Zuhause > Cyber ​​Aktuelles > Crackonosh-Malware verwendet geknackte Software und deaktiviert die Systemabwehr
CYBER NEWS

Crackonosh-Malware verwendet geknackte Software und deaktiviert die Systemabwehr

crackonosh-malware-sensorstechforum
Sicherheitsforscher haben gerade die Entdeckung einer neuen Malware namens Crackonosh . gemeldet. Die Malware wurde von Avast-Forschern entdeckt, nachdem sie Berichte von Reddit-Benutzern erhalten hatten, denen zufolge ihre AV-Programme auf ihren Systemen fehlten.

Crackonosh-Malware im Detail

Avast hat sich die Berichte angesehen und die sogenannte Crackonosh-Malware gefunden, die illegal verwendet, gecrackte Kopien beliebter Software zur Verbreitung. Die Malware deaktiviert AV-Programme als Teil ihrer Anti-Erkennungs- und Anti-Forensik-Techniken, die Forscher sagte.




Offenbar, Die bösartige Bedrohung legt drei Schlüsseldateien ab, die als winrmsrv.exe identifiziert wurden, winscomrssrv.dll, und winlogui.exe. Zusätzlich zum Deaktivieren von AV-Programmen, Die Malware deaktiviert auch Windows Defender und Windows Update als Teil ihrer Anti-Erkennungsfunktionen.

In Bezug auf seine Installation, die Malware folgt diesen Schritten:

1.Erste, das Opfer führt das Installationsprogramm für die gecrackte Software aus.
2.Das Installationsprogramm führt die Datei maintenance.vbs aus
3.Maintenance.vbs startet dann die Installation mit serviceinstaller.msi
4.Serviceinstaller.msi registriert serviceinstaller.exe und führt es aus, die wichtigste ausführbare Malware-Datei.
5.Serviceintaller.exe löscht StartupCheckLibrary.DLL.
6.StartupCheckLibrary.DLL lädt wksprtcli.dll herunter und führt es aus.
7.Wksprtcli.dll extrahiert die neuere winlogui.exe und löscht die darin enthaltene winscomrssrv.dll und winrmsrv.exe, entschlüsselt und im Ordner ablegt.

Was ist der Zweck von Crackonosh? Das Endziel seiner böswilligen Operation ist die Installation der XMRing-Kryptowährungs-Miner. Die Forscher konnten eine Brieftasche aufdecken, die Statistiken enthielt, aufdeckende Zahlungen von 9000 XMR insgesamt. Mit heutigen Preisen, die Summe ist mehr als $2,000,000 USD.

In einer Nussschale, Crackonosh kann kritische Windows-Systemdateien ersetzen und den abgesicherten Modus von Windows ausnutzen, um die Abwehrmechanismen des Systems zu beschädigen. Um sich weiter zu schützen, es deaktiviert Sicherheitssoftware, Systemaktualisierung, und verwendet verschiedene Anti-Analyse-Tricks, um eine Erkennung zu verhindern. All diese Ansätze machen es sehr schwer, Crackonosh zu entdecken und zu entfernen.

Die immer existierende Gefahr von gecrackter Software

Dieser Vorgang ist ein weiteres Beispiel dafür, wie gefährlich es ist, gecrackte und raubkopierte Software herunterzuladen. „Crackonosh ist mindestens seit Juni im Umlauf 2018 und hat nachgegeben $2,000,000 USD für seine Autoren in Monero von über 222,000 infizierte Systeme weltweit,“, wies Avast darauf hin.

„Die wichtigste Erkenntnis daraus ist, dass man wirklich nichts umsonst bekommen kann und wenn man versucht, Software zu stehlen, die Chancen stehen gut, dass jemand versucht, von dir zu stehlen,“Die Forscher stellten fest.

Früher in diesem Jahr, wir berichteten über eine böswillige Kampagne mit gecrackte Kopien von Microsoft Office und Adobe Photoshop. Die geernteten Browser-Session-Cookies und Monero-Kryptowährungs-Wallets.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau