Weather Zero

O que é o Weather Zero? Guia de Remoção
O Weather Zero é um programa indesejado com recursos bastante preocupantes

Weather Zero é um programa indesejado semelhante a um conta-gotas que se disfarça como um widget de previsão do tempo para Windows. Ele se espalha como software potencialmente indesejado por meio de agrupamento, e pode entregar malware ao sistema alvo. Sua aparência inocente faz com que muitas pessoas o ignorem ou acreditem que seja completamente inofensivo e, portanto, tenham pouca ou nenhuma pressa em removê-lo. Deixe-me explicar seus perigos em detalhes e mostrar como remover o programa indesejado do sistema.

Visão geral do tempo zero

Weather Zero parece ser um programa que exibe informações meteorológicas em tempo real. À primeira vista, parece ser apenas um pequeno widget de previsão do tempo que fica no canto inferior direito. Para ser completamente justo, é menos que útil no Windows moderno 10/11 sistemas, pois eles têm um widget semelhante integrado diretamente na barra de tarefas. Mas o principal problema do aplicativo vai muito além da duplicação das funções do sistema: tem alguns recursos semelhantes aos de malware. O Weather Zero pode de fato atuar como um conta-gotas, com o objetivo de entregar uma carga útil de outro malware ao sistema alvo.

Captura de tela do widget Zero weather
Widget de tempo zero

A forma mais difundida de divulgação do Weather Zero é algum software obscuro que você pode encontrar online. Modificações de jogo, treinadores, truques, “patches” para jogos mais antigos, ou software totalmente pirateado – tudo isso normalmente vem de desenvolvedores sem nome que são livres para injetar qualquer lixo eletrônico que desejarem. E o Weather Zero é apenas mais um participante neste esquema.

Análise técnica

Para provar as afirmações feitas anteriormente, vamos entrar nos aspectos técnicos do Weather Zero e descobrir por que este programa não é o que afirma ser.

A primeira bandeira vermelha é que este programa executa verificações para ambientes virtuais e depuradores, o que é incomum para uma aplicação típica. Normalmente, os aplicativos são agnósticos em relação aos seus ambientes; verificações de hardware podem ser uma coisa, mas trata-se de uma lista de verificação bastante curta. Com este aplicativo, Vi as verificações dos seguintes arquivos e chaves de registro:

C:\WINDOWS\wininit.ini
C:\Windows\system32\drivers\etc\hosts
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion
HKEY_LOCAL_MACHINE\Hardware\description\System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid
\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option

Conforme inferido dos nomes dessas chaves, o programa está verificando as informações do BIOS, detalhes de hardware, e especificamente procurando por chaves relacionadas a máquinas virtuais. Este comportamento definitivamente não é típico de um widget de previsão do tempo.

Depois de garantir que não está sendo executado em um ambiente virtual, o programa coleta informações básicas do sistema. Esse “impressão digital” não inclui dados confidenciais, mas é usado para identificar a máquina infectada. Esta etapa, como o anterior, é característico de malware, e não de um widget meteorológico normal.

Conexão C2

O programa duvidoso se conecta ao seu comando e controle (C2) servidores ligando para os seguintes endereços IP.

TCP 172.67.211.190:443
TCP 20.99.132.105:443
TCP 104.26.11.57:443
UDP 192.168.0.13:137
TCP 142.250.69.195:80

Notavelmente, muitos deles correspondem a weatherzero.com, microsoft.com, Azul, Google, nuvemflare, e Amazon Web Services. Esta pode ser a indicação de que Weather Zero faz algumas ligações genuínas, ou simplesmente realiza algumas ações inúteis para confundir os sistemas de segurança.

Carga útil

Próximo, o aplicativo em questão prossegue com sua tarefa principal – entregar sua carga útil ao sistema. O programa coloca os seguintes arquivos DLL na pasta temporária do sistema %USERPROFILE%AppDataLocalTemp:

nsaE521.tmp\INetC.dll
nsvF2EC.tmp\INetC.dll
nsz528C.tmp\INetC.dll
nso2BAD.tmp\INetC.dll

Como o Weather Zero foi instalado com privilégios administrativos, ele pode executar esses arquivos DLL com o mais alto nível de privilégios. A carga útil que obtive em minhas observações parece ser algo enfadonho e desinteressante, mas suspeito que isso se deva à detecção de um ambiente virtualizado. Não está claro se este junkware pode implantar malware “sério”, ou pare em adware e sequestradores de navegador, como alguns dos programas semelhantes fazem.

Como remover o clima zero?

Para remover o Tempo Zero, usar GridinSoft Anti-Malware: ele removerá o vírus de maneira confiável e protegerá contra outras ameaças, independentemente da sua origem. Baixe-o através do link abaixo e siga o guia para deixar seu sistema limpo como novo.

Baixe e instale GridinSoft Anti-Malware clicando no botão abaixo. Após a instalação, execute uma verificação completa: isso irá verificar todos os volumes presentes no sistema, incluindo pastas ocultas e arquivos de sistema. A digitalização levará cerca de 15 minutos.

Tela principal do GridinSoft Anti-Malware

Após a varredura, você verá a lista de elementos maliciosos e indesejados detectados. É possível ajustar as ações que o programa antimalware realiza para cada elemento: clique “Modo avançado” e veja as opções nos menus suspensos. Você também pode ver informações estendidas sobre cada detecção – tipo de malware, efeitos e fonte potencial de infecção.

Tela de verificação do GridinSoft Anti-Malware

Clique “Limpa agora” para iniciar o processo de remoção. Importante: o processo de remoção pode levar vários minutos quando há muitas detecções. Não interrompa este processo, e você terá seu sistema limpo como novo.

GridinSoft Anti-Malware após limpeza

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *