Recentemente notei "algo" sequestrando os resultados de pesquisa do Google (no Firefox!) e, por isso, decidi fazer uma varredura pelo Malwarebytes.
De fato, encontrou Trojan.Agent com as seguintes informações:
Valores de registro infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AsyncMapLite (Trojan.Agent)
-> Value: AsyncMapLite
-> Data: rundll32.exe "C:\Users\WinWin\AppData\Local\Nativeobjdrv\AsyncMapLite.dll",rasGLLite lanAuthenticationlib
Módulos de memória infectados:
c:\Users\WinWin\AppData\Local\nativeobjdrv\asyncmaplite.dll (Trojan.Agent)
Arquivos infectados:
c:\Users\WinWin\AppData\Local\nativeobjdrv\asyncmaplite.dll (Trojan.Agent)
Bem, eu pesquisei asyncmaplite no Google e não encontrei nada sobre isso.
Então, eu suspeito que o nome é totalmente irrelevante e pode estar em mutação ... Mas como o Malwarebytes encontrou, deve haver alguma informação sobre isso em algum lugar.
Alguma ideia do tipo de Trojan que é e como posso encontrar mais informações sobre ele?
ATUALIZAÇÃO (19 de setembro): Após rastrear meu sistema por um tempo, este Trojan.Agent reapareceu - com um nome diferente: iecrtlog . Está claro agora que o nome não tem sentido, pois continua em mutação.
Mas ... mesmo depois da limpeza do MBAM, está deixando uma "lembrança" no registro:
[HKEY_CURRENT_USER\Software\Nativeobjdrv]
"gFtOQZs"="TeL90WPbzngPabEduP5DI0"
"lgT"=dword:045371ea
"hUV"=dword:00004e8d
E:
[HKEY_CURRENT_USER\Software\iecrtlog]
"mUuwFxgJ"="TeL90WPbzngPabEduP5DI0"
"xifo"=dword:0487c61a
"imRTPr"=dword:0000526d
O que mostra, novamente, que tudo sobre esse cavalo de Tróia continua em mutação, , exceto pela string de assinatura "TeL90WPbzngPabEduP5DI0" .
Interessante.