Trojan:Win32/Casdet!rfn

Trojan:Win32/Casdet!rfn
Trojan:Win32/Casdet!rfn
Written by Robert Bailey

O que é Trojan:Win32/Casdet!rfn?

O Trojan:Win32/Casdet pode executar diversas ações prejudiciais em seu computador infectado, como roubar informações pessoais, instalar malware adicional e permitir que invasores remotos tenham acesso não autorizado ao seu sistema. É crucial remover prontamente o Trojan:Win32/Casdet!rfn do seu computador para evitar danos adicionais ao seu sistema e dados.

Análise do GridinSoft Anti-Malware
É melhor prevenir do que remediar e se arrepender!
Quando falamos sobre a intrusão de programas desconhecidos no funcionamento do seu computador, o provérbio "Prevenido está armado" descreve a situação da forma mais precisa possível. O Gridinsoft Anti-Malware é exatamente a ferramenta que é sempre útil ter em sua arsenal: rápido, eficiente, atualizado. É apropriado usá-lo como ajuda de emergência ao menor sinal de infecção.
Teste de 6 dias do Gridinsoft Anti-Malware disponível.
Contrato de Licença | Política de Privacidade | Gridinsoft
Inscreva-se no nosso canal do Telegram para ser o primeiro a saber sobre novidades e nossos materiais exclusivos sobre segurança da informação.

Na maioria dos casos, o spyware Trojan:Win32/Casdet não exibe nenhum sinal visível de sua presença. No entanto, os usuários podem observar mudanças nos componentes do dia a dia que eles utilizam, pois esse vírus não consegue manter tudo em silêncio.

Resumo do Trojan:Win32/Casdet!rfn

Essas modificações podem estar em conformidade:

  • Extração de código executável. Os criminosos cibernéticos frequentemente utilizam compactadores binários para dificultar a engenharia reversa do código malicioso por analistas de malware. Um compactador é uma ferramenta que comprime, criptografa e modifica o formato de um arquivo malicioso. Às vezes, compactadores podem ser usados para fins legítimos, por exemplo, para proteger um programa contra cracking ou cópia.
  • Injeção (inter-processo);
  • Injeção (Process Hollowing);
  • Criação de memória RWX. Há um truque de segurança com regiões de memória que permite a um invasor preencher um buffer com um shellcode e, em seguida, executá-lo. Preencher um buffer com shellcode não é um grande problema, pois é apenas dados. O problema surge quando o invasor é capaz de controlar o ponteiro de instrução (EIP), geralmente corrompendo o quadro da pilha de uma função usando um estouro de buffer baseado em pilha e, em seguida, alterando o fluxo de execução atribuindo esse ponteiro ao endereço do shellcode.
  • O tráfego HTTP contém características suspeitas que podem indicar tráfego relacionado a malware;
  • Realiza algumas solicitações HTTP;
  • O binário provavelmente contém dados criptografados ou compactados. Nesse caso, a criptografia é uma forma de ocultar o código do vírus dos antivírus e dos analistas de vírus.
  • Executou um processo e injetou código nele, provavelmente durante o desempacotamento;
  • Verifica a presença de janelas conhecidas de depuradores e ferramentas forenses;
  • Rouba informações privadas dos navegadores de Internet locais;
  • A atividade de rede contém mais de um agente do usuário exclusivo;
  • Coleta informações sobre aplicativos instalados;
  • Verifica o nome da CPU no registro, possivelmente para antivirtualização;
  • Coleta credenciais de softwares clientes de FTP locais;
  • Coleta informações relacionadas aos clientes de mensagens instantâneas instalados;
  • Coleta informações para identificar o sistema. Há características comportamentais humanas que podem ser usadas para identificar digitalmente uma pessoa para conceder acesso a sistemas, dispositivos ou dados. Ao contrário de senhas e códigos de verificação, as impressões digitais são partes fundamentais das identidades dos usuários. Entre as ameaças bloqueadas nos sistemas de processamento e armazenamento de dados biométricos estão spyware, malware usado em ataques de phishing (principalmente downloaders e droppers de spyware), ransomware e Trojans bancários como os que representam o maior perigo.
Comportamento semelhante
Domínios relacionados
klegrandlichgrum.comTrojan-Ransom.GandCrab
ip-api.comTrojan-Ransom.GandCrab

Como o Trojan:Win32/Casdet!rfn é distribuído?

A maioria dos casos de entrega do malware Trojan:Win32/Casdet!rfn ocorre dessa forma:

  • Envio de spam por e-mail ou spamming em redes sociais/plataformas de comunicação
  • Uso de programas não licenciados (hackeados) ou ferramentas duvidosas
  • Anúncios maliciosos na internet (anúncios com um link ou arquivo malicioso)
  • O uso de anúncios maliciosos na web tem sido um método de disseminação de malware de longa data. O conselho para evitar clicar em anúncios piscantes em sites não confiáveis existe desde o surgimento dos anúncios na internet. Também é possível instalar plugins de bloqueio de anúncios em seu navegador da web, que lidam efetivamente com todos os tipos de anúncios. No entanto, se o adware já estiver presente em seu PC e gerando esses anúncios, os bloqueadores de anúncios serão inúteis.

    O envio de spam por e-mail se tornou um método muito popular de distribuição de malware, uma vez que os usuários não suspeitam de notificações de empresas como DHL ou Amazon sobre uma entrega pendente. No entanto, é bastante fácil distinguir o e-mail malicioso do original. Um e-mail enviado por cibercriminosos geralmente possui um endereço de remetente estranho, como [email protected], enquanto o endereço de e-mail original possui um domínio específico (@amazon.com ou @dhl.us) e também pode ser verificado no site oficial na guia “Fale Conosco”.

    O empacotamento de software é uma prática comum entre os desenvolvedores de vírus. Usuários que hackeiam os programas para usá-los sem comprar uma licença geralmente aceitam qualquer oferta para incluir outro programa no pacote, pois estão ganhando dinheiro dessa forma. Verifique cuidadosamente a janela de instalação em busca de sinais como “Configurações avançadas de instalação” ou algo semelhante. A opção de desativar a instalação do malware muitas vezes está escondida em tais itens.

    Como posso detectar se meu computador está infectado com o vírus Trojan:Win32/Casdet!rfn?

    Em diferentes partes do mundo, vítimas do Trojan:Win32/Casdet!rfn relatam diferentes sinais de atividade do vírus. No entanto, o sinal comum de que o seu PC foi atacado por um hacktool é a desativação dos mecanismos de segurança (senhas) nos principais elementos do sistema.

    Ransomware injection

    As alterações feitas pelo vírus Trojan:Win32/Casdet!rfn são as seguintes:

    Desabilitando o Windows Defender. Uma solução antimalware incorporada da Microsoft é um alvo favorito dos criadores de malware. E, como é tão fácil desabilitá-lo por meio de Políticas de Grupo, todo segundo vírus trojan faz essa ação. O XXXXXXXXXX não é uma exceção. Após essa etapa, você não receberá uma notificação sobre o malware detectado.

    Realizando várias manipulações complicadas nas configurações de segurança do sistema. O vírus desabilita não apenas um mecanismo de segurança visível, mas também desativa os métodos usados pelo sistema para evitar a execução de malware. Sob esse termo, refiro-me à proibição de execução de scripts VBS, macros desabilitadas por padrão no MS Office ou recursos de edição de registro remoto.

    Extração de senhas. Os usuários que usam uma conta local do Windows podem perder suas credenciais. A senha da conta local é armazenada em uma área separada do processo de logon do Windows em forma criptografada. O vírus pode facilmente chamar a função de descriptografia e obter a senha da sua conta, bem como senhas de todos os usuários do seu PC e rede local.

    Detalhes técnicos

    Informações do arquivo:

    crc32: BB067C54
    md5: c3defbd7fffd387d09be5347ec1a83a1
    name: dor.exe
    sha1: ebc54f115ef8f632c6b46e72fddab8c9ba383ff3
    sha256: 189464e30cbebaec6a543baaf35c24a2d0f44143fc6992014c81780563c0984a
    sha512: 1796986c67528a0d02149abee0f1548551db6708cdf8affd79b3019a30c66fdf37b11abd19e4b0c055b88d1f8caa6c316cf27f96466bb59672415f120f492383
    ssdeep: 24576:E8DmVchRKPN6ESo+0JB2XIweCpI9Z2UBfVYhzZFQ4mB6tQJ:gARKPN6ESz0nw5pI9ZTfVIXQAqJ
    type: PE32 executable (GUI) Intel 80386, for MS Windows

    Informações sobre a versão:

    LegalCopyright: Copyright xa9 2000 - 2014 KG and its Licensors
    InternalName: Mrale Detectable
    FileVersion: 5.7.4.7
    CompanyName: NoVirusThanks Company Srl
    LegalTrademarks: Copyright xa9 2000 - 2014 KG and its Licensors
    Comments: Sculatr 2500 Aes
    ProductName: Mrale Detectable
    ProductVersion: 5.7.4.7
    FileDescription: Sculatr 2500 Aes
    Translation: 0x0409 0x04b0

    Trojan:Win32/Casdet!rfn também conhecido como:

    GridinSoftTrojan.Ransom.Gen
    MicroWorld-eScanTrojan.GenericKD.41899419
    FireEyeGeneric.mg.c3defbd7fffd387d
    CAT-QuickHealTrojan.Chapak
    McAfeeArtemis!C3DEFBD7FFFD
    MalwarebytesSpyware.Vidar
    ZillyaTrojan.Kryptik.Win32.1794435
    SangforMalware
    K7AntiVirusTrojan ( 00559c111 )
    AlibabaTrojan:Win32/Chapak.d8c8bbfe
    K7GWTrojan ( 00559c111 )
    CrowdStrikewin/malicious_confidence_90% (W)
    Invinceaheuristic
    BitDefenderThetaGen:NN.ZexaF.32519.mz0@aSC2ukhi
    SymantecTrojan.Gen.MBT
    APEXMalicious
    AvastWin32:Malware-gen
    GDataTrojan.GenericKD.41899419
    KasperskyTrojan.Win32.Chapak.eatw
    BitDefenderTrojan.GenericKD.41899419
    NANO-AntivirusTrojan.Win32.Chapak.gdndpe
    AegisLabTrojan.Multi.Generic.4!c
    Rising[email protected] (RDML:xkjjshEts+8//lcMJjLh/g)
    Endgamemalicious (high confidence)
    SophosMal/Generic-S
    ComodoMalware@#3v13sehq3v075
    F-SecureTrojan.TR/AD.MalwareCrypter.qbunp
    DrWebTrojan.PWS.Stealer.24298
    VIPRETrojan.Win32.Generic!BT
    TrendMicroTROJ_GEN.R020C0WJH19
    McAfee-GW-EditionBehavesLike.Win32.Generic.tc
    EmsisoftTrojan.GenericKD.41899419 (B)
    IkarusTrojan-Ransom.GandCrab
    CyrenW32/Trojan.DIWJ-1219
    WebrootW32.Chapak.Eatw
    AviraTR/AD.MalwareCrypter.qbunp
    Antiy-AVLTrojan/Win32.Chapak
    MicrosoftTrojan:Win32/Casdet!rfn
    ArcabitTrojan.Generic.D27F559B
    ZoneAlarmTrojan.Win32.Chapak.eatw
    AhnLab-V3Trojan/Win32.Chapak.C3517361
    Acronissuspicious
    ALYacTrojan.Agent.Casur
    MAXmalware (ai score=87)
    Ad-AwareTrojan.GenericKD.41899419
    CylanceUnsafe
    PandaTrj/CI.A
    ESET-NOD32a variant of Win32/Injector.EIOZ
    TrendMicro-HouseCallTROJ_GEN.R020C0WJH19
    FortinetW32/Chapak.EATW!tr
    AVGWin32:Malware-gen
    Paloaltogeneric.ml
    Qihoo-360HEUR/QVM10.2.91A3.Malware.Gen

    Como remover o vírus Trojan:Win32/Casdet!rfn?

    Aplicativos indesejados costumam vir acompanhados de outros vírus e spywares. Essas ameaças podem roubar credenciais de contas ou criptografar seus documentos para obter um resgate.
    Razões pelas quais eu recomendaria o GridinSoft1

    Uma excelente maneira de lidar com a detecção e remoção de ameaças é usando o GridinSoft Anti-Malware. Este programa irá escanear o seu PC, encontrar e neutralizar todos os processos suspeitos.2.

    Faça o download do GridinSoft Anti-Malware.

    Você pode fazer o download do GridinSoft Anti-Malware clicando no botão abaixo:

    Execute o arquivo de instalação.

    Quando o arquivo de instalação tiver terminado de baixar, dê um duplo clique no arquivo install-antimalware-fix.exe para instalar o GridinSoft Anti-Malware em seu sistema.

    Run Setup.exe

    Uma Controle de Conta de Usuário solicitará permissão para permitir que o GridinSoft Anti-Malware faça alterações no seu dispositivo. Portanto, você deve clicar em “Sim” para continuar com a instalação.

    GridinSoft Anti-Malware Setup

    Pressione o botão “Install” (Instalar).

    GridinSoft Anti-Malware Install

    Depois de instalado, o Anti-Malware será executado automaticamente.

    GridinSoft Anti-Malware Splash-Screen

    Aguarde a conclusão da verificação do Anti-Malware.

    O GridinSoft Anti-Malware iniciará automaticamente a verificação do seu sistema em busca de arquivos do Trojan:Win32/Casdet!rfn e outros programas maliciosos. Esse processo pode levar de 20 a 30 minutos, portanto, sugiro que você verifique periodicamente o status da verificação.

    GridinSoft Anti-Malware Scanning

    Clique em “Clean Now” (Limpar agora).

    Quando a verificação for concluída, você verá a lista de infecções que o GridinSoft Anti-Malware detectou. Para removê-las, clique no botão “Clean Now” (Limpar agora) no canto direito.

    GridinSoft Anti-Malware Scan Result

    Você está protegido?

    O GridinSoft Anti-Malware fará uma varredura e limpará seu computador gratuitamente durante o período de teste. A versão gratuita oferece proteção em tempo real nos primeiros 2 dias. Se você quiser ficar totalmente protegido o tempo todo, recomendo que compre a versão completa:

    Full version of GridinSoft

    Versão completa do GridinSoft Anti-Malware

    Se o guia não ajudar a remover o Trojan:Win32/Casdet!rfn, você sempre pode me perguntar nos comentários para obter ajuda.

    Sending
    User Review
    0 (0 votes)
    Comments Rating 0 (0 reviews)

    References

    1. Análise do GridinSoft Anti-Malware pelo site HowToFix: https://howtofix.guide/gridinsoft-anti-malware/
    2. Mais informações sobre os produtos do GridinSoft: https://gridinsoft.com/comparison

    Inglês Alemão Espanhol

    About the author

    Robert Bailey

    I'm Robert Bailey, a passionate Security Engineer with a deep fascination for all things related to malware, reverse engineering, and white hat ethical hacking.

    As a white hat hacker, I firmly believe in the power of ethical hacking to bolster security measures. By identifying vulnerabilities and providing solutions, I contribute to the proactive defense of digital infrastructures.

    Leave a Reply

    Sending