Trojan:Win32/Mamson.A!ac

What is Trojan:Win32/Mamson.A!ac?
We analyzed the Trojan:Win32/Mamson.A!ac and found the way to remove it

Trojan:Win32/Mamson.A!ac é um tipo de malware projetado para coletar dados do sistema que infecta. Às vezes, famílias de spyware conhecidas obtêm esta detecção. O malware é normalmente distribuído disfarçado de utilitários úteis baixados de fontes não confiáveis.

Trojan:Win32/Mamson.A!Visão geral

Trojan:Win32/Mamson.A!ac é uma detecção do Microsoft Defender que sinaliza malware ladrão de informações. Este tipo de programa malicioso visa coletar dados do sistema infectado. Geralmente, ele coleta credenciais de login de arquivos do navegador, biscoitos, histórico do navegador, e outras informações sobre a atividade da vítima na Internet. Em alguns casos, amostras de RedLine Stealer aparecem sob esta detecção. Ainda, o efeito é exatamente o mesmo.

Trojan:Win32/Mamson.A!captura de tela de detecção de CA
Trojan:Win32/Mamson.A!detecção de CA

O Trojan Mamson geralmente se espalha sob o disfarce de utilitários úteis baixados from shady websites, incluindo Esses locais têm condições ideais para distribuição de malware, como a maioria dos softwares hackeados exige desativação obrigatória de software antivírus Durante a instalação. Em certos casos, pode se esconder no instalador.

Análise técnica

Vamos analisar o Trojan:Win32/Mamson.A!ac destruindo uma de suas amostras. Como esta detecção é genérica, pode haver variações bastante selvagens em certas áreas, mas a funcionalidade “mainstream” permanece a mesma.

Assim que Mamson entrar no sistema, ele verifica o ambiente virtual, depuração, ou sandbox. Por esta, Ele verifica os seguintes valores no registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft/Windows NT\CurrentVersion\LanguagePack\DataStore_V1.0
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Display

Essas chaves mantêm informações sobre a versão do sistema operacional, pacotes de idiomas, e configurações de exibição. Esses dados são úteis tanto para impressões digitais quanto para determinar se o ambiente tem algo de sintético..

Escalação de privilégios

Depois dos primeiros passos, o malware aumenta privilégios, o que lhe dá uma posição segura no sistema. Começar com, ele manipula o sistema de relatório de erros do Windows para se legitimar.

%windir%\system32\wbem\wmiprvse.exe
%windir%\System32\svchost.exe -k WerSvcGroup
%windir%\system32\WerFault.exe -u -p 2660 -s 684

Avançar, ele cria seu próprio serviço, executando um comando para o Service Control Manager. Isso torna o Mamson muito mais difícil de remover manualmente, já que os serviços protegem seus arquivos subjacentes. Tentar removê-lo de qualquer maneira depois de tal truque provavelmente resultará em BSOD, a menos que o software antimalware seja usado.

C:\Windows\system32\sc.exe start w32time task_started

Evasão de Defesa

Para evitar a detecção, Mamson vem embalado (criptografado) forma que permite evitar detecção estática. Para se legitimar, o malware brinca com chaves de registro da Identity Client Runtime Library (IdentidadeCRL). Alguns dos valores também são usados ​​para manter configurações de malware.

HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Immersive\production\Property\001880060ADF5C62
HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Immersive\production\Property\00188006102E98CE

Para cobrir os rastros, este malware também manipula os logs do sistema Windows Error Reporting. Ele edita linhas dos logs que contêm as informações sobre as interações WerFault que mencionei acima.

C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_executable.exe_515752de8867334bf1b5dff986a385cbabdecb_6ccb0f67_0f5f9b13
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_executable.exe_515752de8867334bf1b5dff986a385cbabdecb_6ccb0f67_0f5f9b13\Report.wer
C:\ProgramData\Microsoft\Windows\WER\Temp\WER1FF4.tmp.dmp

Coleção de dados

Como eu disse, O vírus Mamson é um ladrão de informações, então seu objetivo principal é coletar informações confidenciais. Ao terminar os preparativos, o malware começa com a criação de uma pasta em C:\Usuários[DO UTILIZADOR]/Downloadscp e copiando dados de C:\Usuários[DO UTILIZADOR]\AppDataGoogleChromeDados do usuárioPadrãoDados de login. Essa pasta mantém uma ampla gama de informações sobre as credenciais do usuário e tokens de sessão. Ele também coleta os seguintes dados:

C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_cbbb49d6-b7ff-44ca-aba5-8a5e250d4d42
C:\Windows\System32\Microsoft\Protect\S-1-5-18\User\c74ecc55-989d-484d-a8fe-47bdfda57159
C:\Windows/System32\spp/store\2.0\cache\cache.dat.

Adicionalmente, Acessos Mamson aplicativos e carteiras de criptomoeda para colher credenciais. Eu não tinha uma carteira criptografada sobrando para sacrificar no teste, então não havia registros correspondentes. Assim que a coleta de dados for concluída, o malware o envia para um dos servidores de comando. Seus endereços IP estão integrados à amostra de malware:

23.216.147.76:443
23.216.147.64:443
104.86.182.8:443

Como remover Trojan:Win32/Mamson.A!ac?

Para remover Trojan:Win32/Mamson.A!você vai precisar uma varredura com GridinSoft Anti-Malware. Como o malware tem como alvo principal o Windows’ defesas embutidas, eles podem estar desativados ou não funcionar corretamente. Com GridinSoft Anti-Malware, você terá certeza de que o malware desapareceu completamente. Execute uma verificação completa para verificar todo o sistema e remover até mesmo as ameaças mais secretas.

<span longo = "um">Trojan:Win32/Mamson.A!ac</período>

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *