VirTool:Win32/DefenderTamperingRestore é o nome da detecção do Microsoft Defender de um elemento malicioso presente no sistema. Geralmente, marca algo que pode enfraquecer a segurança do sistema e tornar o dispositivo vulnerável à injeção de malware. Vamos descobrir o quão perigoso isso é, e como lidar com isso.
Ameaças como o VirTool costumam ser o sinal de um ataque de malware em andamento. As ameaças podem conter código incorporado direcionado a ferramentas de segurança e usar um script independente. O fato de software malicioso tentar desabilitar ferramentas antivírus geralmente significa que suas atividades são difíceis de ocultar, ou seja. é algo duro e severo. Ransomware, bloqueadores de desktop, vírus vândalos, mineradores de moedas – todos eles podem fazer uso de um sistema indefeso.
O que é VirTool:Win32/DefenderTamperingRestore?
VirTool:A detecção do Win32/DefenderTamperingRestore aponta para um maligno elemento que pode impedir o Microsoft Defender de funcionar corretamente. Isso pode incluir vários scripts, aqueles que modificam chaves de registro que controlam o funcionamento do Defender. Também é acionado ao tentar executar scripts ou fazer download programas projetados para subverter as defesas do sistema. Como eu disse, VirTool fica oculto para o usuário e é executado em segundo plano. Isto faz detecção de malware e remoção mais difícil.
Também, pirateado software pode conter parte do código que modifica as configurações do sistema para contornar as restrições de licença, mas não contém funcionalidades maliciosas. Software pirata também pode incluir scripts que desabilitam o Microsoft Defender para evitar que componentes maliciosos sejam detectados e removidos.
É VirTool:Win32/DefenderTamperingRestore falso positivo?
Embora o VirTool:Win32/DefenderTamperingRestore geralmente indica a presença de atividade maliciosa, em alguns casos é pode ser o resultado de uma detecção de falso positivo. Isso pode acontecer se software legítimo ou scripts administrativos alterarem as configurações de segurança durante a operação padrão ou manutenção do sistema.
VirTool:Win32/DefenderTamperingRestore às vezes também aparece em cenários envolvendo o uso do Microsoft Safety Scanner (MSERT), que pode identificar e relatar configurações alteradas como parte de sua varredura, corrigindo-os de volta para configurações mais seguras.
Análise de restauração de adulteração do Defender
Como eu disse acima, é especialista em modificar chaves de registro para desabilitar o Microsoft Defender, ou restringir suas capacidades. Isso é feito principalmente por meio de comandos do PowerShell ou do prompt de comando que modificam as políticas do sistema e configurações específicas do Defender..
Uma coisa em particular que alguns VirTool:As amostras Win32/DefenderTamperingRestore fazem é modificar as entradas do registro responsáveis pela proteção heurística e em tempo real. O malware vai especialmente para o “DisableRealtimeMonitoring” chave para desativar a proteção em tempo real ou modifique “DisableBehaviorMonitoring” para parar de rastrear atividades suspeitas.
Percorrendo as chaves de registro afetadas
Entre os principais objetivos do VirTool está desativar o Defender completamente. O malware cria o “Desativar AntiSpyware” parâmetro, definindo seu valor para 1, que impede o Defender de funcionar.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Para desativar a proteção proativa, VirTool cria outra chave – “Desativar monitoramento em tempo real” – e configura-o para 1. Isso interrompe as ferramentas de segurança da verificação contínua de todas as pastas acessadas e arquivos iniciados.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
Um truque menos frequente que essa coisa faz visa o envio automático de amostras sistema. Ao definir o 1 valor para a entrada DontReportInfectionInformation na seguinte seção de registro, desativa o envio de amostras para a Microsoft.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet
Algumas das coisas que a Microsoft detecta com este nome alcance um nível altíssimo de truques com comandos do Windows. Um conjunto confuso de letras e símbolos sem sentido que você pode ver abaixo é bastante útil. Ele define certas pastas – especialmente aqueles que o malware usa – para a lista de permissões do Microsoft Defender. Diversos amostras de ransomware use os mesmos comandos ou similares durante a obtenção de persistência.
C:\Windows\SysWOW64\sc.exe
sc sdset WinDefender D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Em casos raros, VirTool atuou como um carregador, baixando e executando módulos maliciosos adicionais. Modificou o “Concha” e “Userini” chaves de registro para executar scripts maliciosos na inicialização do sistema. No entanto, uma ocasião muito mais comum é esse elemento malicioso ser incorporado em um script mais complexo. Este último normalmente orquestra a injeção inicial de malware, onde desabilitar o Microsoft Defender é uma etapa preliminar bastante óbvia.
Como remover VirTool:Win32/DefenderTamperingRestore?
A aparência do VirTool:Win32/DefenderTamperingRestore geralmente é um mau presságio. É provável que seja um sinal de atividade de malware isso vai abaixo do radar. Para esse caso, Eu recomendo seguir estes passos:
1. Reinicie o seu computador no modo de segurança com rede
Abra o menu Iniciar, em seguida, clique no “Reinício” botão enquanto segura a tecla Shift. O menu Solução de problemas aparecerá, selecione aqui “Solucionar problemas” → “Configurações de inicialização” e clique “Reiniciar”. Isso leva você para a janela com opções do Modo de segurança.
Role para ver as etapas 2, 3 e 4
Lá, Clique no 5 botão para iniciar o modo de segurança com rede. Este modo impede o lançamento de todos os processos não essenciais, deixando você com o Windows vazio e recursos de conectividade de rede ativados. Fazer isso restringe a execução de malware, tornando a remoção muito mais fácil de realizar.
2. Execute um software antivírus confiável
Baixe um software antivírus confiável que pode remover restos do VirTool permanentemente do seu PC. Antimalware GridinSoft é uma excelente opção para isso. Execute uma verificação completa e remova todas as ameaças detectadas.
