none
ERP detectado como virus pelo Defender RRS feed

  • Pergunta

  • Bom dia pessoal, preciso da ajuda de vocês.

    Trabalho como desenvolvedor em uma empresa comercial de materiais elétricos, essa empresa possui um departamento de TI para realizar manutenção e desenvolver novas funções nosso ERP, além de manter a rede, equipamentos e etc. Utilizamos esse ERP desde o início dos anos 2000, com isso, ele já foi utilizado em várias versões do Windows, como o 2000, XP, Seven, 8, 8.1 e agora o 10. A partir da versão 8, onde o Defender e o MS Essentials foram unificados e passaram a fazer parte do Windows, nosso ERP é identificado como um banload (TrojanDownloader:Win32/Banload), porém era só marcar nosso sistema como exceção no Defender que conseguíamos utilizá-lo normalmente. Só que agora no Windows 10, essas exceções não são respeitadas, fazendo com que o sistema seja fechado e as vezes até excluído da pasta na rede. Não conseguimos identificar essa falha de segurança dentro do código fonte e por isso peço a ajuda de vocês, alguma orientação, algo do tipo, para podermos mexer no código e corrigir isso.

    Utilizamos nosso ERP somente internamente, não temos pretensão de comercializá-lo  ou disponibilizá-lo para outras empresas.

    Agradeço desde já!

    terça-feira, 11 de outubro de 2016 13:34

Todas as Respostas

  • Olá,

    O ERP pode ter algum código fonte ou algo do género em que assinatura é idêntica ao Win32/Banload.

    https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2fBanker

    Threat behavior

    Installation

    Win32/Banker can be downloaded into your PC by other malware, often detected as Win32/Banload variants. Banker files can have file extensions of JPEG, SCR, GIF, CPL, VXD, PIF, or MP3.

    Most Win32/Banker variants target customers of Brazilian banks; however some variants also target banks in Mexico, Argentina, Spain, France, United Kingdom, and Ireland, to name a few.

    Many variants of Win32/Banker drop copies of themselves along with configuration files to different folders on the infected PC, such as the default Windows folder, the default Windows system folder, and the default startup folder. Its main executable might contain the string cartao, which is the Portuguese word for card.

    Win32/Banker also often configures itself to run automatically each time Windows starts by editing the system registry, or by installing itself as a Browser Helper Object (BHO) with its own unique GUID.

    Payload

    Disables security software

    Some variants try to disable security software like antivirus and firewall programs.

    Steals banking information

    Many Win32/Banker variants check what browsers are open and what websites the browsers are open to. Specifically, it checks if the webpage title or URL pertain to banking websites. Many variants log keystrokes to record whatever you enter to log onto the website. To be more effective at stealing your banking information, Win32/Banker might display a webpage similar in appearance to your actual banking website, in which case the credentials you enter are directly sent to a hacker. It can also take screenshots of your infected PC if you access the bank login page.

    Win32/Banker send the stolen information to a hacker in different ways, including sending an email to the attacker, uploading the stolen information to a hacker's FTP site, and sending the information to the hacker via HTTP POST.

    Proxy functionality

    Some Win32/Banker variants drop a malicious configuration script that can redirect your Internet traffic through a hacker-controlled proxy. It does this by setting the following registry entry:

    In subkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    Sets value : "AutoConfigUrl"
    With data: "<path and file name of script>"

    Analysis by Marianne Mallen


    If this answer help please mark it as a answer :) Thanks, Ricardo Cabral

    sexta-feira, 20 de janeiro de 2017 13:48
  • Ola Rafael,

    Não consigo lhe dar uma dica em relação a parte de DEV, mas em relação a exclusão do arquivos na versão do Widnwos Defender do W10, tente adicionar as três etapas "Pastas", extensão do arquivos e se possível o nome do processo. Já peguei problemas desse tipo, se não fizesse os três ele sempre detectava e removi uma parte do sistema.

    Espero que ajude.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    sexta-feira, 20 de janeiro de 2017 19:38
  • Rafael experimente utilizar o https://www.reasoncoresecurity.com para vereficar se da o mesmo resultado.
    Ele dá informações de alguma assinatura por exemplo https://www.reasoncoresecurity.com/erp.exe-481d4c00d1e474e2ae650cf01aeb01ded8a745c8.aspx

    If this answer help please mark it as a answer :) Thanks, Ricardo Cabral

    sábado, 21 de janeiro de 2017 15:47