Retirez le Malware Adkoob - un cheval de Troie Facebook hybride Stealing / Virus Hjacker
Suppression des menaces

Retirez le Malware AdKoob - un cheval de Troie Facebook hybride Stealing / Virus Hjacker

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

Le malware AdKoob est un virus cheval de Troie et pirates de l'air hybride qui a été récemment découvert dans une campagne d'attaque mondiale. Il est distribué en utilisant différentes méthodes et comporte de nombreux modules qui sont exécutés après l'infection. Notre article donne un aperçu détaillé du processus d'infection et un guide de suppression complète sur la suppression des logiciels malveillants de AdKoob et restaurer les ordinateurs des victimes.

Menace Résumé

NomAdKoob
TypePirate de navigateur, Troyen
brève descriptionLe logiciel malveillant de AdKoop dispose d'une longue liste de modules qui sont configurés pour voler des données d'utilisateur et de modifier les paramètres du système sensibles.
SymptômesLes victimes peuvent ne présentent aucun symptôme apparent d'infection.
Méthode de distributionInstallations Freeware, Forfaits groupés, Scripts et autres.
Detection Tool Voir si votre système a été affecté par AdKoob

Télécharger

Malware Removal Tool

Expérience utilisateurRejoignez notre Forum pour discuter AdKoob.

AdKoob Malware - Méthodes de distribution

La recherche sur les logiciels malveillants de AdKoob a commencé quand des experts de sécurité détectés un comportement suspect d'un fichier binaire légitime de Windows (svchost.exe). Au cours de l'enquête, les experts ont pu identifier une nouvelle menace pour résultat la découverte de AdKoob. Cela montre clairement qu'il existe une méthode de distribution de pointe utilisée pour diffuser les charges utiles initiales menant à l'infection. Il y a plusieurs scénarios possibles comment cela peut être réalisé.

La première méthode est la coordination des campagnes de spam qui utilisent diverses techniques phishing. Un message typique comprend des éléments de conception provenant de célèbres entreprises ou services Internet tentent de contraindre la victime utilise en interaction avec l'élément malicous. Le fichier de charge utile de logiciels malveillants AdKoob peut être soit connecté ou lié dans le contenu du corps.

L'autre stratégie est de créer faux sites de téléchargement qui sont utilisés pour héberger les instances malveillants. Habituellement, les fichiers de virus qui contiennent viennent le malware AdKoob sous la forme de charges utiles infectées. Deux types principaux sont les suivants:

  • Documents infectés -Les pirates peuvent regrouper la charge utile AdKoob dans des scripts qui sont incorporés dans des documents: riches documents texte, feuilles de calcul ou des présentations. Quand ils sont ouverts par les victimes d'une invite de notification apparaît demandant aux utilisateurs d'activer les macros. Si cela est fait la séquence d'infection est lancée.
  • Programmes malveillants d'installation de logiciels - En utilisant une méthode similaire, les criminels peuvent télécharger les fichiers d'installation légitimes de logiciels populaires. Ceci est un logiciel qui est fréquemment utilisé par les utilisateurs: des applications de productivité, suites de créativité ou utilitaires système. Les installateurs résultants sont ensuite téléchargés sur les portails de téléchargement faux ou liés dans les messages électroniques.

De même, les criminels derrière les logiciels malveillants de AdKoob peuvent intégrer divers scripts malveillants pour rediriger les utilisateurs vers les fichiers malveillants. Il existe de nombreux exemples: scripts, redirections, hyperliens in-line, des bannières publicitaires ou fenêtres pop-up.

campagnes avancées peuvent profiter de les pirates de navigateur - ils représentent des extensions malicieuses effectuées pour les navigateurs web les plus populaires. Les pirates utilisent les informations d'identification de développeur faux et commentaires des utilisateurs ainsi qu'une description élaborée de l'élément. Cette isused de contraindre les victimes à installer. Les endroits les plus susceptibles de trouver ces morceaux de logiciels malveillants sont les portails faux ou télécharger les dépôts de plug-ins officiels. Une fois installé ces extensions malicieuses suivent un modèle de comportement commun - D'abord, ils vont modifier les paramètres par défaut (page d'accueil, moteur de recherche ou la nouvelle page des onglets). Il est suivi par l'infection par le virus et toute autre action de logiciels malveillants configurées par les pirates.

AdKoob Malware - Description détaillée

Avertissement! Le malware AdKoob est considéré comme un cheval de Troie / Hijacker menace hybride.

L'analyse de la sécurité des logiciels malveillants AdKoob montre que la séquence d'attaque suit un modèle de comportement en plusieurs étapes. La charge utile est constituée d'un packer UPX open-source ou un injecteur personnalisé. L'étape suivante consiste à injecter le code malveillant dans le processus d'hôte de service.

À la suite de l'infection réussie, le malware AdKoob présentera un faux message d'erreur dans un cadre d'application “Impossible de localiser des composants” avec le contenu suivant:

Le fichier de configuration est manquant. Re-installation Easy Backup peut résoudre ce problème.

Cela montre que l'échantillon capturé peut être distribué par l'intermédiaire d'un programme d'installation de logiciels malveillants pour un logiciel de sauvegarde. L'analyse montre que le principal moteur malveillant effectue un contrôle de sécurité à la recherche d'une chaîne spécifique dans le dossier% AppData% dossier de service. Ceci est lié à la configuration du virus pour exécuter une seule fois.

Le moteur ha été trouvé pour exécuter une Module de protection furtif qui protège les logiciels malveillants AdKoob de la découverte. Il va scanner le système pour détecter la présence de programmes anti-virus, environnements de bac à sable, machines virtuelles et d'autres logiciels qui peuvent interférer avec l'exécution correcte. Les moteurs en temps réel associés peuvent être désactivés et les programmes complètement retirés.

Une fois cette opération terminée, le moteur de virus procédera à la première étape du processus malveillant réel. Il va commencer à analyser le Registre Windows et pirater données sensibles à propos de l'hôte et les utilisateurs. Il existe deux principaux groupes de données qui sont habituellement classées:

  • Données personnelles - Il est composé d'informations qui peuvent révéler des détails sur l'utilisateur et d'exposer leur identité. Cela comprend des ensembles de données telles que leur vrai nom, intérêts, numéro de téléphone, emplacement et les informations d'identification de compte stockées.
  • Mesures de la campagne - Cet ensemble de données comprend des informations utiles pour optimiser les attaques. Il est généralement composé de rapports qui donnent des détails sur les composants matériels installés et certaines valeurs du système d'exploitation sur les machines compromises.

Selon les utilisations des navigateurs Web installés et ciblés différentes techniques d'infiltration. Pour les anciennes versions de Mozilla Firefox et Google Chrome le moteur malveillant tente une requête SQL sur les bases de données intégrées. Les nouvelles versions de Mozilla Firefox utilise une autre méthode - ils stockent les informations d'identification de compte dans un fichier JSON. Le malware AdKoob contient du code qui peut spécifiquement interroger et extraire ces informations. Internet Explorer navigateurs stockent des valeurs de la Registre de Windows. Il peut également utiliser des informations d'identification spécifiques pour exfiltrer les données sensibles.

Ce navigateur comportement de pirate de l'air est que la première partie du modèle de comportement du malware. Ensuite, le virus continuera avec Module cheval de Troie. Il détermine l'adresse IP publique de l'hôte infecté en faisant une demande à un service Internet. Une connexion sécurisée est effectuée à un des serveurs de commande et de contrôle à commande Hacker-. Cette infection rapporte l', le flux décrypté contient les valeurs suivantes:

  • Unique Machine Identifier
  • Système d'exploitation Version
  • IP publique
  • fuseau horaire local de la machine de la victime
  • Browser Identifiant Chaîne
  • Agent utilisateur du navigateur
  • Base64 Pouvoirs
  • Bot Identifiant

AdKoob Malware - Opérations de Troie

Une fois que le moteur de Troie a commencé il recherche actif sessions Facebook. Il établit une connexion provenant des profils de la victime. Il existe deux méthodes principales utilisées pour exécuter cette opération:

  1. Les cookies d'authentification stockées - Ceci est réalisé lorsque le malware AdKoob a été en mesure de trouver les biscuits par une infiltration de récolte de données.
  2. Le vol d'informations d'identification du navigateur - Le malware AdKoob essaie de se connecter aux services si elle a déjà acquis les informations d'identification Facebook.

Il semble qu'il existe plusieurs types d'informations qui sont récupérés par le logiciel malveillant:

  • Facebook local - C'est le paramètre qui est utilisé pour définir la langue sélectionnée et la région de l'utilisateur.
  • Facebook ID utilisateur - Une chaîne qui est utilisée pour connecter les utilisateurs de Facebook au service social.
  • Profil Facebook Nom d'utilisateur - Les noms d'utilisateurs choisis par les utilisateurs.
  • informations de l'utilisateur - Cela inclut tous les ensembles de données qui sont affichées par les utilisateurs et sont affichés om leurs profils: leur vrai nom, emplacement, anniversaire, coordonnées et etc..
  • Facebook Pages - Cela comprend une liste des pages Facebook ont ​​été créés par l'utilisateur.

Le malware AdKoob se poursuit ensuite plus loin en interaction avec une interface qui fait une série de demandes liées aux campagnes de publicité payées. Lorsqu'ils sont utilisés par les entreprises du AdKoob peut être utilisé pour fournir personnalisé, ciblées ou des campagnes publicitaires de masse sur les hôtes infectés. Le panneau d'administration permet aux opérateurs de coordonner les annonces ciblées. Les options de menu présente différentes options et paramètres spécifiques qui peuvent être basculés.

Le moteur sous-jacent qui est responsable de ces actions utilise une demande à deux sens et la méthode réponse. Les hôtes infectés rapports d'informations sur les pages d'annonces accessibles, tandis que l'instance de serveur donne des instructions spécifiques sur les pages choisies. Cela conduit à la construction de un numéro de compte spécifique qu'en conséquence crée une requête à l'API Graph Facebook - une interface API qui est utilisée pour interroger les données à partir d'un compte Facebook. Les résultats de la requête dans les données sur les campagnes publicitaires - nom, dépensé de l'argent et la limite budgétaire.

Ce fait permet aux chercheurs de sécurité, la notion que opérateurs AdKoop ciblent les utilisateurs professionnels. Cela vient de la prémisse que les utilisateurs réguliers à domicile ne sont pas susceptibles d'utiliser des campagnes de publicité Facebook. Les informations récoltées est exfiltré et envoyé au C&serveurs de C.

Après l'exécution réussie de tous les composants du malware AdKoob enlèvera toute trace de lui-même et laisser un fichier marqueur spécifique qui assure que le virus est exécuté pas deux fois.

avatar

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages - Site Internet

Suivez-moi:
GazouillementGoogle Plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...