de malware estão repletas de suas amostras. Este foi algum tipo de hack para Roblox, que confirma o que descobri sobre formas de divulgação. Vamos dar uma olhada em suas atividades internas e no sistema.

Acesso Inicial

O estágio de acesso inicial envolve SMApps usando vários métodos para ganhar uma posição no sistema de destino. Na próxima etapa, invasores podem usar Instrumentação de gerenciamento do Windows para consultar informações confidenciais do dispositivo de vídeo ou verificar se um programa antivírus está instalado. Isso atua tanto como impressão digital do sistema quanto como etapa de análise/evasão de VM:

IWbemServices::ExecQuery - ROOT\cimv2 : SELECT * FROM Win32_VideoController
IWbemServices::ExecQuery - ROOT\SecurityCenter2 : SELECT * FROM AntiVirusProduct

Isso geralmente é feito para detectar máquinas virtuais. Também consulta as informações da tabela de firmware e verifica se o processo atual está sendo depurado. Adicionalmente, ele consulta informações do disco para detectar máquinas virtuais. Para dificultar a análise dinâmica, o programa pode conter sono médio e longo (>= 30 seconds and >= 3 minutos respectivamente) e use loops evasivos.

Persistência & Escalação de privilégios

SMApps ganha persistência através da criação ou modificação de serviços do Windows, chaves de execução do registro, e pastas de inicialização.

Isso exige Windows Installer para organizar sua execução posterior, ocultando a janela através dos argumentos da linha de comando.

"C:\Windows\system32\msiexec.exe" /I "C:\Users\\AppData\Local\Temp\tmphphvtapd" /qb ACCEPTEULA=1 LicenseAccepted=1

Para ganhar mais persistência e privilégios adicionais, este programa exige Serviço de relatório de erros do Windows. Este truque é bastante popular atualmente, pois abusa da capacidade de reiniciar o processo com privilégios superiores sem solicitar uma janela do UAC.

C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 7280 -ip 7280
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3300 -ip 3300

Conexão do servidor de comando, Instalações Adicionais

Quanto às comunicações com C2, SMApps usam protocolo FTP e uma lista de endereços pré-determinados para conexão. No meu caso, o 162.250.124.82:21 endereço era um servidor primário. No entanto, a conexão não pode se orgulhar de nenhum registro rico – o malware apenas envia as informações sobre o sistema infectado. No entanto, coisas mais interessantes surgiram depois de deixar a coisa rodar em segundo plano.

Como eu disse acima, SMApps podem agir como um conta-gotas. Deixou cair dois arquivos após a instalação:

IdealWeightOperator.exe
IdealWeightService.exe

Esses dois programas maliciosos são praticamente o mesmo que o próprio SMApps em termos de funcionalidade. Eles alteram as configurações do navegador além do que o original faz, promovendo sites questionáveis ​​e gerando anúncios indesejados. Mesmo que essas ameaças não sejam realmente graves, o facto de ser capaz de o fazer é preocupante.

Como remover SMApps?

Para remover SMApps, você precisa de uma solução antivírus eficaz. Eu recomendo Antimalware GridinSoft pois ajudará a remover esse malware sem muito esforço. Os usuários relatam problemas com a remoção deste malware com a abordagem manual, portanto, uma ferramenta especializada é necessária. O programa GridinSoft também permitirá que você reinicie seu navegador em dois cliques. Isto é especialmente eficaz quando o navegador sofre interferência de adware.

<span longo = "um">Vírus SMApps</período>

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *