Win32/Spy.Hesperbot.A trojan (email phishing CTT)

Captomente

Captomente

Power Member
Boas.

A minha mãe recebeu um email, supostamente dos CTT, informando-a que:


A empresa de courier nao foi capaz de entregar o seu EA68983926PT pacote para o seu endereco.Causa: Erro no endereco de entrega.


Faca o download das informacoes sobre pacote no site da CTT Expresso, imprimi-lo e ir para correios para receber sua pacote.


Atencao!


Se o pacote nao for recebido dentro de 30 dias uteis a CTT Expresso tera o direito de exigir uma indemnizacao por isso esta mantendo, no montante de 3,65 euro por cada dia de manutencao. Voce pode encontrar as informacoes sobre o procedimento e as condicoes de parcela manter no escritorio mais proximo.
Clicar para expandir...



3hcd.png





Os erros de ortografia são evidentes, tal como a falta de segurança no site indicado no mail mas, infelizmente, clicou no link indicado e fez download de um ficheiro .zip que continha um outro ficheiro denonimado "objecto.pdf.exe" e que era, obviamente, vírus.


Consegui identificar uma ligação suspeita no pc infectado a um país asiático chamado Tajiquistão e enviei o ficheiro para ser "scannado" num desses serviços online. Foi detectado um tal "Win32/Spy.Hesperbot.A trojan" e após uma pesquisa no Google, reparo que é um trojan desenhado para roubar credenciais de "home banking" (Caixa, BCP, BPI, Santander), tentando levar o utilizador a instalar uma "app" no seu telemóvel/smartphone.

É um vírus bastante recente (as últimas notícias sobre o mesmo são de há poucos dias) e portanto, ainda não o conseguir remover. Já usei Spy-Bot, Malwarebytes Anti-Malware, Hijackthis e nada.


Fica aqui o aviso feito e agradeço antecipadamente a quem indicar uma solução para remover o trojan.

Obrigado, cumps.
 
Última edição:
Pelo que tenho lido o malware é distribuído via phishing e links e anexos em correio eletrónico.

Não tenho conhecimento de problemas com sites legítimos.
 
Boas, após o scann da ferramenta da Eset indicada pelo Blue Zee, detectou, de facto, o trojan (C:\Windows\ejuv\abkwotic.exe - Win32/Spy.Hesperbot.A trojan - cleaned by deleting - quarantined - Operating memory - a variant of Win32/Spy.Hesperbot.A trojan), colocou-o em quarentena e, supostamente, removeu-o.

Contudo, após reiniciar o pc, verifico no "msconfig", que continuam a executar-se ficheiros "desconhecidos" e a ligação ao tal ip do país asiático que indiquei (afinal é do Quirguistão e não do Tajiquistão..) ainda se mantém activa. Suponho que seja o trojan, pois é a única ligação à internet activa, através do "explorer.exe", após desligar/desactivar todos os processos/programas que se ligam à net.

5gzn.png



Mesmo após ter tirado os vistos e reinícios do pc, surgem sempre novos processos desconhecidos. O Malwarebytes Anti-Malware continua sem detectar nada e como o scann do Eset demora várias horas, só amanhã poderei corrê-lo novamente.


É um bicho tramado... :P

Btw, para complementar o link que o Blue Zee colocou, aqui está a notícia do JN: "Fraude internacional afeta utilizadores portugueses da banca online"
 
URGENTE

Dada a severidade do trojan sugiro formates o PC e rapidamente alteres as senhas de acesso e passwords das contas bancárias acedidas pela máquina infetada.

Tenho sérias dúvidas que neste momento haja qualquer software que garanta a limpeza total do malware.

Sugiro ainda a alteração das senhas de acesso e passwords de contas de correio eletrónico, sites sociais (Facebook, Twitter, etc.) e tudo o que implique acesso limitado e pessoal.
 
Boas. Obrigado pela recomendação e sim, confirmo, é, de facto, um trojan bastante perigoso. Não o consigo remover de forma alguma, nem mesmo com o Hitman Pro, após tua sugestão. Detecta-o mas não o consegue eliminar completamente. Impressionante...

Se surgirem novidades, virei aqui partilhá-las.

Obrigado pela ajuda! Cumps.
 
Captomente disse:
Boas. Obrigado pela recomendação e sim, confirmo, é, de facto, um trojan bastante perigoso. Não o consigo remover de forma alguma, nem mesmo com o Hitman Pro, após tua sugestão. Detecta-o mas não o consegue eliminar completamente. Impressionante...

Se surgirem novidades, virei aqui partilhá-las.

Obrigado pela ajuda! Cumps.
Clicar para expandir...

Para limpares com o Hitman PRO tens que activar o TRIAL.

en-freelicense.png



Fizeste isto?

Mas atenção mantenho a recomendação de formatação urgente.
 
Juventude... quando acedem a contas de bancos online recomendo que o façam a partir de um sistema operativo limpo

Para isso comprem uma pen usb de 1 gb metam pra lá o linux e façam boot a partir dela só para operações de online banking...



Os melhores cumprimentos
 
Obrigado à vossa a ajuda e dicas. Blue Zee, eu fiz isso e, de facto, no primeiro scan, detectou, "apagou" mas no reinicio seguinte, o trojan permanecia activo.

Fiz ontem um segundo scan com o HitmanPro e detectou uma vez mais, "apagou", reiniciei e... desta vez, parece-me que o trojan foi mesmo eliminado. A tal ligação ao país asiático já não aparece e os "itens de arranque" desconhecidos desapareceram.

O formatar está fora de questão pois o pc em questão não possui informações relevantes e ninguém acede a homebanking naquela máquina. Porém, tem demasiados programas instalados para perder tempo a formatar e instalar depois... Não vale a pena o trabalho. ;)


Obrigado mais uma vez e se houver novidades, informarei.

Cumps!
 
Boa tarde! Ontem também fui "atacada" por este vírus associado à página dos CTT. Hoje instalei o ESET Smart Security no computador em causa e no 1º scan detectou 36 ficheiros infectados que depois foram eliminados. De seguida reiniciei o computador e voltei a realizar o scan que desta vez não detectou nenhum ficheiro infectado. Também fui ver aos ficheiros de arranque e não vi lá nada desconhecido com data recente. Devo fazer mais alguma coisa ou posso supor que o vírus Trojan foi efectivamente eliminado? Fico a aguardar uma resposta, visto que não sou grande entendida no assunto e como o computador em causa é de um escritório de seguros precisava que ficasse operacional o mais rápido possível. Obrigada!
 
Corrigindo um detalhe: não é a página dos CTT que tem problemas mas sim o facto de clicarem no link que chega por mensagem de correio electrónico.

Quanto ao problema: faz uma verificação com o HitmanPRO.

No final coloca aqui o relatório final.
 
Sim, expressei-me mal em relação à página dos CTT ;)
Passei oHitmanPRO e o Malwarebytes Anti-Malware e não detectou nenhuma ameaça.
Será que o computador já está seguro?
 
Inicie sessão ou registe-se para poder participar.
Back
Topo