Virus:Win32/Floxif.H

What is Virus:Win32/Floxif.H detection? Analysis & Removal
Floxif.H is a malicious program that can act as a loader malware

Virus:Win32/Floxif.H é uma detecção de um programa malicioso, embora não seja um vírus como você pode supor pelo seu nome. Malware como o Floxif visa entregar e instalar cargas maliciosas adicionais em sistemas comprometidos.

Este malware usa diferentes táticas para evitar a detecção, como compactação e substituição de arquivos, também empregando truques anti-análise. Ele se espalha por meio de ferramentas de hacking de software e anúncios maliciosos.

O malware se torna cada vez mais perigoso a cada dia, mudando de um tipo para outro. Detectar essas ameaças elusivas requer uma solução avançada. GridinSoft Anti-Malware irá parar todos os vírus e malwares modernos antes que eles possam fazer seu trabalho sujo. 👉🏼 Obtenha uma ferramenta de segurança adequada

Virus:Visão geral do Win32/Floxif.H

Virus:Win32/Floxif.H é uma detecção do Microsoft Defender que aponta para malware ativo no sistema. Nesse caso, nós estamos falando sobre um conta-gotas – malware projetado para instalar outro malware (como ladrões e ransomware) em um computador. Embora o conta-gotas possa parecer inofensivo à primeira vista, a carga útil que pode trazer não é.

Captura de tela da janela de detecção do Floxif
Detecção de Floxif

Um vetor de infecção comum é o software pirata, arquivos, e programas de redes P2P, downloaders de terceiros, páginas obscuras, etc.. Este método é ideal para espalhar malware porque geralmente envolve a desativação do software de segurança durante a instalação. No entanto, além do risco de segurança, software pirata é ilegal. Em outros casos, os usuários infectam computadores por meio de anúncios maliciosos e atualizações falsas de software. Devido à fraca moderação dos anúncios da Rede de Pesquisa, este método é bastante popular entre golpistas.

Entre os aspectos mais preocupantes do vírus:Win32/Floxif.H é sua habilidade em evitar mecanismos de detecção. Elimina sistematicamente os arquivos originais e os substitui por versões criptografadas e compactadas. Este truque obscurece efetivamente sua presença, tornando um desafio para o software antivírus tradicional identificar e neutralizar.

Análise técnica

Vamos examinar como o vírus:Win32/Floxif.H se comporta usando uma única instância. Uma vez dentro, o malware aproveita comandos e interpretadores de scripts, como aceitar argumentos de linha de comando. Adicionalmente, pode utilizar módulos compartilhados para vincular funções em tempo de execução no Windows. Após a execução, a coisa realiza algumas verificações, principalmente para determinar a localização do sistema.

HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\AreaCodes

Persistência

O malware estabelece mecanismos de persistência para garantir que permaneça ativo durante as reinicializações do sistema. Isso envolve a criação de chaves de registro de inicialização automática não documentadas ou outros métodos para manter sua presença no sistema. Os invasores podem usar esses Chaves AppInit_DLLs para carregar seus arquivos DLL em todos os processos do sistema.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\RequireSignedAppInit_DLLs

Escalação de privilégios

Floxif aumenta as permissões de seu próprio processo através do comando para o utilitário SubInACL. O comando abaixo contém especificamente o final ”=f”, que é um argumento para as permissões de “controle total”.

(open) C:\subinacl.exe/subdirectories %SAMPLEPATH%" /grant=s-1-1-0=f" [(null)]

Depois disso, o malware solicita permissões que lhe permitem ter um controle abrangente sobre o sistema. O último privilégio da lista é o mais preocupante, pois permite efetivamente que a ameaça manipule os drivers. Essa manipulação é comumente usada para introduzir malware altamente persistente.

SE_DEBUG_PRIVILEGE – gets the ability to debug any process in the system
SE_INC_BASE_PRIORITY_PRIVILEGE – allows for changing the process’ execution priority
SE_LOAD_DRIVER_PRIVILEGE – the ability to control (load and unload) the drivers

Entrega de carga útil

Depois de ganhar os privilégios, Floxif descarta a carga útil no sistema de destino. Ele se conecta a um servidor remoto (um da lista incorporada em cada amostra), puxa a carga útil e a salva em uma das pastas legítimas. Geralmente, ele opta por uma pasta em o C:\Arquivos de Programas ou Program Files (x86):

C:\Program Files (x86)\Google\Update\1.3.33.17\goopdate.dll.tmp
C:\Program Files\Common Files\System\symsrv.dll
C:\Program Files\Common Files\System\symsrv.dll.000
C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

Os referidos arquivos são lançados posteriormente e recebem privilégios mais elevados. O malware original faz o mesmo truque com as ameaças que carrega e consigo mesmo.

C:\Windows\System32\wuapihost.exe -Embedding
(open) C:\subinacl.exe/subdirectories C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk" /grant=s-1-1-0=f" [(null)]

Evasão de Defesa

O malware emprega táticas para evitar detecção e análise. Isso inclui embalagem de amostra, criptografia e ofuscação, que são bastante típicos do malware moderno. O que é menos típico são as limpezas contínuas que o Floxif faz após a primeira fase da sua atividade.

cmd.exe /c del /F /Q "C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe.dat"
cmd.exe /c del /F /Q "C:\Program Files (x86)\Google\Update\1.3.33.17\goopdate.dll.dat"
cmd.exe /c rd /S /Q "C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe.dat"
cmd.exe /c rd /S /Q "C:\Program Files (x86)\Google\Update\1.3.33.17\goopdate.dll.dat"

Os comandos acima servem para excluir os arquivos que o malware descartou anteriormente no processo de execução. Sem eles, será muito mais difícil para o software antimalware rastrear a infecção.

Como remover o vírus Win32/Floxif.H?

Para remover o malware Virus Win32/Floxif.H do seu sistema, Eu recomendo fortemente o uso do GridinSoft Anti-Malware. Correr uma verificação completa usando GridinSoft Anti-Malware, espere a verificação terminar, e Clique no “Limpa agora” botão para remover todos os elementos maliciosos do seu sistema. GridinSoft Anti-Malware também ajudará você a manter seu sistema protegido contra futuros ataques de malware.

<span longo = "um">Virus:Win32/Floxif.H</período>

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *