Scranos ist der Name einer neuen Rootkit-fähige Spyware, die trotz ihrer derzeitigen Raffinesse zu sein scheint „in Arbeit". Bitdefender Forscher kürzlich entdeckt, dass die Betreiber von Scranos kontinuierlich testen neue Komponenten auf bereits infizierte Benutzer und regelmäßig geringfügige Verbesserung zu alten Komponenten.
Threat Zusammenfassung
Name | Scranos |
Art | Spyware, Rootkit, Adware |
kurze Beschreibung | Scranos ist eine hoch entwickelte Spyware mit einem Rootkit-Treiber ausgestattet, die eine Reihe von bösartigen Aktivitäten durchführen können. Siehe Artikel für Details. |
Symptome | In Abhängigkeit von den empfangenen Anweisungen, die Malware können Anmeldeinformationen für verschiedene Dienste stehlen, Extrakt-Browsing Geschichten, injizieren JavaScript, etc. Es kann auch andere schädliche Nutzlasten fallen. |
Verteilungsmethode | trojanisiert Apps, Gebrochen Software |
Detection Tool |
Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Scranos Spyware im Detail
Laut dem jüngsten Bericht, die Spyware enthält verschiedene Komponenten, die unterschiedlichen Zwecken dienen und kann in verschiedenen Szenarien eingesetzt werden.
Einige der wichtigsten Komponenten, die mit Scranos kommen haben die folgenden Funktionen:
– Extrahieren Sie Cookies und stehlen Anmeldedaten aus gängigen Browsern wie Google Chrome, Chrom, Mozilla – Firefox, Oper, Microsoft Edge-, Internet Explorer, Baidu Browser und Yandex.browser.
– Steal Nutzer Zahlungskonten von Facebook, Amazon und Airbnb Webseiten.
– Senden Freund Anfragen an andere Konten, von dem Facebook-Account des Benutzers.
– Senden Phishing-Nachrichten an die Facebook-Freunde des infizierten Benutzers, die verwendet bösartige APKs enthalten Android-Nutzer zu infizieren und.
– Stehlen Sie Anmeldedaten für das Konto des Benutzers auf Steam.
– Spritzen Sie JavaScript Adware in Internet Explorer.
– Installieren Sie Chrome / Opera-Erweiterungen, die dazu dienen JavaScript Adware auf diesen Browsern zu injizieren.
– Exfiltrate Browserverlauf.
– Anzeige Silently Anzeigen oder stumm geschaltet YouTube-Videos für die Nutzer über Chrome. Die Forscher entdeckten einige Tropfer, die Chrome installieren kann, wenn sie nicht bereits auf dem Computer des Opfers ist.
– Abonnieren Nutzer YouTube-Videokanäle.
– Herunterladen und Ausführen beliebige Nutzlast.
Wie ist Scranos Spyware verbreiten?
Nicht überraschend, die Malware wird über trojanisiert Anwendungen in Form geknackt Software zu verbreiten, oder Software, die als E-Book-Reader aufwirft, Video-Player, Treiber oder sogar Anti-Malware-Produkte, sagten die Forscher.
Bei der Ausführung, Scranos installiert auch ein Rootkit-Treiber die Malware zu verschleiern und es auf dem System dauerhaft machen. Der nächste Schritt der Infektion Kette „nach Hause telefonieren“ und Empfangen von Befehlen auf, welche anderen Komponenten zum Herunterladen und Installieren. Der Bericht sagt, dass Scranos Benutzer auf globaler Ebene infiziert, mit Indien, Rumänien, Frankreich, Italien und Indonesien, die weit verbreitet Infektionen.
Es ist bemerkenswert, dass alle identifizierten Scranos Proben bestätigen, dass dieser Vorgang in einer Konsolidierungsphase ist:
die ältesten Proben bis November identifiziert Datum zurück 2018, mit einem massiven Dorn im Dezember und Januar. Jedoch, März 2019, die Kommando- und Kontrollserver gestartet andere Stämme von Malware drängen - ein klarer Indikator dafür, dass das Netzwerk jetzt mit Dritten in Pay-per installieren Systeme angeschlossen ist.
Die Malware ist auch in der Lage mit bestimmten Websites auf dem Opfer im Namen der Interaktion. Genauer, die Malware fördert aggressiv vier YouTube-Videos auf verschiedenen Kanälen.
Wie für die Rootkit-Treiber, es nutzt eine wirksame Persistenzmechanismus selbst beim Herunterfahren des Neuschreibens aber es sich nicht verbergen. Das Rootkit injiziert einen Downloader in ein rechtmäßiges Verfahren, die dann lädt ein oder mehr Nutzlasten.
Beachten Sie, dass das Rootkit nicht gegen Löschen, wenn erkannt geschützt. Neben dem Fahrer selbst, keine andere Komponenten können auf der Festplatte gefunden werden, wie sie gelöscht werden nach dem Laufen. Jedoch, sie können erneut heruntergeladen werden, wenn nötig, der Bericht fest.
Um es kurz zu machen, Benutzer sollten sehr vorsichtig mit ihrem Online-Verhalten sein. Diese Malware ist noch eine weitere Erinnerung daran, wie anspruchsvolle Angriffe werden immer. Zum Beispiel eine der Nutzlasten der Scranos Kampagne manipuliert andere Seiten statt YouTube, indem sie mit Anzeigen interagieren innerhalb dieser Seiten angezeigt:
Wie Entfernen von Spyware Scranos
Unnötig zu sagen, Rootkits und Spyware sind ziemlich schlau und deshalb, herausfordernd zu entfernen. Es sind Schritte jedoch, dass Ihr System von der Malware und ihre Rootkit-Komponente befreien:
1. Schließen Sie Ihren Browser(s).
2. Tötet alle Prozesse von der temporären Pfad laufen. Entfernen Sie Dateien, die als bösartig erkannt werden.
3. Töten rundll32.exe Prozess.
4. Generieren Sie die Rootkit-Dateinamen wie folgt:
– Erhalten aktuellen Benutzers SID.
– Compute MD5 der Zeichenfolge resultiert aus a).
– Holen Sie sich das erste 12 Zeichen aus b).
5. Führen Sie einen cmd oder Powershell-Fenster mit Administratorrechten und Typ: > Sc stop sc .SYS löschen und die Datei löschen.
7. Entfernen Sie den DNS-Treiber (unten, MOIYZBWQSO sollte mit Ihrem speziellen Treibernamen ersetzt werden):
– Überprüfen Sie, ob der DNS-Treiber installiert ist: in% TEMP sollte% eine Datei sein mit 10 Zufallsgroßbuchstaben (Ex: MOIYZBWQSO. sys). In der Kanzlei sollte auch ein Schlüssel entsprechend den Namen sein (Ex: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MOIYZBWQSO)
– Führen Sie einen cmd oder Powershell-Fenster mit Administratorrechten und Typ:
– sc stop MOIYZBWQSO
– sc löschen MOIYZBWQSO –
– Löschen Sie die Datei% TEMP% MOIYZBWQSO.sys 8) Reb oot Ihr PC die injizierte Code aus dem svchost.exe Prozess zu entfernen. 9. Entfernen Sie jede verdächtige Erweiterung von Ihrem Browser.
10. Ändern Sie alle Ihre Passwörter.