Área de Trabalho Remota

Vírus permite controle do sistema pela Conexão Remota. (Foto: Reprodução)

Um novo cavalo de troia brasileiro cria uma conta de usuário chamada Remo, ativa o Terminal Services (TS), serviço que permite que um computador seja administrado remotamente, e substitui um arquivo do sistema, relacionado ao TS, para aumentar o limite de conexões simultâneas. Com isso, o criminoso consegue acessar e computador da vítima e executar aplicativos pelo recurso da Área de Trabalho Remota do próprio Windows..

O código malicioso tenta se passar por uma atualização do Flash Player, e na tentativa de enganar o usuário, ele instala o Flash Player legítimo da Adobe, enquanto nos bastidores a instalação da infecção está sendo realizada.

A praga também instala componentes maliciosos no Internet Explorer, com o objetivo de roubar dados bancários e dados de logins, e executa esses componentes via compartilhamento de rede. Desta forma o criminoso pode manipular esses componentes remotamente e fazer atualização dos arquivos, ou até substituí-los, se achar necessário.

A conta Remo tem privilégios de administrador e é protegida por senha, garantindo que apenas os criadores da praga possam acessar os sistemas infectados.

O malware também utiliza um recurso do Windows chamado Tarefas Agendadas, configurando o sistema para executar um arquivo todos os dias, de meia em meia hora. Esse arquivo tem a função de verificar as versões dos componentes maliciosos instalados no Internet Explorer, e se houver versão mais recente, fazer a atualização.

Para se proteger da praga, a recomendação é a mesma de sempre: cuidado ao abrir qualquer email e sempre duvidar de mensagens que tragam notícias curiosas, especialmente sobre fatos que estão em grande destaque na imprensa.

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

1 comentário

  1. É.., teve um caso no ForumGDH, que estavo resolvendo, que tinha esse nome de usuário invasor.

    Link-> http://www.hardware.com.br/comunidade/deletar-usuario/1104683/#post5185553

    O rapaz afirmou que não conseguia excluir a conta “Remo”, nem entrando em (Modo de Segurança Administrador), e ele abando o tópico, não apareceu mais.

    Nem sei se ele resolveu o problema!

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.