quinta-feira, 1 de fevereiro de 2018

Como saber se você foi infectado pelo CrossRat e como remove-lo.




O crossRat é um malware multi-plataforma de acesso remoto desenvolvido pelo grupo "Dark Caracal" o malware foi detectado a primeira vez em Janeiro de 2018, mas pesquisas mais a fundo sugerem que o grupo já desenvolve o vírus desde maio de 2017, o trojan foi projetado para rodar em maquinas com Windows, MacOs e Linux, pois o mesmo foi empacotado em JAVA, com o terminação ".JAR".
Image result for crossrat

O CrossRat tem como característica alterar arquivos do sistema, também como roubar informações, tirando prints da sua tela, e ainda como funciona um keylogger, roubando tudo o que você digita no teclado.
Como o virus roda em Java ele não é detectado na maioria dos anti-vírus. 
Existem alguns spywares que já buscam e removem a ameaça mas até agora nenhum remove gratuitamente.
Como o vírus roda em Java só deve se preocupar usuários que tenham o Java instalado na maquina, caso você tenha instalado o java em ambas as distribuições, você deve procurar pelo arquivo MEDIAMGRS normalmente com a extensão .JAR.
No linux o mesmo se encontra na pasta /usr/var, como as informações são muito novas é possível que o vírus esteja em outras pastas do sistema principalmente na pasta ~/.config/autostart.

Já para quem utiliza Windows deve-se verificar as chaves de registro em HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ e verificar se não é possível encontrar algum comando para algum -JAR ou ainda MEDIAMGRS.JAR

Para MacOS verifique algum arquivo jar em ~/Library, especialmente mediamgrs.jar ou ainda nos agentes de execução "LaunchAgents" em /Library/LaunchAgents ou ~/Library/LaunchAgents com o nome de mediamgrs.plist

Caso você tenha alguma informação diferente ou ainda se precisar de alguma ajuda comente e ajude o blog ou ainda seus leitores.

Obrigado e até a próxima.

Acompanhe meu blog.

Curta no facebook realguilhermecristiano
Siga-me no Twitter @_guicristiano
Siga no Twitter @ctecnologia
Inscreva-se no meu canal pessoal
Guilherme Cristiano

Acompanhe também meu blog pessoal
bloguilhermecristiano

Wordpress, arquivo index.php sendo recriado ao deletar na pasta public_html

Neste post, quero relatar um problema que aconteceu com um dos meus clientes de cPanel e seu WordPress. O cliente comprou um desses template...