Trojan:Win32/Vigorf.A

Trojan:Win32/Vigorf.A Malware Description
Trojan:Win32/Vigorf.A is able to infiltrate the computer system, install additional malware and remain undetected by antivirus programs.

Trojan:Win32/Vigorf.A é uma detecção genérica do Microsoft Defender. Essa detecção geralmente identifica um malware de carregador em execução que pode causar danos significativos ao sistema. Neste artigo, vamos descobrir o quão perigoso é o Vigorf.A e como se livrar dele.

O que é Trojan:Win32/Vigorf.A?

Trojan:Win32/Vigorf.A é o nome de detecção que Atributos do Microsoft Defender para malware dropper/loader. Este nome genérico de detecção refere-se a uma ampla gama de programas maliciosos, em vez de uma família específica. O objetivo do Vigorf.A é desautorizar o acesso ao sistema, e maior distribuição de malware. Como minha análise detalhada mostrou, Trojan:Win32/Vigorf.A usa vários métodos para contornar programas antivírus e proteção do sistema operacional.

Trojan:Detecção de Win32/Vigorf.A

Geralmente, este malware baixa ou instala outros programas maliciosos no computador. Ele descarta seus arquivos e modifica as configurações do sistema e outros arquivos de configuração para ganhar persistência. Adicionalmente, ele se conecta a servidores remotos para enviar informações coletadas e baixar programas maliciosos adicionais.

É Trojan:Win32/Vigorf.A Falso Positivo?

Falsos positivos com o nome Vigorf.A não são uma ocorrência comum. Existem apenas alguns casos discutidos online, e todos eles são relacionado ao software que beira o malicioso.

Falso-positivo
Reclamações de usuários sobre detecção de falsos positivos

O caso mais comum aqui são modificadores ou patches de jogo. Tais ferramentas modificar a memória do jogo ou arquivos para desbloquear recursos e podem ser identificado erroneamente como Trojan:Win32/Vigorf.A por causa de sua capacidade de invadir a memória de outros programas. Ferramentas e scripts semelhantes usados ​​por desenvolvedores de software pode ser identificado erroneamente como malicioso. Embora seja potencialmente seguro e legítimo, é importante tratar esse software com cuidado.

Análise do Trojan Vigorf.A

Estudando o comportamento do Trojan:Win32/Vigorf.Uma amostra em um sistema infectado me mostrou quão elaboradas essas ameaças podem ser. Não só o Trojan collect personal user data, mas também modifica as configurações do sistema, criando vulnerabilidades adicionais e abrindo a porta para outros malwares.

Métodos de distribuição

Trojan:Win32/Vigorf.A é frequentemente espalhar via e-mail de spam campanhas contendo anexos ou links maliciosos. Assim que o usuário abrir o anexo ou clicar no link, o Trojan está instalado em seu computador, diretamente ou através do script de carregamento. Apesar de ser usado para propagação de malware há anos, o spam por e-mail continua sendo uma opção de propagação particularmente potente e eficaz.

Exemplo de spam de e-mail

Malvertising is another tricky method que tem sido usado para espalhar Trojan:Win32/Vigorf.A no que diz respeito à minha pesquisa. Este malware explora redes de anúncios para exibir anúncios maliciosos nos resultados do mecanismo de pesquisa. Esses anúncios redirecionam os usuários para duplicatas maliciosas de sites familiares ou baixam malware diretamente em seus dispositivos.

Anúncio falso do Libreoffice
Anúncio falso do LibreOffice que tenta imitar o URL do site original

Além disso, Vigorf.A costuma estar escondido em pacotes contendo software ilegal ou pirateado. Quando eu baixo e instalo esses programas, o trojan também está instalado no meu computador. Freqüentemente, esse software é oferecido gratuitamente, o que o torna atraente, mas acaba custando mais por causa dos danos que o trojan causa.

Lançar, Ganhando persistência e coleta de dados

Depois de lançar no sistema, Trojan:Win32/Vigorf.A adiciona-se à execução automática aproveitando a pasta de inicialização. Isso permite que ele inicie automaticamente sempre que o sistema for iniciado. No meu caso, Encontrei um atalho estranho adxjcv4.lnk, que acabou por estar associado ao trojan.

APPDATA%\microsoft\windows\start menu\programs\startup\_adxjcv4_.lnk

alternativamente, Vigorf.A pode usar o DLL hijacking technique. Isso acontece com especial frequência quando o malware chega com o carregador, que descompacta a amostra e cuida do lançamento. A maneira de executar o malware não é nada incomum – um comando do PowerShell que executa a DLL de malware através da chamada para rundll32.exe.

rundll32.exe %windir%\system32\advpack.dll

Após o lançamento, malware verifica a localização do sistema pelo seu endereço IP e passa a coletar os dados do sistema. Isso dá ao Vigorf.A a capacidade de distinguir aquele sistema específico de outros. Isso também pode ser usado para ataques mais direcionados ou para obter um conjunto bastante exaustivo de vítimas.’ informações do sistema para analisar. O malware verifica particularmente os valores das seguintes chaves para obter informações sobre programas presentes no PC:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} and \=\Count

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F} and \=\Count

Verificando as próximas chaves, Trojan:Win32/Vigorf.A aprende sobre o dispositivos e redes aos quais o computador se conecta e pode identificar os pontos mais vulneráveis ​​para novos ataques. Essas informações ajudam os mestres do malware a implantar malware de maneira mais relevante, e obtenha lucro extra com sistemas relacionados a uma rede.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache and \=\Intranet

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect

Comunicações C2 e entrega de malware

Depois de coletar todos esses dados, Vigorf criptografa e envia para o servidor de comando usando solicitação HTTP POST. A lista de servidores de comando foram predefinidos para as amostras com as quais trabalhei, mas isso pode ser diferente em outros casos. Servidor, por sua vez, responde com um bloco de dados que instrui o malware para ações adicionais. Obviamente para malware dropper, entrega de carga útil é um dos instruções mais prováveis pode conseguir.

Para instruir o conta-gotas sobre entrega de malware, C2 envia as URLs que Vigorf deve conectar e baixe-o de. Ele envia comandos HTTP GET para os seguintes URLs:

http[:]//185.117.75.198/fiscal/1
http[:]//194.163.43.166/08/st/m.zip

Os arquivos baixados desses endereços foram disfarçados de documentos comuns ou arquivos incompletos, fazendo-os difícil de detectar e analisar. Assim que o Vigorf terminar de baixar o malware, ele usa utilitários de sistema como wuapp.exe para iniciá-lo.

"C:\Windows\System32\wuapp.exe" -c "C:\ProgramData\sHrhJDaCBu\cfg"

Como remover Trojan:Win32/Vigorf.A?

Para remover Trojan:Win32/Vigorf.A, Eu recomendo usar Antimalware GridinSoft. Ele detectará e removerá Vigorf.A, bem como encontrar outros programas maliciosos baixados por ele. Este Anti-Malware também pode trabalhar com o Windows Defender para criar uma linha adicional de defesa.

<span longo = "um">Trojan:Win32/Vigorf.A</período>

É importante execute uma verificação completa e remova todas as ameaças detectadas. Eu também recomendaria manter o sistema e todos os programas atualizados com as versões mais recentes para eliminar vulnerabilidades que o malware pode explorar..

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *