Dieser Artikel zielt darauf ab, zu erklären, was ist Cobalt Streik Malware, wie funktioniert es infiziert Computer und wie es zu entfernen effektiv von Ihrem Computer.
Neue Form von Malware wurde berichtet, Infektionen über eine Schwachstelle für Windows-Maschinen verursachen, ist 17 Jahre alt. Der Virus, im Zusammenhang mit dem Stift-Tests (Penetrationstests) Werkzeug Cobalt Strike auch Malware Cobalt Schlag genannt und es ist primäres Ziel, nachdem der Computer infiziert ist es in einen Sklaven der Hacker zu machen, die hinter der Infektion sind. Für den Fall, dass Sie gesehen haben W32 / Cobalt oder andere ähnliche Erkennung auf Ihrem Computer, wir empfehlen, dass Sie diesen Artikel lesen und lernen, wie voll die Cobalt Streik von Malware von Ihrem PC zu entfernen und gegen zukünftige Infektionen und Eindringlingen schützen.
Threat Zusammenfassung
| Name | Cobalt Streik Malware, alias PUP.DllInject.G |
| Art | JavaScript Malware-Infektion |
| kurze Beschreibung | Zielt darauf ab, auf Ihren Computer ferngesteuert über Shell-Befehle von den Hackern hinter dem Virus zu machen. |
| Symptome | Keine Symptome so weit wie die Malware-Datei-less, aber Ihr Computer mag seltsam verhalten und andere Malware darin enthalten. |
| Verteilungsmethode | Via bösartigem URLs oder kompromittiert Websites. |
| Detection Tool |
Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Benutzererfahrung | Abonnieren Sie unseren Forum zu Besprechen Cobalt Streik Malware. |
Cobalt Streik Malware – Infektion Analyse
Um eine erfolgreiche Infektion zu verursachen, die bösartige Datei dieses Virus ist eigentlich ein halb-legitim Microsoft Word-Dokument, die vorgibt, eine legitime Datei gesendet von einer Bank oder einem großen Unternehmen zu. Die Datei selbst infiziert über bösartige Makros, die den Exploit CVE-2.017-11.882 enthalten, die über ist 17 Jahre alt zum Zeitpunkt der Abfassung dieses. Bisher, was zu dieser Sicherheitsanfälligkeit bekannt ist, dass es nur einmal gepatchte, zwei Wochen nach wurde es von Microsoft entdeckt.
Die Art, wie die Cyber-Kriminellen, die die erachtet werden Cobalt Hacker-Gruppe entschieden haben, bösartige Makro-Infektionen für ihre Angriffe in E-Mails zu verwenden, die sie vorgeben, sind von Visa. Eine Probe wurde durch Malware-Forscher Jasper Handbuch und Joie Salvio erkannt an Fortinet und es wird die folgende E-Mail:
Die Nachricht (Auf Russisch) gibt vor, von Visa payWave-System zu kommen und es zielt darauf ab, das Opfer zu bringen zu öffnen, was eine ZIP-und DOC-Dateien zu sein scheint, das als Pose “Neue Sicherheitssystem Änderungen in Visa payWave”. Sobald dieses Dokument geöffnet, das Opfer sieht eine legitime Microsoft Word-Datei, die die Worte nur sagt “Bearbeitung aktivieren”:
In Wirklichkeit jedoch, die Datei löst für Powershell ein Skript, das den Download der Infektion Datei von Cobalt Streik initiiert, während Verschleiern es mit der CVE-2017-11882 Verwundbarkeit. Der gesamte Prozess hat das Herunterladen der Einleitung wird durch die Kontrolle des Microsoft HTML-Anwendung-Host auch bekannt als der Prozess mshta.exe getan, das hat einen Zweck HTML-Anwendungen ausführen. Das Ergebnis davon ist, dass der mshta.exe Dienst an die IP-Adresse verbindet 104.254.99.77 und Downloads der JavaScript Infektion Nutzlast von Cobalt Streik auf dem Computer des Opfers. Aber was heruntergeladen wird, ist nicht die endgültige Nutzlast JavaScript, sondern diese JavaScript löst einen weiteren Download vom Host 104.254.99.77 das Herunterladen einer Datei mit einem zufälligen Namen und die .ps1 Suffix auf dem Computer des Opfers. Die Datei wird im Verzeichnis% AppData% Verzeichnis und erscheint wie folgt aus:
→ %AppData% 28dh32d9233.ps1
Wenn diese PS1-Datei ausgeführt wird, die tatsächliche Cobalt Streik Infektion erfolgt auf dem Computer des Opfers.
Cobalt Streik Malware – Malicious Activity
einmal heruntergeladen, die PS1-Datei, automatisch aktiviert Cobalt Schlag gehör. Es löst eine weitere Powershell-Skript, das die Client-DLL-Dateien von Cobalt Streik hat – ein ziemlich veraltet, aber immer noch sehr effektives Werkzeug, zuvor für Penetrationstests der Verteidigung in Windows-Betriebssystemen verwendet. Sobald es erkennt, ob Ihr Windows auf 32-Bit- oder 63-Bit-Architektur basiert läuft, direkt in der Windows Powershell-Speicher ausgeführt, um der entsprechende Cobalt Streik DLL ist und dies führt in den Malware nicht auf dem Laufwerk tatsächlich vorhanden sind,, während in Powershell eingebettet bleibt und auch wenn Sie die PS1-Datei löschen, das Virus ist immer noch aktiv auf Ihrem PC. Dies hilft auch, alle Antivirusprogramme sind üblich, das Virus zu erkennen.
Sobald die DLL von Cobalt Streik ausgelöst, die Cyber-Kriminelle haben die vollständige Kontrolle über Ihr Computersystem erhalten – es gehört ihnen. Sie können alle Aktivitäten durchführen, die die Cobalt Basisschale selbst durchgeführt werden kann unter Verwendung von Befehlen. Hier ist nur ein kleiner Teil von Befehlen, die ausgelöst werden können,, Verwendung von Cobalt Malware:
→ spawnto – laicht Sitzungen in Prozesse.
injizieren – verschiedene bösartige Skripte in legitimen Windows-Prozessen injiziert.
dllinject – gleiche wie inject aber für DLLs
Download – Herunterladen andere Malware oder Dateien auf Ihrem Computer kann.
hochladen – können Dateien auf den Server des Hackers laden, d.h.. es kann Ihre Dateien stehlen.
timestomp – zur Unterstützung von Dateien mit Blending, Verschleierung und Aktualisierung selbst.
ls – ähnlich wie Linux, es hilft Ihnen, verschiedene Dateien aufzulisten.
mkdir – erstellen Ordner auf Ihrem Computer.
Keylogger pid – einzuloggen Ihre Tastatureingaben.
Screenshot pid – einen Screenshot von Ihrem Desktop zu nehmen.
jobkill – einen Job zu töten.
Socken 8080 – einen Proxy-Server auf einem ausgewählten Port zu setzen (in diesem Fall 8080).
Dies sind nur die wichtigsten Befehle, die wahrscheinlich auf Ihrem Computer verwendet werden und Sie haben keine Möglichkeit zu wissen, dass sie ausgelöst werden, da sie alle im Hintergrund Ihres Computers geschehen. Die vollständige Liste der Befehle zu sehen auf seinen Cobalt Strike Webseite.
Wie Entfernen von Cobalt Streik Malware von Ihrem PC
Um diese Malware zu entfernen, Sie müssen einige Erfahrung in der Arbeit mit Windows Powershell haben und auf jeden Fall einige Entfernung von Malware-Erfahrung. Also, wenn die manuelle Entfernung ist nicht Ihre Art der Sache zu tun, Sicherheitsexperten dringend ein erweiterte Malware Removal Tool zu verwenden anstelle von herkömmlichem Antivirus-Programm empfehlen. Solche Software wird nicht nur automatisch scannen und Cobalt Streik Malware von Ihrem Computer entfernen, sondern auch sicherstellen, dass Ihr Computer gegen andere JavaScript und Powershell-Infektionen in Zukunft geschützt bleibt.
Ventsislav Krastev
Ventsislav ist seitdem Cybersicherheitsexperte bei SensorsTechForum 2015. Er hat recherchiert, Abdeckung, Unterstützung der Opfer bei den neuesten Malware-Infektionen sowie beim Testen und Überprüfen von Software und den neuesten technischen Entwicklungen. Nachdem auch graduierte-Marketing, Ventsislav hat auch eine Leidenschaft für das Erlernen neuer Veränderungen und Innovationen in der Cybersicherheit, die zu Spielverändernern werden. Nach dem Studium des Wertschöpfungskettenmanagements, Netzwerkadministration und Computeradministration von Systemanwendungen, Er fand seine wahre Berufung in der Cybersecrurity-Branche und glaubt fest an die Aufklärung jedes Benutzers über Online-Sicherheit.
