Como saber se alguém tem acesso remoto ao seu computador Windows?

Alguns dos tipos mais perigosos de malware são projetados para obter acesso remoto ao PC da vítima, como Trojans de acesso remoto (RATs) e rootkits em nível de kernel . Eles operam silenciosamente, dificultando a detecção. Se você estiver preocupado que alguém tenha acesso remoto não autorizado ao seu PC Windows, saiba como confirmar e remover a ameaça.

Sinais de alerta quando alguém acessa seu PC

Embora a maioria das tentativas de acesso remoto sejam silenciosas, elas ainda apresentam alguns sinais de alerta. Embora esses sinais possam indicar a popularidade do Windows, juntos eles podem ser uma forte evidência de atividade de acesso remoto.

• Comportamento incomum do mouse/teclado : se o cursor se mover de forma irregular ou se o texto for inserido sem sua intervenção, pode ser obra de uma ferramenta remota. Mesmo quando não controladas ativamente, essas ferramentas ainda podem causar problemas como salto do cursor/teletransporte. Este sinal também pode atuar como uma confirmação se o mouse e o teclado começarem a executar tarefas como acessar a barra de endereços do navegador e digitar o endereço de um site.
• Programas que abrem e fecham sozinhos : os hackers também podem enviar comandos para abrir aplicativos específicos (como software antivírus ou prompt de comando ) para obter mais controle sobre o sistema ou desabilitar recursos de segurança. Se você vir programas abrindo e fechando sozinhos, isso é um sinal de alerta.
• Criação de novas contas de usuários desconhecidas : alguns criminosos podem tentar criar contas secundárias para obter acesso persistente mesmo após a detecção. Eles provavelmente desabilitarão o recurso de troca de usuário para ocultar a conta da tela de bloqueio. Vá para Configurações do Windows -> Contas e encontre a conta secundária em Família e Outros usuários.

• Desempenho lento repentino : as operações de controle remoto também exigem muitos recursos, então você pode notar uma queda repentina no desempenho. Isso vale especialmente a pena considerar se ocorrerem quedas ocasionais de desempenho devido a operações de controle remoto.
• A Área de Trabalho Remota do Windows é ativada automaticamente : A Área de Trabalho Remota do Windows é bastante vulnerável, então hackers costumam usar esse recurso para criar conexões remotas. Esse recurso é desabilitado por padrão, portanto, se ele for habilitado sem sua intervenção, um hacker poderá fazer isso. Nas Configurações do Windows, vá para Sistema -> Área de Trabalho Remota e veja se esse recurso está habilitado.

Como confirmar se seu PC está sendo acessado remotamente

Se você notar os sinais acima, tome as medidas necessárias para confirmar sua suspeita. Você pode monitorar a atividade de componentes/aplicativos envolvidos no processo de acesso remoto para confirmar se alguém está acessando seu PC Windows. Aqui estão alguns dos métodos mais confiáveis:

Verifique os logs do Visualizador de Eventos do Windows

O Visualizador de Eventos do Windows é uma ótima ferramenta integrada para monitorar a atividade do usuário e ajudar a detectar tentativas de acesso remoto monitorando a atividade RDP e os logs de login.

Procure por "visualizador de eventos" na Pesquisa do Windows e abra o Visualizador de Eventos .

Vá para Logs do Windows -> Segurança e clique na aba ID do Evento para classificar os eventos por ID. Pesquise todos os eventos com ID 4624 e verifique seus detalhes para ter certeza de que nenhum deles tenha o Tipo de Logon 10 . O ID do evento 4624 é para tentativas de logon e o Tipo de Logon 10 corresponde a logins remotos usando serviços de acesso remoto que hackers podem usar.

Você também pode procurar pelo ID do Evento 4778 , pois ele mostra uma reconexão de sessão remota. A página de detalhes de cada evento fornecerá informações importantes de identificação, como o nome da conta ou o endereço IP da rede.

Monitorar o tráfego de rede

O acesso remoto depende da conectividade de rede, portanto, monitorar o tráfego de rede é uma maneira confiável de detectá-lo. Recomendamos usar a versão gratuita do GlassWire para essa finalidade, pois ele monitora e protege automaticamente contra conexões maliciosas.

No aplicativo GlassWire, você verá todas as conexões do aplicativo na seção GlassWire Protect . O aplicativo avaliará automaticamente as conexões e sinalizará as não confiáveis. Na maioria dos casos, o aplicativo será capaz de detectar conexões remotas maliciosas e avisá-lo.

Além dos algoritmos do aplicativo, você também pode procurar por pistas como alto uso de dados de um aplicativo desconhecido. Conexões remotas usam dados persistentes, então são fáceis de detectar.

Ver tarefas agendadas

Muitas tentativas de acesso remoto são gerenciadas usando a ferramenta Agendador de Tarefas no Windows. Isso os ajuda a sobreviver a reinicializações do PC e a executar tarefas sem precisar ficar em execução continuamente. Se o seu PC estiver infectado com um vírus, você verá tarefas de aplicativos desconhecidos no Agendador de Tarefas.

Pesquise por “agendador de tarefas” na Pesquisa do Windows e abra o aplicativo Agendador de Tarefas. No painel esquerdo, abra Agendador de Tarefas (Local) -> Biblioteca do Agendador de Tarefas . Procure por qualquer pasta estranha ou suspeita que não seja a Microsoft. Se encontrar alguma pasta, clique com o botão direito do mouse na tarefa e selecione Propriedades.

Em Propriedades , examine as guias Gatilhos e Ações para descobrir o que a tarefa faz e quando ela é executada, o que deve ser suficiente para entender se ela é ruim. Por exemplo, se a tarefa executar um aplicativo ou script desconhecido no login ou quando o sistema estiver ocioso, a tarefa pode ser maliciosa.

Se você não encontrar a tarefa suspeita, talvez seja melhor procurar no Microsoft. É possível que malware sofisticado esteja escondido em pastas do sistema. Procure tarefas que pareçam suspeitas, como nomes genéricos como "systemMonitor" ou nomes com erros de ortografia. Felizmente, você não precisará pesquisar cada tarefa, pois a maioria será criada pela Microsoft Corporation, o que pode ser ignorado com segurança.