Scranos er navnet på et nyt rootkit-aktiveret spyware, som på trods af sin nuværende raffinement synes at være ”arbejde der er i gang". Bitdefender forskere for nylig opdaget, at operatørerne af Scranos løbende tester nye komponenter på allerede inficerede brugere og regelmæssigt at gøre mindre forbedring til gamle komponenter.
Trussel Summary
Navn | Scranos |
Type | Spyware, Rootkit, Adware |
Kort beskrivelse | Scranos er en sofistikeret spyware udstyret med et rootkit driver, som kan udføre en række ondsindede aktiviteter. Se artiklen for detaljer. |
Symptomer | Afhængigt af de modtagne instruktioner, malwaren kan stjæle login-oplysninger for forskellige tjenester, ekstrakt browsing historier, injicere JavaScript, etc. Det kan også droppe andre ondsindede nyttelast. |
Distributionsmetode | Trojanized Apps, Cracked Software |
Værktøj Detection |
Se, om dit system er blevet påvirket af malware
Hent
Værktøj til fjernelse af malware
|
Brugererfaring | Tilmeld dig vores forum at diskutere Scranos. |
Data Recovery Tool | Windows Data Recovery af Stellar JoeGo Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet. |
Scranos spyware i Detail
Ifølge den seneste rapport, spyware indeholder forskellige komponenter, der kan tjene forskellige formål og kan sættes ind i forskellige scenarier.
Nogle af de mest afgørende elementer, der kommer med Scranos har følgende muligheder:
– Uddrag cookies og stjæle login-oplysninger fra populære browsere, herunder Google Chrome, Chrom, Mozilla – Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser og Yandex Browser.
– Stjæl brugernes betalingskonti fra Facebook, Amazon og Airbnb websider.
– Send venneanmodninger til andre konti, fra brugerens Facebook konto.
– Send phishing beskeder til den inficerede brugers Facebook-venner, der indeholder ondsindede APK-filer, der bruges til at inficere Android-brugere samt.
– Stjæl loginoplysninger til brugerens konto på Steam.
– Injicer JavaScript adware i Internet Explorer.
– Installer Chrome / Opera udvidelser, der tjener til at injicere JavaScript adware på disse browsere.
– Exfiltrate browserdata.
– Stille vise annoncer eller dæmpede YouTube-videoer til brugere via Chrome. Forskerne opdagede nogle pipetter, der kan installere Chrome, hvis den ikke allerede er på ofrets computer.
– Abonner brugere til YouTube videokanaler.
– Hent og fuldbyrder enhver nyttelast.
Hvordan er Scranos spyware Spread?
Ikke overraskende, malware spredes via Trojanized applikationer i form revnet software, eller software forklædt som nyttige som e-bogslæsere, videoafspillere, drivere eller endda anti-malware produkter, forskerne sagde.
Ved udførelse, Scranos installerer også et rootkit driver for at skjule malware og gøre det vedholdende på systemet. Det næste skridt af infektionen kæden er ”ringe hjem”, og modtage kommandoer på hvad andre komponenter for at hente og installere. Rapporten siger, at Scranos er inficerer brugere på globalt plan, med Indien, Rumænien, Frankrig, Italien og Indonesien har udbredte infektioner.
Det er bemærkelsesværdigt, at alle identificerede Scranos prøver bekræfter, at denne operation er i en konsolidering fase:
de ældste prøver identificerede dato tilbage til november 2018, med en massiv stigning i december og januar. Men, i marts 2019, kommando- og kontrol-servere begyndte at skubbe andre stammer af malware - en klar indikator for, at netværket nu er tilknyttet tredjeparter i pay-per installere ordninger.
Den malware er også i stand til at interagere med specifikke hjemmesider på ofrets vegne. Mere specifikt, malwaren er aggressivt fremme fire YouTube-videoer på forskellige kanaler.
Som for rootkit-driveren, det udnytter en effektiv vedholdenhed mekanisme omskrive sig på lukning, men det gør ikke gemme sig. Rootkittet injicerer en downloader i en legitim proces, som derefter downloader en eller flere nyttelast.
Bemærk, at rootkit det ikke er beskyttet mod sletning hvis de opdages. Udover selve driveren, ikke andre stoffer kan findes på disken, som de er slettet efter at have kørt. Men, de kan downloades igen, hvis nødvendigt, ifølge rapporten.
Kort fortalt, brugere bør være yderst forsigtige med deres online adfærd. Denne malware er endnu en påmindelse om, hvor sofistikerede angreb er ved at blive. For eksempel en af nyttelast i Scranos kampagnen er at manipulere andre sider i stedet for YouTube, ved at interagere med annoncer, der vises inde i disse sider:
Sådan fjernes Scranos Spyware
Naturligvis, rootkits og spyware er ganske snu og derfor, udfordrende at fjerne. Der er trin dog, der kan befri dit system af malware og dens rootkit komponent:
1. Luk din browser(s).
2. Dræb alle processer, der kører fra midlertidig vej. Fjern filer, der er detekteret som ondsindet.
3. Dræb rundll32.exe proces.
4. Generer navn rootkit-filen på følgende måde:
– Få aktuelle brugers SID.
– Beregn MD5 af snoren resultat af en).
– Få den første 12 tegn fra b).
5. Kør en cmd eller PowerShell vindue med administratorrettigheder og typen: > Sc stop-sc slette Sys og slette filen.
7. Fjern DNS-driveren (under, MOIYZBWQSO skal erstattes med din bestemt driver navn):
– Kontroller, om DNS-driveren er installeret: i% TEMP% skal være en fil med 10 tilfældige store bogstaver (ex: MOIYZBWQSO. sys). I registreringsdatabasen bør der også være en tast, der svarer til navnet (ex: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MOIYZBWQSO)
– Kør en cmd eller PowerShell vindue med administratorrettigheder og typen:
– sc stoppe MOIYZBWQSO
– sc slette MOIYZBWQSO –
– Slet filen% TEMP% MOIYZBWQSO.sys 8) Reb oot din pc til at fjerne den injicerede koden fra svchost.exe proces. 9. Fjern eventuelle mistænkelige udvidelse fra dine browsere.
10. Skift alle dine passwords.