Folge mir:
Vorbereitung vor der Cobalt Streik Malware entfernen.
Vor dem eigentlichen Entfernungsprozess starten, Wir empfehlen Ihnen die folgenden Vorbereitungsschritte zu tun.
- Stellen Sie sicher, dass Sie diese Anweisungen haben immer offen und vor Ihren Augen.
- Führen Sie eine Sicherung aller Dateien, selbst wenn sie beschädigt werden könnten. Sie sollten Ihre Daten mit einer Cloud-Backup-Lösung und sichern Sie Ihre Dateien gegen jede Art von Verlust sichern, selbst von den schwersten Bedrohungen.
- Seien Sie geduldig, da dies könnte eine Weile dauern.
- Nach Malware durchsuchen
- Register reparieren
- Entfernen Sie Virendateien
Schritt 1: Scan für Cobalt Streik Malware mit SpyHunter Anti-Malware-Tool
Schritt 2: Reinigen Sie alle Register, Cobalt Streik Malware auf Ihrem Computer erstellt.
Die in der Regel gezielt Register von Windows-Rechnern sind die folgenden:
- HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion Run
- HKEY_CURRENT_USER Software Microsoft Windows Currentversion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows Currentversion RunOnce
Sie können auf sie zugreifen, indem Sie den Windows-Registrierungs-Editor und löschen Sie alle Werte öffnen, erstellt es durch Cobalt Streik Malware. Dies kann passieren, darunter indem Sie die Schritte:
Spitze: Um einen Virus erstellten Wert zu finden, Sie können sich auf der rechten Maustaste und klicken Sie auf "Ändern" um zu sehen, welche Datei es wird ausgeführt. Ist dies der Virus Speicherort, Entfernen Sie den Wert.Schritt 3: Finden Sie Virendateien, die von Cobalt Strike Malware auf Ihrem PC erstellt wurden.
1.Für Windows- 8, 8.1 und 10.
Für neuere Windows-Betriebssysteme
1: Auf Ihrer Tastatur drücken + R und schreibe explorer.exe im Lauf Textfeld ein und klicken Sie dann auf die Ok Taste.
2: Klicke auf Ihren PC von der schnellen Zugriffsleiste. Dies ist in der Regel ein Symbol mit einem Monitor und sein Name ist entweder "Mein Computer", "Mein PC" oder "Dieser PC" oder was auch immer Sie haben es benannt.
3: Navigieren Sie zum Suchfeld oben rechts auf dem Bildschirm Ihres PCs und geben Sie ein "Dateierweiterung:" und wonach geben Sie die Dateierweiterung. Wenn Sie böswillige exe-Dateien suchen, Ein Beispiel kann sein, "Dateierweiterung:exe". Nachdem ich, dass, einen Raum verlassen und den Dateinamen, den Sie sich die Malware glauben geben Sie erstellt. Hier ist, wie es scheinen mag, wenn Ihre Datei gefunden wurde,:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Für Windows XP, Aussicht, und 7.
Für Ältere Windows-Betriebssysteme
In älteren Windows-Betriebssystemen sollte der herkömmliche Ansatz der effektive sein:
1: Klicken Sie auf die Startmenü Symbol (in der Regel auf der linken unteren) und wählen Sie dann die Suche Vorliebe.
2: Nachdem das Suchfenster erscheint, wählen Weitere Optionen von der Suchassistent Box. Eine andere Möglichkeit ist, indem Sie auf Alle Dateien und Ordner.
3: Nach dieser Art für den Namen der Datei, suchen Sie und klicken Sie auf die Schaltfläche Suchen. Dies könnte einige Zeit dauern, nach der Ergebnisse werden angezeigt. Wenn Sie die bösartige Datei gefunden, Sie können ihre Lage zu kopieren oder zu öffnen, indem Sie Rechtsklick auf sie.
Jetzt sollten Sie jede Datei unter Windows, so lange zu entdecken können, wie es auf der Festplatte ist und nicht über eine spezielle Software verborgen.
Häufig gestellte Fragen zu Cobalt-Strike-Malware
What Does Cobalt Strike Malware Trojan Do?
