✨ Créditos especiais:

Clébio Gomes

---

Warning

Esta ferramenta é um recurso complementar que não substitui um antivírus, nem dispensa os serviços de especialistas da área de segurança digital.

---

🌐 FONTES & COMPLEMENTARES

📰 Artigos

• Trend Micro: Self-Propagating Malware Spreading Via WhatsApp, Targets Brazilian Users
• TecMundo: Brasil é alvo de vírus que se espalha sozinho pelo WhatsApp

⚙️ Ferramentas e Guias Técnicos

• WinTools: Monitoramento de Segurança com o Visualizador de Eventos
• SECGUIDE: Guia de Consulta para Eventos de Segurança do Windows

🎓 Aurelio "Baboo"

• WRS: Aula 07 - Eliminação TRIPLA de malwares
• WRS: Aula 08 - Bloqueador de propaganda e de URL
• WRS2: Aula 08 - KVRT e HouseCall
• WRS2: Aula 09 - ESET Online Scanner, Emisoft Em. Kit e Malwarebytes Premium
• Playlist Completa - Windows Rápido e Seguro 2.0

🎓 Fábio Akita

• Sua Segurança é uma DROGA | Gerenciadores de Senhas, 2FA, Encriptação

---

🚀 RAVSCAN - Scanner de Segurança para Windows

Ferramenta para detecção, análise e remoção de malwares com foco em ameaças brasileiras

📖 Índice Rápido

1. ✨ Características Principais
2. 🖥️ Como Executar
3. 🎮 Modo Interativo
4. ⌨️ Modo Comando Direto
5. 📝 Listas Personalizáveis
6. 🎯 Exemplos Práticos
7. 🛠️ Funcionalidades Detalhadas
8. ⚙️ Arquitetura Técnica
9. 🔧 Configuração
10. 📊 Saída e Relatórios

---

✨ Características Principais

• ✅ Detecção em Tempo Real - Monitoramento ativo de processos e conexões
• ✅ Múltiplas Camadas de Análise - Processos, arquivos, rede e persistência
• ✅ Interface Profissional - Sistema de cores e visualização intuitiva
• ✅ Sistema de Logging - Registro completo de todas as atividades
• ✅ Remoção Automática - Opção de limpeza automática de ameaças
• ✅ Listas Customizáveis - Adaptável às ameaças específicas do ambiente
• ✅ Baixo Impacto - Execução eficiente sem sobrecarregar o sistema

---

🖥️ Como Executar

Pré-requisitos

• Windows 7, 8, 10 ou 11
• Permissões de administrador (recomendado)
• Prompt de Comando ou PowerShell

Execução no Windows

Prompt de Comando (CMD)

# Navegue até a pasta "scripts" e execute:
ravscan.cmd

Windows PowerShell

# Abra o PowerShell como Administrador dentro da pasta "scripts" e execute:
.\ravscan.cmd

# Para executar sem restrições de política:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
.\ravscan.cmd

Execução com Argumentos

# Exemplo com parâmetros específicos
.\ravscan.cmd scan --remove --log --debug

⚠️ Execução como Administrador Recomendada - Para acesso completo ao sistema e máxima eficácia

---

🎮 Modo Interativo (Padrão)

Menu Principal

Quando executado sem argumentos, o RAVSCAN inicia no modo interativo com interface amigável:

┌──────────────────────────────────────────────────────────────────────┐
│                       MENU PRINCIPAL - v1.0.0                        │
└──────────────────────────────────────────────────────────────────────┘

Selecione uma opcao:

[1] Verificacao Completa do Sistema
    • Scan completo de processos, arquivos e conexoes
    • Verifica mecanismos de persistencia
    • Relatorio detalhado

[2] Verificacao Rapida  
    • Apenas processos em execucao
    • Ideal para checagens rapidas

[3] Estatisticas e Relatorios
    • Mostra dados das listas
    • Informacoes do sistema
    • Historico de deteccoes

[4] Configuracoes
    • Alternar remocao automatica
    • Ativar/desativar logs
    • Configurar interface

[5] Sobre / Ajuda
    • Informacoes da versao
    • Instrucoes de uso

[0] Sair

Menu de Configurações

Acessível através da opção 4 no menu principal:

┌──────────────────────────────────────────────────────────────────────┐
│                    CONFIGURAÇÕES DO SISTEMA                          │
└──────────────────────────────────────────────────────────────────────┘

Opcoes atuais de configuracao:

Remocao Automatica: [DESATIVADO] - Remove ameacas automaticamente
Modo Debug: [DESATIVADO] - Exibe informacoes tecnicas detalhadas
Sistema de Log: [ATIVADO] - Registra atividades em arquivo
Mostrar Tudo: [ATIVADO] - Exibe todos os resultados
Cores e Efeitos: [ATIVADO] - Interface colorida e visual

[1] Alternar Remocao Automatica
[2] Alternar Modo Debug  
[3] Alternar Sistema de Log
[4] Alternar Mostrar Tudo
[5] Alternar Cores e Efeitos
[6] Restaurar Padroes
[7] Voltar ao Menu Principal

---

⌨️ Modo Comando Direto

Sintaxe Completa:

.\ravscan.cmd [MODO] [OPÇÕES]

Modos de Operação Disponíveis:

Comando	Descrição	Uso Recomendado
scan	Verificação completa do sistema	Análise profunda
quick	Verificação rápida (apenas processos)	Diagnóstico rápido
stats	Estatísticas e relatórios	Monitoramento
help	Ajuda detalhada	Consulta
version	Informações da versão	Verificação
menu	Menu interativo (padrão)	Uso interativo

Opções Avançadas:

Opção	Descrição	Impacto
--remove ou -r	Remove ameaças automaticamente ⚠️	CRÍTICO
--debug	Modo detalhado técnico	Desenvolvimento
--silent	Execução silenciosa	Scripting
--log	Ativa sistema de logging	Auditoria
--no-log	Desativa logging	Performance
--all	Mostra todos os resultados	Debug
--minimal	Mostra apenas ameaças	Produção
--no-color	Interface sem cores	Compatibilidade
--color	Interface colorida	Visual

---

📝 Listas Personalizáveis

Estrutura de Arquivos de Dados

O RAVSCAN utiliza seis arquivos principais para detecção, localizados na pasta data\:

1. Padrões de Arquivos (data\arquivos.txt)

# Lista (um por linha)
# Padrões de arquivos maliciosos - Campanha SORVEPOTEL
# Baseado em pesquisa Trend Micro
# Use * para curingas
# Suporta múltiplas extensões
# Comentários começam com #

# Arquivos ZIP maliciosos
RES-*.zip
ORCAMENTO_*.zip
COMPROVANTE_*.zip
ComprovanteSantander-*.zip
NEW-*-PED_*.zip

# Atalhos Windows LNK maliciosos
ComprovanteSantander-*.lnk
HealthApp-*.bat
DOC-*.lnk

# Scripts de persistencia
HealthApp-0d97b7.bat

2. Diretório de possiveis infecções (data\caminhos.txt)

# Lista (um por linha)
# Locais de verificacao para campanha SORVEPOTEL 
# Baseado em analise comportamental do malware 
# Use * para curingas
# Suporta múltiplas extensões
# Comentários começam com #

# Diretorios de usuario 
%USERPROFILE%\Desktop 
%USERPROFILE%\Downloads 
%USERPROFILE%\Documents 
%USERPROFILE%\AppData\Local\Temp 
%USERPROFILE%\AppData\Roaming 
%USERPROFILE%\AppData\Local 
 
# Diretorios do sistema 
%TEMP% 
%APPDATA% 
%PROGRAMDATA% 
%WINDIR%\Temp 
 
# Locais de persistencia 
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup 
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 
%PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Startup 
 
# Locais especificos da campanha 
%USERPROFILE%\AppData\Local\Microsoft\Windows\PowerShell 
%USERPROFILE%\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs 
%USERPROFILE%\AppData\Local\Microsoft\CLR_v4.0_64\UsageLogs 
%USERPROFILE%\Documents\WindowsPowerShell 
%WINDIR%\System32 
%WINDIR%\SysWOW64 
%USERPROFILE%\AppData\Local\Microsoft\Windows\PowerShell 
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup 

3. Dominios C&C (data\dominios.txt)

# Lista (um por linha)
# Lista de dominios maliciosos - Campanha SORVEPOTEL 
# Baseado em pesquisa Trend Micro 
# FORMATO COM [.] para prevenir acionamentos acidentais
# O scanner converte internamente para verificacao
 
# Dominios C&C (FORMATO [.] para seguranca)
sorvetenopoate[.]com
sorvetenoopote[.]com
etenopote[.]com
expahnsiveuser[.]com
sorv[.]etenopote[.]com
sorvetenopotel[.]com
cliente[.]rte[.]com[.]br

4. Processos Maliciosos (data\ips.txt)

# Lista (um por linha)
# Lista de IPs maliciosos - Campanha SORVEPOTEL 
# Baseado em pesquisa Trend Micro 
# Apenas endereços IP para verificacao de rede
# Comentários começam com #
 
# Enderecos IP maliciosos 
109.176.30.141
165.154.254.44
23.227.203.148
77.111.101.169

5. Processos Maliciosos (data\processos.txt)

# Lista (um por linha)
# Processos e executáveis maliciosos - Campanha SORVEPOTEL
# Baseado em pesquisa Trend Micro
# Formato: nome_do_processo.exe
# Comentários começam com #
 
# Arquivos executáveis e scripts de payload 
HealthApp-0d97b7.bat

6. IPs e Domínios Maliciosos (data\reg.txt)

# Lista (um por linha)
# Chaves de registro suspeitas - Campanha SORVEPOTEL
# APENAS chaves especificamente relacionadas ao malware
# Nao incluir chaves legítimas do Windows
# Comentários começam com #

# Chaves especificas do malware SORVEPOTEL
HKEY_CURRENT_USER\Software\SORVEPOTEL
HKEY_LOCAL_MACHINE\SOFTWARE\SORVEPOTEL
HKEY_CURRENT_USER\Software\sorvetenopote
HKEY_LOCAL_MACHINE\SOFTWARE\sorvetenopote

# Chaves modificadas por malware (COM CAUTELA)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

---

🎯 Exemplos Práticos

1. Verificação Completa com Remoção Automática

.\ravscan.cmd scan --remove --log

Resultado:

• Scan completo do sistema
• Remove ameaças automaticamente
• Salva log detalhado
• Relatório final consolidado

2. Verificação Rápida para Diagnóstico

.\ravscan.cmd quick --all --debug

Resultado:

• Verificação rápida de processos
• Mostra todos os resultados (limpos e infectados)
• Modo técnico detalhado
• Ideal para troubleshooting

3. Apenas Estatísticas e Monitoramento

.\ravscan.cmd stats --minimal

Resultado:

• Dados essenciais das listas
• Contagens de itens monitorados
• Informações do sistema
• Saída limpa e objetiva

4. Scan Completo sem Ações Destrutivas

.\ravscan.cmd scan --no-color

Resultado:

• Verificação completa
• Interface simples sem cores
• Apenas detecção (sem remoção)
• Ideal para primeira execução

5. Help e Informações da Versão

.\ravscan.cmd help
.\ravscan.cmd version

---

🛠️ Funcionalidades Detalhadas

🔍 Sistema de Detecção Multi-camadas

1. Análise de Processos

• Monitoramento em tempo real de processos ativos
• Comparação com lista de processos maliciosos
• Detecção por nome exato do executável
• Capacidade de finalização automática

2. Varredura de Arquivos

• Busca recursiva em locais críticos do sistema
• Suporte a padrões com curingas
• Varredura em múltiplos diretórios:
  • Área de trabalho e downloads
  • Diretórios temporários
  • Pastas de sistema
  • Locais de auto-inicialização

3. Monitoramento de Rede

• Análise de conexões ativas de rede
• Detecção de comunicação com IPs maliciosos
• Verificação via comando netstat
• Alertas de conexões suspeitas

4. Verificação de Persistência

• Análise de mecanismos de auto-inicialização
• Verificação de pastas de startup
• Detecção de ameaças residentes
• Prevenção de reinfecção

📊 Sistema de Relatórios

Relatório de Verificação Completa

┌──────────────────────────────────────────────────────────────────────┐
│                   RELATÓRIO FINAL DE VERIFICAÇÃO                     │
└──────────────────────────────────────────────────────────────────────┘

Processos verificados: 15
Processos maliciosos: 2
Arquivos verificados: 8  
Arquivos maliciosos: 3
IPs verificados: 10
Conexões maliciosas: 1
Mecanismos de persistência: 1

🎨 Sistema de Interface Visual

Códigos de Cores e Ícones

• 🔴 Vermelho: Ameaças críticas e erros
• 🟢 Verde: Itens seguros e sucessos
• 🟡 Amarelo: Alertas e avisos
• 🔵 Azul: Informações e estatísticas
• ⚪ Cinza: Debug e detalhes técnicos

Indicadores Visuais

🔴 [AMEAÇA] PROCESSO MALICIOSO
    Alvo: malware.exe
    Info: Em execução - PID: 1234

🟢 [LIMPO] Processo seguro: explorer.exe
    Não está em execução

🚨🚨🚨 [CRÍTICO] CONEXÃO ATIVA DETECTADA
    IP: 109.176.30.141
    ALERTA CRÍTICO

---

⚙️ Arquitetura Técnica

Estrutura de Diretórios

📁 ravscan/                              📁  # Diretório raiz do projeto
├── 📁 scripts/                          ⚙️  # Pasta principal de execução
│   ├── 🏗️  ravscan.cmd                  🔧  # Script principal do scanner
│   └── 📁 data/                         🗃️  # Listas de detecção modularizadas
│       ├── 📄 arquivos.txt              📊  # Padrões de arquivos suspeitos
│       ├── 📄 caminhos.txt              📁  # Locais para verificação
│       └── 📄 dominios.txt              🔗  # Domínios maliciosos (APENAS domínios)
│       ├── 📄 ips.txt                   🌐  # IPs maliciosos (APENAS IPs)
│       ├── 📄 processos.txt             👁️  # Processos maliciosos conhecidos
│       ├── 📄 reg.txt                   🔧  # Chaves de registro suspeitas
├── 📁 logs/                             📒  # Sistema de logging automático
│   └── 📄 ravscan_AAAAMMDD_HHMMSS.log   ⏰  # Logs com timestamp
└── 📄 README.txt                        📖  # Documentação do projeto

Fluxo de Execução

1. Inicialização

   • Configuração de ambiente
   • Criação de diretórios necessários
   • Carregamento de configurações

2. Processamento de Argumentos

   • Análise de parâmetros de linha de comando
   • Configuração de modos de operação
   • Definição de comportamentos

3. Execução Principal

   • Modo interativo ou direto
   • Carregamento das listas de detecção
   • Execução das verificações

4. Geração de Relatórios

   • Consolidação de resultados
   • Logging de atividades
   • Saída formatada

---

🔧 Configuração

Variáveis de Ambiente Principais

Variável	Descrição	Padrão
AUTO_REMOVE	Remoção automática	0 (Desativado)
DEBUG	Modo detalhado	0 (Desativado)
LOG_ENABLED	Sistema de logging	1 (Ativado)
SHOW_ALL	Mostrar todos resultados	1 (Ativado)
COLOR_ENABLED	Interface colorida	1 (Ativado)
SCAN_DEPTH	Profundidade da varredura	3

Locais de Varredura

O sistema verifica automaticamente nos seguintes locais:

• %USERPROFILE%\Desktop
• %USERPROFILE%\Downloads
• %TEMP%
• %APPDATA%
• %PROGRAMDATA%
• C:\Windows\Temp

Locais de Persistência Monitorados

• %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
• %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\StartUp

---

📊 Saída e Relatórios

Sistema de Logging

Formato do Arquivo de Log

[DD/MM/YYYY HH:MM:SS] RAVSCAN v1.0.0 iniciado
[DD/MM/YYYY HH:MM:SS] Modo: scan
[DD/MM/YYYY HH:MM:SS] Auto-remove: 1
[DD/MM/YYYY HH:MM:SS] PROCESSO_ENCONTRADO: malware.exe - PID: 1234
[DD/MM/YYYY HH:MM:SS] PROCESSO_FINALIZADO: malware.exe - PID: 1234
[DD/MM/YYYY HH:MM:SS] ARQUIVO_REMOVIDO: C:\malware.exe
[DD/MM/YYYY HH:MM:SS] CONEXAO_SUSPEITA: 109.176.30.141
[DD/MM/YYYY HH:MM:SS] RAVSCAN finalizado

Estrutura do Nome do Log

logs\ravscan_YYYYMMDD_HHMMSS.log

Códigos de Saída

Código	Significado
0	Sucesso - Execução completada
1	Erro - Falha na execução
2	Ameaças detectadas
3	Erro de configuração

---

⚠️ Melhores Práticas e Recomendações

1. Ordem de Execução Recomendada

# Primeira execução (apenas detecção)
.\ravscan.cmd scan

# Segunda execução (com remoção, se necessário)
.\ravscan.cmd scan --remove --log

# Verificação rápida para monitoramento contínuo
.\ravscan.cmd quick --minimal

2. Manutenção das Listas

Atualização Regular:

• Adicione novos processos maliciosos descobertos
• Inclua padrões de arquivos de novas ameaças
• Atualize lista de IPs e domínios maliciosos
• Revise e limpe entradas obsoletas

3. Configurações de Segurança

Para Ambiente de Produção:

.\ravscan.cmd scan --remove --log --minimal

Para Ambiente de Teste/Desenvolvimento:

.\ravscan.cmd scan --all --debug --no-remove

---

🆘 Solução de Problemas

Problemas Comuns e Soluções

1. "Acesso Negado" ao Finalizar Processos

• Causa: Permissões insuficientes
• Solução: Executar como Administrador

2. Logs Não São Gerados

• Causa: Diretório logs/ não existe ou sem permissão
• Solução: Verificar permissões da pasta

3. Cores Não São Exibidas

• Causa: Terminal não suporta cores ANSI
• Solução: Usar --no-color ou atualizar terminal

4. Detecções Falsas Positivas

• Causa: Listas muito agressivas
• Solução: Revisar e ajustar listas em data\

Comandos de Diagnóstico

# Verificar configuração atual
.\ravscan.cmd stats

# Testar com debug ativado
.\ravscan.cmd quick --debug --all

# Verificar logs gerados
dir logs\

---

📞 Suporte e Recursos

Comandos de Ajuda

# Ajuda completa
.\ravscan.cmd help

# Informações da versão
.\ravscan.cmd version

# Menu interativo com todas opções
.\ravscan.cmd menu

Recursos Adicionais

• Documentação: Consulte este README para referência completa
• Listas: Personalize os arquivos em data\ para suas necessidades
• Logs: Revise os arquivos em logs\ para análise forense
• Configuração: Use o menu de configurações para ajustar comportamento

---

💡 Dica Profissional: Comece sempre com .\ravscan.cmd menu para explorar todas as funcionalidades de forma interativa!

---

📅 Versão: 1.0.0 | Compatível: Windows 7, 8, 10, 11 | Arquitetura: x86 e x64

🔒 Desenvolvido com foco em segurança e eficiência para ambientes corporativos e domésticos

---

Feito com 💚 por RavenaStar

⬆ Voltar ao topo