Cobalt grève Malware (W32 / Cobalt) - Qu'est-ce et comment l'enlever
Suppression des menaces

Cobalt grève Malware (W32 / Cobalt) – Qu'est-ce et comment l'enlever

Cet article vise à expliquer ce qui est Cobalt Malware Strike, comment il infectent ordinateurs et comment enlever efficacement à partir de votre ordinateur.

Nouvelle forme de malware a été signalé à causer des infections via une vulnérabilité pour machines Windows qui est 17 ans. Le virus, en rapport avec le test stylo (tests de pénétration) outil Cobalt grève est également surnommé Cobalt Malware Strike et son but principal après infecter votre ordinateur est de le transformer en esclave des pirates qui sont derrière l'infection. Dans le cas où vous avez vu W32 / Cobalt ou une autre détection similaire sur votre ordinateur, nous vous recommandons de lire cet article et apprenez comment supprimer complètement le Cobalt Malware Strike de votre PC et de le protéger contre les infections futures et les intrusions.

Menace Résumé

NomCobalt grève Malware
TypeJavaScript Malware Infection
brève descriptionVise à rendre votre ordinateur contrôlé à distance via des commandes shell par les pirates derrière le virus.
SymptômesAucun symptôme jusqu'à présent que le malware est de fichiers moins, mais votre ordinateur peut se comporter étrange et peut contenir d'autres logiciels malveillants dans ce.
Méthode de distributionVia des URL malveillants ou des sites Web compromis.
Detection Tool Voir si votre système a été affecté par Cobalt grève Malware

Télécharger

Malware Removal Tool

Expérience utilisateurRejoignez notre Forum pour discuter de Cobalt grève Malware.

Cobalt grève Malware – Analyse des infections

Afin de provoquer une infection réussie, le fichier malveillant de ce virus est en fait un document Microsoft Word semi-légitime, qui se fait passer pour un fichier légitime envoyé par une banque ou une grande entreprise. Le fichier se transmet par des macros malveillants qui contiennent l'exploit CVE-2017-11882 qui est plus 17 ans au moment de la rédaction. Jusqu'ici, ce qui est connu au sujet de cette vulnérabilité est qu'il n'a été patché fois, deux semaines après avoir été découverte par Microsoft.

La façon dont les cyber-criminels qui sont considérés comme les Cgroupe d'intrus obalt ont décidé d'utiliser des infections macro malveillants pour leurs attaques dans les e-mails qu'ils font semblant sont de Visa. Un échantillon a été détecté par les chercheurs de logiciels malveillants Jasper Manuel et Joie Salvio à Fortinet et il utilise l'e-mail suivante:

Le message (En russe) prétend venir du système payWave de Visa et vise à amener la victime à ouvrir ce qui semble être un fichier .zip et .doc qui se font passer pour “nouveaux changements du système de sécurité dans Visa payWave”. Une fois que ce document est ouvert, la victime voit un fichier Microsoft Word qui légitime dit que les mots “Activer la modification”:

En réalité, cependant, le fichier déclenche un script pour PowerShell qui initie le téléchargement du fichier d'infection de Cobalt grève, tout en obscurcissant avec la vulnérabilité CVE-2017-11882. L'ensemble du processus d'initier le téléchargement se fait en prenant le contrôle de l'hôte Microsoft HTML application également connu sous le nom du processus mshta.exe, qui a un but d'exécuter des applications HTML. Le résultat est que le service mshta.exe se connecte à l'adresse IP 104.254.99.77 et télécharge les JavaScript charge utile d'infection de grève de la Cobalt sur l'ordinateur de la victime. Mais ce qui est téléchargé n'est pas la charge utile JavaScript finale, mais ce JavaScript déclenche un autre téléchargement de l'hôte 104.254.99.77 qui télécharge un fichier avec un nom aléatoire et la .ps1 suffixe sur l'ordinateur de la victime. Le fichier se trouve dans le dossier% AppData% répertoire et peut apparaître comme ce qui suit:

→ %AppData% 28dh32d9233.ps1

Lorsque ce fichier est exécuté .ps1, la Cobalt réelle infection Strike a lieu sur l'ordinateur de la victime.

Cobalt grève Malware – Activité malicieuse

Une fois téléchargé, le fichier .ps1, appartenant à Cobalt grève est automatiquement activé. Il déclenche encore un autre script PowerShell qui contient les fichiers DLL client de Cobalt grève – un peu dépassée, mais toujours outil très efficace, précédemment utilisé pour les tests de pénétration des défenses dans les systèmes d'exploitation de Windows. Une fois qu'il détecte si votre Windows est en cours d'exécution basé sur 32 bits ou l'architecture 63 bits, la DLL appropriée Cobalt Strike est exécuté directement dans votre mémoire Windows PowerShell et cela se traduit par le logiciel malveillant ne pas être réellement présents sur votre disque, tout en restant intégré dans PowerShell et même si vous supprimez le fichier .ps1, le virus est toujours actif sur votre PC. Cela aide également les programmes antivirus qui sont classiques pour détecter le virus.

Une fois que la DLL de Cobalt grève est déclenchée, les cyber-criminels ont obtenu un contrôle complet de votre système informatique – il leur appartient. Ils peuvent effectuer toutes les activités qui peuvent être effectuées à l'aide de la Cobalt shell Strike se commandes. Voici seulement une petite partie des commandes qui peuvent être déclenchées, en utilisant les logiciels malveillants de Cobalt:

spawnto – fraye sessions dans les processus.
injecter – injectent divers scripts malveillants dans les processus de Windows légitimes.
dllinject – même que pour inject mais DLLs
télécharger – peuvent télécharger d'autres logiciels malveillants ou des fichiers sur votre ordinateur.
télécharger – peut télécharger des fichiers sur le serveur du pirate, i.e. il peut voler vos fichiers.
timestomp – pour aider les fichiers de mélange, obscurcissement et se mettre à jour.
ls – similaire à Linux, il vous aide à sa liste des fichiers différents.
mkdir – de créer des dossiers sur votre ordinateur.
keylogger pid – pour connecter vos frappes au clavier.
capture d'écran pid – de prendre une capture d'écran de votre bureau.
jobkill – de tuer un emploi.
chaussettes 8080 – pour définir un serveur proxy sur un port sélectionné (dans ce cas 8080).

Ce ne sont que les principales commandes qui sont susceptibles d'être utilisés sur votre ordinateur et vous avez aucun moyen de savoir qu'ils sont déclenchées tout se passe en arrière-plan de votre ordinateur. La liste complète des commandes peut être vu sur Cobalt page Web Strike.

Comment faire pour supprimer Cobalt Malware grève à partir de votre PC

Pour supprimer ce malware, vous aurez besoin d'avoir une certaine expérience dans le travail avec Windows PowerShell et certainement une certaine expérience de suppression des logiciels malveillants. Donc, si la suppression manuelle n'est pas votre type de chose à faire, Les experts en sécurité recommandent fortement d'utiliser un outil de suppression des logiciels malveillants de pointe à la place d'un programme antivirus classique. Un tel logiciel va scanner non seulement automatiquement et supprimer les logiciels malveillants Cobalt Strike de votre ordinateur, mais aussi vous assurer que votre ordinateur reste protégé contre d'autres infections JavaScript et PowerShell dans l'avenir.

avatar

Ventsislav Krastev

Ventsislav a couvert les derniers logiciels malveillants, développements logiciels et plus récent technologie à SensorsTechForum pour 3 années. Il a commencé comme un administrateur réseau. Ayant obtenu leur diplôme et marketing, Ventsislav a aussi la passion pour la découverte de nouveaux changements et les innovations en matière de cybersécurité qui deviennent changeurs de jeu. Après avoir étudié la gestion de la chaîne de valeur et d'administration réseau, il a trouvé sa passion dans les cybersecrurity et croit fermement à l'éducation de base de chaque utilisateur vers la sécurité en ligne.

Plus de messages - Site Internet

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...