The Cobalt Strike Malware Trojan ist ein bösartiges Computerprogramm entworfen, um zu stören, Schaden, oder sich unbefugten Zugriff verschaffen an ein Computersystem. Es kann verwendet werden, um sensible Daten zu stehlen, Kontrolle über ein System erlangen, oder andere böswillige Aktivitäten starten.
Können Trojaner Passwörter stehlen??
Ja, Trojaner, wie Cobalt Strike Malware, kann Passwörter stehlen. Diese Schadprogramme are designed to gain access to a user's computer, Opfer ausspionieren und vertrauliche Informationen wie Bankdaten und Passwörter stehlen.
Can Cobalt Strike Malware Trojan Hide Itself?
Ja, es kann. Ein Trojaner kann sich verschiedener Techniken bedienen, um sich zu maskieren, einschließlich Rootkits, Verschlüsselung, und Verschleierungs, um sich vor Sicherheitsscannern zu verstecken und der Entdeckung zu entgehen.
Kann ein Trojaner durch Zurücksetzen auf die Werkseinstellungen entfernt werden??
Ja, Ein Trojaner kann durch Zurücksetzen Ihres Geräts auf die Werkseinstellungen entfernt werden. Dies liegt daran, dass das Gerät in seinen ursprünglichen Zustand zurückversetzt wird, Entfernen von möglicherweise installierter Schadsoftware. Bedenken Sie, dass es ausgefeiltere Trojaner gibt, die Hintertüren hinterlassen und selbst nach einem Zurücksetzen auf die Werkseinstellungen erneut infizieren.
Can Cobalt Strike Malware Trojan Infect WiFi?
Ja, Es ist möglich, dass ein Trojaner WiFi-Netzwerke infiziert. Wenn sich ein Benutzer mit dem infizierten Netzwerk verbindet, Der Trojaner kann sich auf andere verbundene Geräte ausbreiten und auf vertrauliche Informationen im Netzwerk zugreifen.
Können Trojaner gelöscht werden?
Ja, Trojaner können gelöscht werden. Dies geschieht normalerweise durch Ausführen eines leistungsstarken Antiviren- oder Anti-Malware-Programms, das darauf ausgelegt ist, bösartige Dateien zu erkennen und zu entfernen. In einigen Fällen, Gegebenenfalls ist auch eine manuelle Löschung des Trojaners erforderlich.
Können Trojaner Dateien stehlen??
Ja, Trojaner können Dateien stehlen, wenn sie auf einem Computer installiert sind. Dies geschieht durch Zulassen der Malware-Autor oder Benutzer, sich Zugriff auf den Computer zu verschaffen und dann die darauf gespeicherten Dateien zu stehlen.
Welche Anti-Malware kann Trojaner entfernen?
Anti-Malware-Programme wie z SpyHunter sind in der Lage, Ihren Computer nach Trojanern zu durchsuchen und diese zu entfernen. Es ist wichtig, Ihre Anti-Malware auf dem neuesten Stand zu halten und Ihr System regelmäßig auf schädliche Software zu scannen.
Können Trojaner USB infizieren?
Ja, Trojaner können infizieren USB Geräte. USB-Trojaner verbreitet sich in der Regel über bösartige Dateien, die aus dem Internet heruntergeladen oder per E-Mail geteilt werden, allowing the hacker to gain access to a user's confidential data.
Über die Cobalt-Strike-Malware-Forschung
Die Inhalte, die wir auf SensorsTechForum.com veröffentlichen, Diese Anleitung zum Entfernen von Cobalt Strike Malware ist enthalten, ist das Ergebnis umfangreicher Recherchen, harte Arbeit und die Hingabe unseres Teams, um Ihnen bei der Beseitigung des spezifischen Trojanerproblems zu helfen.
Wie haben wir die Recherche zu Cobalt Strike Malware durchgeführt??
Bitte beachten Sie, dass unsere Forschung auf einer unabhängigen Untersuchung basiert. Wir stehen in Kontakt mit unabhängigen Sicherheitsforschern, Dank dessen erhalten wir täglich Updates zu den neuesten Malware-Definitionen, einschließlich der verschiedenen Arten von Trojanern (hintertür, Downloader, infostealer, Lösegeld, usw.)
Weiter, die Forschung hinter der Cobalt Strike Malware-Bedrohung wird unterstützt Virustotal.
Um die Bedrohung durch Trojaner besser zu verstehen, Bitte lesen Sie die folgenden Artikel, die sachkundige Details bieten.