Stopabit é um aplicativo indesejado que quase não tem funcionalidade útil. Os usuários podem ver suas promoções como uma ferramenta útil para controle do tempo de tela, mas na verdade visa explorar a largura de banda. Isso pode levar a problemas de conectividade e tráfego ilícito sendo roteado através do sistema.
Esses aplicativos são comumente distribuídos por meio de pacotes de software. Isso supõe a instalação junto com software pirata, mods de jogos e software semelhante de fontes questionáveis.
Visão geral do vírus Stopabit
Stopabit é um software malicioso que se manifesta como um processo dentro do Gerenciador de Tarefas do Windows. Cai nos aplicativos potencialmente indesejados (APIs) categoria, trabalhando como proxyware. Isso significa que o Stopabit pode rotear o tráfego de terceiros através do sistema em que está ativo.. Além disso, finge ser uma ferramenta conveniente para agendar pequenas pausas no uso do PC, presumivelmente para cuidar dos seus olhos.
O principal perigo do proxyware é o uso não autorizado da largura de banda do sistema. Durante a instalação, Stopabit diz que monetizará usando Globalhop SDK. Este último parece legítimo apenas na superfície: como inúmeras análises de fornecedores de segurança conhecidos mostram, este SDK foi usado repetidamente para rotear tráfego ilegal. Como os serviços de proxy cinza são bastante populares na Darknet, é muito fácil entender de onde vem esse tráfego.
EULA do aplicativo Stopabit - com as linhas referentes ao uso do Globalhop SDK
EULA do aplicativo Stopabit - com as linhas referentes ao uso do Globalhop SDKDa mesma forma que outros aplicativos proxyware, Stopabit entra principalmente nos dispositivos dos usuários por meio de software pirata e programas ilegais semelhantes como keygens e ativadores. Às vezes, ele pode se infiltrar nos sistemas por meio de versões falsas de mods para jogos populares.
Análise de tempo de execução Stopabit
Para entender como o Stopabit funciona, vamos passar por cada etapa de suas ações analisando uma de suas amostras. Imediatamente após a instalação, ele envia a notificação para a bandeja, oferecendo para começar a usar a ferramenta.
A interface do programa é bastante ascética, para dizer o mínimo. Existe apenas um painel com ações possíveis; o resto das coisas disponíveis na bandeja são apenas EULA, algumas configurações básicas e informações do programa. O problema é que todas essas funções já estão presentes no Windows, como parte do aplicativo Focus.
E bem, o prato principal do Stopabit é seu módulo proxyware. Começa junto com o programa, e parece ter suas próprias configurações de persistência. Mesmo quando você interrompe o programa da bandeja, o processo correspondente no Gerenciador de Tarefas continua em execução. Isso significa que as conexões proxy continuarão funcionando até que você remova o programa completamente.
Reconhecimento do Sistema
Stopabit tenta reunir informações detalhadas sobre o sistema interagindo com o Registro do Windows, consultando processos em execução, e lendo várias configurações do sistema. Também tenta obter informações sobre o software instalado, incluindo políticas de software e GUID de máquina criptográfica, a versão do sistema operacional, informação do sistema, consultar variáveis de ambiente, e obtenha o tamanho do disco, linguagem do sistema, localização geográfica, e informações de fuso horário.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ICM\RegisteredProfiles
HKCU\Software\Classes\Local
HKCU\Software\Classes\Local Settings\MuiCache\1F4\52C64B7E\LanguageList
As chaves de registro incluem preferências de interface e idioma, configurações do aplicativo, conexão de internet, detalhes da sessão e recuperação, aplicativos instalados, configurações de internet, certificados de segurança, Configurações do Windows, valores de registro, e políticas de segurança.
Também tenta detectar máquinas virtuais para dificultar a análise por este valor
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ICM\RegisteredProfiles
Esta chave de registro está relacionada para gerenciamento de cores no Windows. O malware entende se está em um ambiente virtualizado dependendo da resposta recebida.
Conexão C2
O malware usa protocolos web seguros (HTTPS) para se comunicar com seu servidor de comando e controle. Isso torna a detecção de tráfego malicioso uma tarefa excepcionalmente difícil, pois isso bloqueia a capacidade de detectá-lo por partes específicas. Ele também transmite dados usando as seguintes portas não padrão – outro recurso anti-detecção e anti-sniff. Todos os servidores C2 possíveis estão codificados na amostra, provavelmente durante a compilação.
track.stopabit.com/v1/?c=381B2D6D-3DF2-41A2-8798-9AD14FB5F586&i=ba6361541ad79f7d5bb94c8f8cec972d&e=preinstall&n=Stopabit&v=1.0.2.0
128.140.126.44:32069 (UDP)
a83f:8110:0:0:1400:1400:2800:3800:53 (UDP)
a83f:8110:2800:0:2800:0:1800:0:53 (UDP)
Como remover Stopabit?
A remoção quase obrigatória do Stopabit envolve o uso de software anti-malware. GridinSoft Anti-Malware é uma ótima solução para remover Stopabit e outros malwares com apenas alguns cliques. A remoção manual quase não é possível, já que este aplicativo cria inúmeras cópias de backup em todo o disco, que restaurará a ameaça de volta. GridinSoft irá encontrar e excluir todos de uma vez – basta executar uma verificação completa.
