Cyber Analysten entdeckt einen massiven weltweiten Angriff eine gefährliche Malware die Smominru Botnet genannt tragen. Es ist in der Lage, die Konfiguration der kompromittierten Rechner zu manipulieren und ist gefunden worden, einen Monero Kryptowährung Bergmann installieren, die die Vorteile der zur Verfügung stehenden Ressourcen nimmt und nutzt sie, Einkommen für die Betreiber zu generieren. Lesen Sie die vollständige Analyse, um mehr über sie, sowie um herauszufinden, wie Sie sich vor eingehenden Bedrohungen zu schützen. Wenn jemand die Symptome einer aktiven Botnet-Infektion erfährt sie unsere ausführliche Smominru Entfernungsanleitung, um ihre Systeme wiederherstellen.
Smominru Botnet Attacks Surge: Quelle von Infektionen
Computer Security-Analysten festgestellt, dass ein neuer Botnet-Angriff, die Tausende von Opfern zu infizieren, in sehr kurzen Zeit geschaffen hat,. Im Moment gibt es keine Informationen über die Identität des Hackers oder kriminelles Kollektiv dahinter. Einige der Experten schlagen vor, dass die Menschen dahinter eine kleine Hacker-Gruppe sind.
Zuvor wurde ein Teil seines Codes verwendet Bedrohungen zu verbreiten wie Mirai wodurch es eine starke Waffe in den Händen der einzelnen Verbrecher. Die erhaltenen Proben zeigen, dass die Infektion hauptsächlich Methoden beziehen sich auf automatisierte Penetrationstests. Der Anschlag kann verschiedene Plattform Taten laden, die eine breite Palette von Geräten Ziel, Server und IoT-Geräte. Nach den Berichten veröffentlichten die steigende Rate von Infektionen, die durch niedrige Sicherheit und Standardanmeldeinformationen links von den Eigentümern verursacht werden. Die Auswirkungen auf Datenbankserver kann besonders verheerend sein. Sie laufen in der Regel auf Microsoft Windows Server und haben Zugriff sowohl auf das Internet und das interne Netzwerk. In vielen Fällen sind sie auch die administrativen Steuerungen von Geräten wie Kameras und andere Peripheriegeräte. Zwei der am häufigsten verwendeten Exploits sind die folgenden:
- EternalBlue (CVE-2017-0144) - Dies ist die gut bekannte Exploits während der WannaCry Ransomware-Attacken Mai populär verwendet 2017. Sie nutzen Schwachstellen im SMB-Protokoll, das für die Dateifreigabe auf den zeitgenössischen Versionen von Microsoft Windows verwendet wird,.
- EsteemAudit (CVE-2017-0176) - Dies ist eine Schwäche in dem in den Server-Versionen von Microsoft Windows verwendete Authentifizierungscode Smart Card.
In Abhängigkeit von der Hacker-Konfiguration auf die bereitgestellte Bedrohung kann etwas anderes als die Smominru Botnet sein: Ransomware, Trojaner und etc. Allerdings sind die Berichte zeigen deutlich, dass die Hauptnutzlast in allen Kampagnen bisher zu sein scheint Monero Kryptowährung Bergmann. Die Smominru Botnet-Angriffe Opfer in erster Linie befindet sich in Russland, Indien, Brasilien, Taiwan und Ukraine.
Smominru Botnet Analyse: Schadenspotenzial Bericht
Wir konnten mehrere Berichte erhalten, die zeigen, wie die Malware so schnell arbeitet wie die Ziele gewählt werden. Im Vergleich zu anderen ähnlichen Bedrohungen verwendet es eine Fee komplexe Verhaltenssequenz. Nach einer Sicherheitslücke erfasst wurde der Exploit-Code automatisch, welche die Infiltration führt gestartet.
Der nächste Teil der Smominru Botnet-Infektion erfolgt mit WMI-Skripte. Sie können mit mehreren gängigen Programmiersprachen programmiert werden (Powershell und VBScript zum Beispiel) die Downloads und greift in die Haupt Malware-Engine. Es ist wichtig zu beachten, dass, sobald die Malware an die Opfer eingesetzt beherbergt es die Fähigkeit gewinnt seine eigenen Prozesse mit administrativen Rechten zu erstellen. Es kann auch auf andere Anwendungen automatisch oder als Teil der installierten Verhaltensmuster Haken. Sobald die Infektion betriebsbereit sind, eine grundlegende Konfigurationsdatei geladen wird. Es kann vom Opfer zum Opfer variiert und eine unzählige Anzahl von verschiedenen Mustern kann beteiligt sein. Die zweite Stufe lädt ein Trojan-Modul Interessanter dass berichtet ein Sekundär Hacker-gesteuerten Server. Es gibt zwei Hauptansätze zu diesem:
- Der Trojaner-Code kann durch eine andere Gruppe gesteuert werden, eine beliebte Taktik manchmal, die auf den U-Bahn-Hackerforen vorgeschlagen. Die Kriminellen können hochkarätige Eingriffe planen für sich in Gruppen zu organisieren - die erste kümmert sich um die tatsächlichen Einbrüche während der zweite die sich daraus ergebenden Auswirkungen und zum Einsatz von Malware-Code verwaltet.
- Wenn alle Komponenten und Muster Hacker Verhalten sind die Werke der gleichen kriminellen kollektiven dann die Verwendung von mehrere Hacker-Server. Wenn der Haupt ein offline geht, dann werden sie haben immer noch die Möglichkeit, die infizierten Rechner zu steuern.
Der nächste Schritt installiert ein Kryptowährung Bergmann das beginnt automatisch die Vorteile der verfügbaren Hardware-Ressourcen zu nehmen. Die komplexen Rechenoperationen Mine des Monero digitale Währung die an die Betreiber als Gewinn abzuführen ist. Dies ist einer der beliebtesten Alternativen zu Bitcoin und in den letzten paar Wochen haben wir mehrere groß angelegte Angriffe gesehen haben, die ähnliche Malware liefern.
Eine weitere Welle von Malware-Komponenten können die Smominru Botnet folgen. Die letzte Welle der Additionen führen zu können Systemänderungen. Ein Beispiel ist die Einrichtung eines persistenter Zustand der Ausführung welche verhindert automatisch eine manuelle Benutzerentfernungsversuche. In solchen Fällen ist die Verwendung eines hochwertigen Anti-Spyware-Lösung würde die aktiven Infektionen zu entfernen, werden benötigt. Wenn überhaupt Windows-Registry Änderungen sind aus erleben die Nutzer können Performance-Probleme und Anwendung oder ein Dienst Versagen.
Im Moment wird geschätzt, dass etwa 500 000 Computer-Nutzer sind von den neuesten Angriffsaktionen betroffen und ihre Zahl stetig wächst. Es wird angenommen, dass die erzeugte Gewinn beläuft sich auf 8900 Monero die auf der heutigen Wechselkurs beträgt rund $2,086,409.23.
Smominru Botnet Modular Framework-Capabilities
Die Tatsache, dass das Botnet besteht ein modulares Framework ermöglicht es, die kriminellen Gruppen weiteres Updates zu erstellen. Wir vermuten, dass der Quellcode zum Verkauf U-Bahn-Foren online veröffentlicht in dem Hacker sein kann, oder zwischen den verschiedenen Gruppen gehandelt. Die Analysten beachten Sie, dass diese Art der Bedrohung wird kategorisiert als Dateilos. Dies bedeutet, dass der gesamte Angriff kann durch Skripte, die alle weiteren Schritte in dem Speicher des Host-Computers ausgeführt werden, verursacht werden, bis die Bedrohung vollständig installiert ist.
Anti-Virus-Scans kann, wenn die vermieden werden Informationsmodul Ernte wird während der ersten Handlungen des Eindringens in Eingriff. Gleich nach dem die Skripte ausgeführt werden, die Hacker kann ein bestimmtes Verhaltensmuster in der Konfiguration der Malware einbetten. Es ist in der Lage, das System zu scannen - sowohl die Festplatte und die laufenden Speicher für sensible Daten. Es gibt zwei Hauptkategorien von Daten, die umrissen werden kann:
- Persönliche Daten - Der Hacker kann Strings ernten, die ihre Identität in Zusammenhang stehen. Die Malware-Engine ist so programmiert, alle Arten von Informationen auf den Namen des Opfers im Zusammenhang zu erwerben, Anschrift, Lage, Vorlieben und sogar Passwörter.
- anonyme Daten - Verschiedene Statistiken in Bezug auf die Betriebssystemversion und die Hardwarekomponenten werden durch den Motor gesammelt.
In vielen Fällen aufgrund der tiefen Infektion können die Malware-Betreiber auch Daten aus den vom Benutzer installierten Anwendungen abrufen und. Ein populäres Beispiel ist der Web-Browser - der Hacker der gespeicherten Daten ernten: Geschichte, Lesezeichen, Formulardaten, Vorlieben, Kekse, Passwörter und Kontoinformationen. über die gleichen Mechanismen können sie stellen auch eine umleiten Code durch die Standard-Homepage Modifizieren, Suchmaschine und neue Registerkarten Seite. Normalerweise werden die Opfer von Malware-Seiten umgeleitet, das Institut Cookies und Spione auf der Verfolgung von Nutzern.
Einige der erhaltenen Proben wurden gefunden ein Feature Stealth-Schutz Funktion, die je nach dem Angriff Kampagne individuell konfiguriert werden kann. Unter Verwendung der abgerufenen Informationen der Botnetz auf das Vorhandensein von Anti-Viren-Software scannen, Sandbox-und Debugging-Umgebungen und virtuelle Maschinen. Sie können umgangen oder entfernt werden, und wenn die Malware nicht in der Lage ist zu tun, so kann er wählen, selbst löschen Erkennung zu vermeiden.
Die Virus-Dateien können auch die infizieren programmiert werden Fenster Ordner durch seine Komponenten als Systemdateien umbenennen und sie dort platzieren. Wenn dies in einer Kombination mit einem Keylogger der Hacker kann alle Mausbewegungen und Tastatureingaben in einer Datenbank aufnehmen, die an den Hacker Betreiber weitergeleitet wird.
Während der gründlichen Code-Analyse wurde festgestellt, dass einige der erzeugten Malware-Samples werden chinesische Zertifikaten signiert mit. Es ist möglich, dass die Hacker-Gruppen aus dem in Betrieb sind oder einem ihrer Server befindet sich dort.
Computer-Nutzer kann immer für Malware-Infektionen auf der Hut sein. Eine kostenlose Scan kann solche Fälle aufzudecken und ermöglicht eine einfache Entfernung.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren