Centenas de utilizadores do Windows Defender em países lusófonos relataram, de um dia para o outro, detecção do Trojan PowerShell/DownInfo.BA, perda de Internet e criação de exceções de segurança. Aprenda a reconhecer, desinfectar e blindar o sistema — sem reinstalar o Windows.
O que é o Trojan PowerShell/DownInfo.BA e por que merece atenção
DownInfo.BA pertence à família de trojans que tiram partido do PowerShell para executar código oculto no Windows. A carga útil instala um minerador de criptomoeda em C:\Windows\System32\DomainAuthHost, manipula definições de rede e cria tarefas agendadas que se reinstalam sempre que o computador arranca. Embora surja geralmente após a instalação da actualização KB5060533 (com definições 1.429.460.0 de 10 / 06 / 2025), a atualização apenas passou a detectar um malware que já se encontrava no disco. Ou seja, o problema não é a atualização em si, mas a infecção preexistente.
Sintomas mais frequentes
- Alertas contínuos do Windows Defender mencionando “Trojan:PowerShell/DownInfo.BA”.
- Perda total ou intermitente de ligação à Internet, causada por proxy forçado ou corrupção do serviço BITS.
- Exclusões suspeitas acrescentadas ao Defender (
C:\Windows\System32,powershell.exe). - Tarefas agendadas com nomes genéricos—EdgePathUpdaterTask, WindowsSoftwareAgent—que reaparecem após apagar.
- Processos Node.js consumindo CPU, típicos de mineração clandestina.
Análise técnica do vector de ataque
Persistência via Scheduled Tasks
O script inicial cria ou altera tarefas no Agendador chamando powershell.exe -EncodedCommand <base64>. O comando decifra‑se em tempo de execução para contornar antivírus e registos de texto plano.
Instalação silenciosa do minerador
A pasta DomainAuthHost recebe ficheiros .js, bibliotecas .dll e um config.json. Estes ficheiros são copiados com atributos Hidden e System, dificultando a visualização em exploradores de ficheiros convencionais.
Alteração das configurações de rede
Um módulo auxiliares modifica WinHTTP, Internet Settings e o serviço BITS, direccionando tráfego para proxies externos que injectam anúncios e bloqueiam o Windows Update.
Guia de Remoção Completa
O roteiro seguinte foi validado ao longo de dezenas de casos reais. Siga as etapas na ordem exata.
| Etapa | Ação | Observações |
|---|---|---|
| 1 | Arranque em Modo de Segurança | Impede a execução das tarefas maliciosas. |
| 2 | Redefinir proxy e BITSnetsh winhttp reset proxybitsadmin /util /setieproxy localsystem NO_PROXY RESET | Remove proxies forçados que cortam a Internet. |
| 3 | Eliminar pasta maliciosard /s /q C:\Windows\System32\DomainAuthHost | Se der “access denied”, pare a tarefa associada e repita. |
| 4 | Executar Farbar Recovery Scan Tool — Descarregar FRST64.exe e colocar em Downloads. — Clicar Scan sem alterar opções. | Gera FRST.txt e Addition.txt. |
| 5 | Gerar e aplicar fixlist.txt — Script remove registo, tarefas e ficheiros persistentes. — No FRST clicar Fix e reiniciar. | Cada fixlist é pessoal; não use em máquinas diferentes. |
| 6 | Rever exclusões do Defender GUI ou regedit:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths → apagar C:\Windows\System32HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes → apagar powershell.exe | Sem isto, o malware regressa ou o Defender fica desativado. |
| 7 | Verificação adicional — Análise Offline do Windows Defender. — Ferramenta gratuita KVRT. | Confirma que não restam componentes ativos. |
Validação pós-limpeza
- Abrir a Consola do Defender → Histórico de Proteção. Procurar “remediation incomplete”; se aparecer, repetir a etapa 6.
- No PowerShell (elevado), correr
Get-ScheduledTask | Where-Object {$_.TaskPath -like "DomainAuthHost"}; resultado vazio confirma remoção. - Em Definições > Rede e Internet > Proxy garantir que “Uso de servidor de proxy” está desativado.
- Executar
ipconfig /flushdnse reiniciar.
Boas práticas de prevenção
Manter o Defender atualizado
Abra Definições > Windows Update > Atualizações de definições antes de cada varredura. Definições recentes são o primeiro escudo.
Evitar software pirata e ativadores KMS
Muitos logs de FRST mostram scripts KMS que reinstalam proxies maliciosos. Se precisa de software pago, adquira‑o legalmente ou use alternativas gratuitas.
Configurar a firewall nativa
A Firewall do Windows é suficiente na maioria dos cenários. Para maior controlo, crie regras de saída que bloqueiem comand‑and‑control externos em portas não convencionais (ex.: 3333, 4444 usados por mineradores).
Criar pontos de restauro regulares
Depois de limpo, abra Proteção do Sistema e crie um ponto. Assim, qualquer alteração suspeita futura pode ser revertida em minutos.
Perguntas frequentes
O KB5060533 é culpado pela infeção?
Não. O pacote apenas adiciona assinaturas que passaram a detectar o malware já presente. A remoção segue o roteiro descrito; não desinstale a atualização.
Posso usar outro antivírus em vez do Defender?
Pode, mas não é necessário. O Defender possui elevada taxa de detecção e integra‑se melhor com o Windows Security Center. Para “segunda opinião” utilize ferramentas pontuais como KVRT ou ESET Online Scanner.
FRST é seguro?
Sim, desde que descarregado do fórum oficial bleepingcomputer.com. O programa é amplamente usado por especialistas de remoção e não instala serviços residentes.
O que fazer se a Internet ainda não funciona?
Verifique de novo o separador Proxy. Se estiver limpo, corra:netsh int ip resetnetsh winsock reset e reinicie. Em redes corporativas, confirme se o proxy pac não é imposto por GPO.
Conclusão
Trojan PowerShell/DownInfo.BA é astuto: usa PowerShell codificado, substitui políticas de rede e tenta desativar o antivírus. Mas não exige formatação do PC. Com arranque seguro, remoção manual da pasta DomainAuthHost, aplicação de fixlist personalizada no FRST e restauração das exclusões do Defender, praticamente todos os utilizadores conseguem erradicar a ameaça em menos de uma hora. Mantenha o sistema atualizado, evite software duvidoso e crie pontos de restauro: são passos simples que protegem não apenas contra DownInfo.BA, mas contra toda a próxima geração de ameaças PowerShell‑based que já despontam na web.