Vírus permite controle do sistema pela Conexão Remota. (Foto: Reprodução)
Um novo cavalo de troia brasileiro cria uma conta de usuário chamada Remo, ativa o Terminal Services (TS), serviço que permite que um computador seja administrado remotamente, e substitui um arquivo do sistema, relacionado ao TS, para aumentar o limite de conexões simultâneas. Com isso, o criminoso consegue acessar e computador da vítima e executar aplicativos pelo recurso da Área de Trabalho Remota do próprio Windows..
O código malicioso tenta se passar por uma atualização do Flash Player, e na tentativa de enganar o usuário, ele instala o Flash Player legítimo da Adobe, enquanto nos bastidores a instalação da infecção está sendo realizada.
A praga também instala componentes maliciosos no Internet Explorer, com o objetivo de roubar dados bancários e dados de logins, e executa esses componentes via compartilhamento de rede. Desta forma o criminoso pode manipular esses componentes remotamente e fazer atualização dos arquivos, ou até substituí-los, se achar necessário.
A conta Remo tem privilégios de administrador e é protegida por senha, garantindo que apenas os criadores da praga possam acessar os sistemas infectados.
O malware também utiliza um recurso do Windows chamado Tarefas Agendadas, configurando o sistema para executar um arquivo todos os dias, de meia em meia hora. Esse arquivo tem a função de verificar as versões dos componentes maliciosos instalados no Internet Explorer, e se houver versão mais recente, fazer a atualização.
Para se proteger da praga, a recomendação é a mesma de sempre: cuidado ao abrir qualquer email e sempre duvidar de mensagens que tragam notícias curiosas, especialmente sobre fatos que estão em grande destaque na imprensa.
Fonte:LinhaDefensiva
Mundo Tecnológico 