Virus:Win32/Floxif.H é uma detecção de um programa malicioso, embora não seja um vírus como você pode supor pelo seu nome. Malware como o Floxif visa entregar e instalar cargas maliciosas adicionais em sistemas comprometidos.
Este malware usa diferentes táticas para evitar a detecção, como compactação e substituição de arquivos, também empregando truques anti-análise. Ele se espalha por meio de ferramentas de hacking de software e anúncios maliciosos.
Virus:Visão geral do Win32/Floxif.H
Virus:Win32/Floxif.H é uma detecção do Microsoft Defender que aponta para malware ativo no sistema. Nesse caso, nós estamos falando sobre um conta-gotas – malware projetado para instalar outro malware (como ladrões e ransomware) em um computador. Embora o conta-gotas possa parecer inofensivo à primeira vista, a carga útil que pode trazer não é.
Um vetor de infecção comum é o software pirata, arquivos, e programas de redes P2P, downloaders de terceiros, páginas obscuras, etc.. Este método é ideal para espalhar malware porque geralmente envolve a desativação do software de segurança durante a instalação. No entanto, além do risco de segurança, software pirata é ilegal. Em outros casos, os usuários infectam computadores por meio de anúncios maliciosos e atualizações falsas de software. Devido à fraca moderação dos anúncios da Rede de Pesquisa, este método é bastante popular entre golpistas.
Entre os aspectos mais preocupantes do vírus:Win32/Floxif.H é sua habilidade em evitar mecanismos de detecção. Elimina sistematicamente os arquivos originais e os substitui por versões criptografadas e compactadas. Este truque obscurece efetivamente sua presença, tornando um desafio para o software antivírus tradicional identificar e neutralizar.
Análise técnica
Vamos examinar como o vírus:Win32/Floxif.H se comporta usando uma única instância. Uma vez dentro, o malware aproveita comandos e interpretadores de scripts, como aceitar argumentos de linha de comando. Adicionalmente, pode utilizar módulos compartilhados para vincular funções em tempo de execução no Windows. Após a execução, a coisa realiza algumas verificações, principalmente para determinar a localização do sistema.
HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\AreaCodes
Persistência
O malware estabelece mecanismos de persistência para garantir que permaneça ativo durante as reinicializações do sistema. Isso envolve a criação de chaves de registro de inicialização automática não documentadas ou outros métodos para manter sua presença no sistema. Os invasores podem usar esses Chaves AppInit_DLLs para carregar seus arquivos DLL em todos os processos do sistema.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\RequireSignedAppInit_DLLs
Escalação de privilégios
Floxif aumenta as permissões de seu próprio processo através do comando para o utilitário SubInACL. O comando abaixo contém especificamente o final ”=f”, que é um argumento para as permissões de “controle total”.
(open) C:\subinacl.exe/subdirectories %SAMPLEPATH%" /grant=s-1-1-0=f" [(null)]
Depois disso, o malware solicita permissões que lhe permitem ter um controle abrangente sobre o sistema. O último privilégio da lista é o mais preocupante, pois permite efetivamente que a ameaça manipule os drivers. Essa manipulação é comumente usada para introduzir malware altamente persistente.
SE_DEBUG_PRIVILEGE – gets the ability to debug any process in the system
SE_INC_BASE_PRIORITY_PRIVILEGE – allows for changing the process’ execution priority
SE_LOAD_DRIVER_PRIVILEGE – the ability to control (load and unload) the drivers
Entrega de carga útil
Depois de ganhar os privilégios, Floxif descarta a carga útil no sistema de destino. Ele se conecta a um servidor remoto (um da lista incorporada em cada amostra), puxa a carga útil e a salva em uma das pastas legítimas. Geralmente, ele opta por uma pasta em o C:\Arquivos de Programas ou Program Files (x86):
C:\Program Files (x86)\Google\Update\1.3.33.17\goopdate.dll.tmp
C:\Program Files\Common Files\System\symsrv.dll
C:\Program Files\Common Files\System\symsrv.dll.000
C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk
Os referidos arquivos são lançados posteriormente e recebem privilégios mais elevados. O malware original faz o mesmo truque com as ameaças que carrega e consigo mesmo.
C:\Windows\System32\wuapihost.exe -Embedding
(open) C:\subinacl.exe/subdirectories C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk" /grant=s-1-1-0=f" [(null)]
Evasão de Defesa
O malware emprega táticas para evitar detecção e análise. Isso inclui embalagem de amostra, criptografia e ofuscação, que são bastante típicos do malware moderno. O que é menos típico são as limpezas contínuas que o Floxif faz após a primeira fase da sua atividade.
cmd.exe /c del /F /Q "C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe.dat"
cmd.exe /c del /F /Q "C:\Program Files (x86)\Google\Update\1.3.33.17\goopdate.dll.dat"
cmd.exe /c rd /S /Q "C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe.dat"
cmd.exe /c rd /S /Q "C:\Program Files (x86)\Google\Update\1.3.33.17\goopdate.dll.dat"
Os comandos acima servem para excluir os arquivos que o malware descartou anteriormente no processo de execução. Sem eles, será muito mais difícil para o software antimalware rastrear a infecção.
Como remover o vírus Win32/Floxif.H?
Para remover o malware Virus Win32/Floxif.H do seu sistema, Eu recomendo fortemente o uso do GridinSoft Anti-Malware. Correr uma verificação completa usando GridinSoft Anti-Malware, espere a verificação terminar, e Clique no “Limpa agora” botão para remover todos os elementos maliciosos do seu sistema. GridinSoft Anti-Malware também ajudará você a manter seu sistema protegido contra futuros ataques de malware.
