Group Policy Objects sendo ativamente explorados por malware

Jefferson, 27 de julho de 2015,

O que deveria ser usado para proteger o computador, está sendo usado para mantê-lo infectado.

Eu esbarrei nisso em maio e esqueci de registrar aqui. Peguei uma máquina para “limpar” e não conseguia de jeito nenhum restaurar as opções de página inicial dos browsers. Nem com a ajuda do JRT e adwCleaner. Acabei descobrindo que isso estava sendo definido nesta chave do Registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects

Numa instalação normal do Windows XP, essa chave sequer existe

Exemplo de duas das várias entradas que promoviam o bloqueio das configurações dos navegadores:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{31598907-C2A1-4DD3-B287-4068993AF277}User\Software\Policies\Microsoft\Internet Explorer\Main]
“Start Page”=”www.123rede.com?oem=mbtkv3&uid=S1ZVJ50Z311252_SAMSUNGHD502HI&tm=1428352463”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{EA11CB36-712C-49B0-B99D-5324F537874A}User\Software\Policies\Microsoft\Internet Explorer\Main]
“Start Page”=”www.top8844.com?oem=mbtkv3&uid=S1ZVJ50Z311252_SAMSUNGHD502HI&tm=1429182147”

Sim, você está vendo dois objetos, aparentemente do mesmo “autor”, forçando o IE para duas páginas iniciais diferentes. É malware brigando com malware.

Eu fiz um backup da chave e a apaguei. Após reiniciar o problema de bloqueio sumiu. Mas ainda assim não consegui manter a página inicial que eu configurava. Esse cara usa alguma outra técnica em conjunto com os GPOs que não consegui identificar.

27 de julho de 2015 | Tags: | Categorias: Sem categoria
2 comentários
  • Saulo Benigno - 279 Comentários
    28/07/2015 at 9:10 · Responder

    É. Já peguei um cliente com essa bronca. Tive que ir no regedit remover manualmente. Demorou mas resolveu.

  • Matuto - 129 Comentários
    29/07/2015 at 1:37 · Responder

    Geralmente quando pego navegadores com esse problema (exceto o IE), eu desinstalo pelo Revo Uninstaller e apago as pastas em “Users\Nome do Usuário\AppData” relacionadas aos navegadores (normalmente o firefox e o chrome). Depois limpo o registro com o MV RegClean 6.9 e na maioria das vezes o problema desaparece ao reinstalar os navegadores.

    Se não me falha a memória, só uma vez que não consegui de maneira nenhuma mudar o do IE, mesmo após de apagar algumas linhas no regedit. Então, como eu já havia perdido a paciência, acabei apelando pra colocar a página do Google direto nos links do IE e expliquei a situação para o cliente.

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »