En massiv kampagne mod sydkoreanske brugere, forbundet med en trojansk kaldet Blackmoon er blevet styrket, rapporter viser. Fortinet sikkerhedseksperter indikerer, at Blackmoon trussel opdaget i første omgang i 2014, er tilbage med en ny kampagne. Det er allerede forårsaget løbet 100,000 succesrige infektioner. Så snart denne trojanske er installeret på computere berørte brugere, Det har til formål at vise dem forskellige phishing-websteder, hvor hvis brugerne indtaste deres finansielle oplysninger, den trojanske stjæler det.
Trussel Summary
| Navn |
Blackmoon |
| Type | Banking Malware |
| Kort beskrivelse | Stjæler finansielle og bank-konto oplysninger samt andre data. |
| Symptomer | Brugeren kan vidne netværkstrafik til kommando- og kontrolcentre i Blackmoon trojan. (Se nedenunder) |
| Distributionsmetode | Via en ondsindet eksekverbar hentet fra et drive-by link. |
| Værktøj Detection |
Se, om dit system er blevet påvirket af malware
Hent
Værktøj til fjernelse af malware
|
| Brugererfaring | Tilmeld dig vores forum til Diskuter Blackmoon Banking Trojan. |
Blackmoon Banking Trojan - Spread
For at være udbredt succes, den Blackmoon menes at bruge hjemmesider af ondsindet karakter. Forskere rapporterer, at cyber-kriminelle bande bag Blackmoon kan have uploadet en eksekverbar på et ondsindet link. Dette er en sofistikeret procedure, fordi sådanne eksekverbare kan spredes via forskellige midler:
- Sendt som spammet kommentarer på hjemmesider via Henvisning Spam bots.
- Udvalgte i kroppen af spam-mails som web links, som foregiver at være legitime leverandører, som PayPal, eBay, etc.
- Sendt i chat beskeder fra falske Facebook-profiler eller andre sociale medier eller cyber-kommunikationsplatforme.
Blackmoon Banking Trojan - dybtgående analyse
Det blev rapporteret, at den gamle version af Blackmoon bruges til at angribe den Hosts fil af en given browser, da det er den vigtigste fil ansvarlig for URL'er, reklamer og andet webindhold. ved ændringer, denne fil blev straks kapret og modificeret. Dette resulterede i browseren omdirigerer til phishing-sider, der har ført brugere til at indtaste deres finansielle oplysninger.
Nu menes smitten metode, der skal gennemføres via en ondsindet PAC(Proxy Auto-konfiguration) fil via hvilken den kaprer brugerlegitimationsoplysningerne med bistand fra omhyggeligt skrevet JavaScript-kode. For at køre uden at blive opdaget, PAC er stærkt korrumperet.
Den malware har også et forudindstillet liste af koreanske websteder, hvis hashes er indlejret i det. Via en særlig script, så snart en af disse hjemmesider er påvist i den inficerede computer, malware viser en pop-up, rapporteret at være en fejlmeddelelse:
Efter denne pop-up, Blackmoon straks forårsager en browser omdirigering, som fører til en legitimationsoplysninger phishing side:
Websiderne har alle former for personlige og finansielle oplysninger, såsom navn, adresse, kreditkortnumre, sikkerhed numre og andre vigtige oplysninger, som kan være rentabelt for cyberkriminelle.
Hvad der er endnu værre er, at Blackmoon er kompatibel med næsten alle web-browsere, massivt bruges til Windows, som Google Chrome, Mozilla Firefox, Microsoft Edge. udover dette, forskere har også rapporteret, at Blackmoon bruger debugging teknikker for at forhindre malware forskere eller i det mindste forsinke dem meget fra at kigge ind i denne virus.
Blackmoon Banking Trojan er også blevet rapporteret til at skabe en ondsindet proces Cacls.exe, som kan narre brugere, at det er en legitim proces, men denne proces er blevet rapporteret af Fortinet forskerne til ikke være sådan, at vil forblive aktiv i Jobliste i længere tid.
Ud over dette, Blackmoon Banking Trojan blev også rapporteret til at ændre eller skabe værdier i følgende registreringsdatabasenøgler , i henhold til Fortinet Forskere:
→ HKCU Software Microsoft Internet Explorer Main – Startside
HKCU Software Microsoft Windows CurrentVersion Internet Settings - AutoConfigURL
HKCU Software Microsoft Windows Script Indstillinger – JITDebug
HKLM SOFTWARE Microsoft Windows CurrentVersion Run
Angreb fra den Blackmoon trussel menes at have oprindelse fra hundredvis af forskellige MAC-adresser, dog de kommando og kontrol-servere af malware s botnet rapporteres at være følgende:
&rarr:100.43.185.34,174.139.0.211,107.151.158.196,206.161.216.35,207.226.136.14,100.43.185.42,174.139.194.82,205.209.141.84
Udover at være fokuseret på at stjæle de finansielle oplysninger om brugere, Blackmoon kan også bruge sine trojanske funktioner til at indsamle andre kritiske data samt. Her er, hvad det også kan stjæle:
- Mobilnummer.
- Adgangskoder.
- Social Security Numbers.
- Taster.
- Uanset om computeren er en del af en organisation eller et hjem maskine.
Sådan Detect Hvis du er smittet med Blackmoon Banking Trojan
Hvis du har lyst til dine finansielle oplysninger er blevet kompromitteret, vi på det kraftigste råde dig til at følge disse instruktioner for at kontrollere, om din computer er blevet inficeret med Blackmoon:
Trin 1: Hent og installer Wireshark
Wireshark er et netværk snuse program, som snuser alle de indkommende og udgående pakker på din computer. Det vil hjælpe fange ondsindet oplysninger, der kan være forbundet med Blackmoon. Du kan downloade det ved at gå ind på deres officielle hjemmeside via nedenstående link og vælge dit operativsystem og din version (Windows 32-bit, Windows 64-bit, MacOS).
Gå ind på Wireshark officielle downloadside
Trin 2: Start Wireshark og konfigurere den til at starte sniffing pakker.
For at gøre dette, bare starte Wireshark efter du har installeret det. Klik derefter på din internetforbindelse type, hvorfra du vil sniffe oplysninger. Du bør være i stand til at opdage det ved større mængde trafik, der genereres i sin histogram grafik, ligesom på billedet nedenfor:
Trin 3: Find den pakke, du leder efter.
Her er der, hvor den vanskelige del kommer i. Så snart pakkerne begynder at dukke du vil højst sandsynligt se e-mail-adresser, der er forbundet med dem. Du kan prøve at sammenligne fra IP-adresserne på de kommando og kontrol-servere, som Fortinet i ovenstående (startende med 100.43.185.34). Så snart du ser en pakke af information, der kommer fra en af de adresser,, din computer kan være inficeret med denne malware.
Men, huske på, at de cyber-kriminelle bag denne malware er mest sandsynlige eksperter migration, hvilket betyder, at de ofte vil bruge forskellige IP-adresser, og det er derfor, du bør udføre en forskning i google eller finde en database over tilknyttede IP-adresser ved pasta-ing én adresse i Cqcounter.com/whois. Jo flere IP-adresser, der er forbundet med Blackmoon angriber dig indsamle højere muligheden du finde et match ved at bruge Wireshark.
Hvad skal man gøre, hvis jeg er inficeret?
Hvis du er en uheldig offer af denne virus, den første og største ting du skal gøre er at (Jeg)lukke computeren ned fra magten og vurdere, hvor mange oplysninger er kompromitteret. Efter dette, vi på det kraftigste råde dig til (ii)ændre alle de legitimationsoplysninger og overføre dine penge til en anden bank konto, fortrinsvis i en udenlandsk bank. For at opnå maksimal sikkerhed, vi råde dig til at bruge mere end én bankkonto. Efter at gøre dette, du kan fortsætte med (iii)ændre alle kontoadgangskoder dine fra en sikker computer og fjerne denne malware fra din.
At fjerne Blackmoon bank Trojan, Vi anbefaler, at du følge vores trin-for-trin instruktioner nedenfor. De er omhyggeligt designet, så du kan registrere og slette alt i forbindelse med denne Banking Trojan fra din computer. Da manuel fjernelse kan tage dig lidt tid, vi på det kraftigste råde dig til at bruge en avanceret anti-malware program, som hurtigt vil opdage dette og andre tilknyttede malware og slette dem permanent fra din computer samt beskytte det i fremtiden.
Ventsislav Krastev
Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.
Følg mig:
Preparation before removing BlackMoon.
, Før den egentlige fjernelse proces, Vi anbefaler, at du gør følgende forberedelse trin.
- Sørg for at have disse instruktioner altid åben og foran dine øjne.
- Gør en sikkerhedskopi af alle dine filer, selv om de kunne blive beskadiget. Du bør sikkerhedskopiere dine data med en sky backup-løsning og forsikre dine filer mod enhver form for tab, selv fra de mest alvorlige trusler.
- Vær tålmodig, da det kan tage et stykke tid.
- Scan for malware
- Rette registre
- Fjern virusfiler
Trin 1: Scan efter BlackMoon med SpyHunter Anti-Malware Tool
Trin 2: Rens eventuelle registre, oprettet af BlackMoon på din computer.
De normalt målrettede registre af Windows-maskiner er følgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Du kan få adgang til dem ved at åbne Windows Registry Editor og slette eventuelle værdier, oprettet af BlackMoon der. Dette kan ske ved at følge trinene nedenunder:
Tip: For at finde en virus-skabt værdi, du kan højreklikke på det og klikke "Modificere" at se, hvilken fil det er indstillet til at køre. Hvis dette er virus fil placering, fjerne værdien.Trin 3: Find virus files created by BlackMoon on your PC.
1.For Windows 8, 8.1 og 10.
For Nyere Windows-operativsystemer
1: På dit tastatur tryk + R og skrive explorer.exe i Løbe tekstboks og derefter klikke på Ok knap.
2: Klik på din pc fra hurtig adgang bar. Dette er normalt et ikon med en skærm og dets navn er enten "Min computer", "Min PC" eller "Denne PC" eller hvad du har navngivet det.
3: Naviger til søgefeltet øverst til højre på din pc's skærm og type "fileextension:" og hvorefter skrive filtypen. Hvis du er på udkig efter ondsindede eksekverbare, et eksempel kan være "fileextension:exe". Efter at gøre det, efterlade et mellemrum og skriv filnavnet du mener malware har skabt. Her er, hvordan det kan se ud, hvis der er fundet din fil:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.I Windows XP, Vista, og 7.
For ældre Windows-operativsystemer
I ældre Windows OS bør den konventionelle tilgang være den effektive:
1: Klik på Start Menu ikon (normalt på din nederste venstre) og vælg derefter Søg præference.
2: Efter søgningen vises, vælge Flere avancerede indstillinger fra søgningen assistent boksen. En anden måde er ved at klikke på Alle filer og mapper.
3: Efter denne type navnet på den fil, du søger, og klik på knappen Søg. Dette kan tage noget tid, hvorefter resultater vises. Hvis du har fundet den skadelig fil, du må kopiere eller åbne sin placering ved højreklikke på det.
Nu skulle du være i stand til at opdage en fil på Windows, så længe det er på din harddisk og ikke skjult via speciel software.
BlackMoon FAQ
What Does BlackMoon Trojan Do?
The BlackMoon Trojan er et ondsindet computerprogram designet til at forstyrre, skade, eller få uautoriseret adgang til et computersystem. Det kan bruges til at stjæle følsomme data, få kontrol over et system, eller starte andre ondsindede aktiviteter.
Kan trojanske heste stjæle adgangskoder?
Ja, Trojans, like BlackMoon, kan stjæle adgangskoder. Disse ondsindede programmer are designed to gain access to a user's computer, spionere på ofrene og stjæle følsomme oplysninger såsom bankoplysninger og adgangskoder.
Can BlackMoon Trojan Hide Itself?
Ja, det kan. En trojaner kan bruge forskellige teknikker til at maskere sig selv, inklusive rootkits, kryptering, og formørkelse, at gemme sig fra sikkerhedsscannere og undgå registrering.
Kan en trojaner fjernes ved fabriksnulstilling?
Ja, en trojansk hest kan fjernes ved at nulstille din enhed til fabriksindstillinger. Dette skyldes, at det vil gendanne enheden til sin oprindelige tilstand, eliminering af skadelig software, der måtte være blevet installeret. Husk på, at der er mere sofistikerede trojanske heste, der forlader bagdøre og geninficerer selv efter en fabriksnulstilling.
Can BlackMoon Trojan Infect WiFi?
Ja, det er muligt for en trojaner at inficere WiFi-netværk. Når en bruger opretter forbindelse til det inficerede netværk, trojaneren kan spredes til andre tilsluttede enheder og kan få adgang til følsomme oplysninger på netværket.
Kan trojanske heste slettes?
Ja, Trojanske heste kan slettes. Dette gøres typisk ved at køre et kraftfuldt anti-virus eller anti-malware program, der er designet til at opdage og fjerne ondsindede filer. I nogle tilfælde, manuel sletning af trojaneren kan også være nødvendig.
Kan trojanske heste stjæle filer?
Ja, Trojanske heste kan stjæle filer, hvis de er installeret på en computer. Dette gøres ved at tillade malware forfatter eller bruger for at få adgang til computeren og derefter stjæle filerne, der er gemt på den.
Hvilken anti-malware kan fjerne trojanske heste?
Anti-malware programmer som f.eks SpyHunter er i stand til at scanne efter og fjerne trojanske heste fra din computer. Det er vigtigt at holde din anti-malware opdateret og regelmæssigt scanne dit system for skadelig software.
Kan trojanske heste inficere USB?
Ja, Trojanske heste kan inficere USB enheder. USB-trojanske heste spredes typisk gennem ondsindede filer downloadet fra internettet eller delt via e-mail, allowing the hacker to gain access to a user's confidential data.
About the BlackMoon Research
Indholdet udgiver vi på SensorsTechForum.com, this BlackMoon how-to removal guide included, er resultatet af omfattende forskning, hårdt arbejde og vores teams hengivenhed til at hjælpe dig med at fjerne det specifikke trojanske problem.
How did we conduct the research on BlackMoon?
Bemærk venligst, at vores forskning er baseret på en uafhængig undersøgelse. Vi er i kontakt med uafhængige sikkerhedsforskere, takket være, at vi modtager daglige opdateringer om de seneste malware-definitioner, herunder de forskellige typer trojanske heste (bagdør, Downloader, infostealer, løsesum, etc.)
Endvidere, the research behind the BlackMoon threat is backed with VirusTotal.
For bedre at forstå truslen fra trojanske heste, Se venligst følgende artikler, som giver kyndige detaljer.