Il malware AdKoob è un virus ibrido Trojan e dirottatore che è stato recentemente scoperto in una campagna di attacco globale. È distribuito utilizzando diversi metodi e presenta numerosi moduli che vengono eseguiti l'infezione. Il nostro articolo fornisce una panoramica dettagliata del processo di infezione e una guida rimozione completa su come cancellare il malware AdKoob e ripristinare i computer vittima.
Sommario minaccia
Nome | AdKoob |
Tipo | Dirottatore del browser, Trojan |
breve descrizione | Il malware AdKoop offre un'ampia lista di moduli che sono configurati per rubare dati utente e modificare le impostazioni di sistema sensibili. |
Sintomi | Le vittime non possono verificarsi alcun sintomo apparente di infezione. |
Metodo di distribuzione | Installazioni freeware, pacchetti in bundle, Gli script e gli altri. |
Detection Tool |
Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Esperienza utente | Iscriviti alla nostra Forum per discutere AdKoob. |
AdKoob Malware - metodi di distribuzione
La ricerca di malware AdKoob è iniziato quando gli esperti di sicurezza rilevati comportamento sospetto di un file binario di Windows legittimo (svchost.exe). Durante le indagini gli esperti sono stati in grado di identificare una nuova minaccia conseguente scoperta di AdKoob. Ciò dimostra chiaramente che esiste un metodo di consegna avanzato utilizzato per diffondere i carichi iniziali conducono alla infezione. Ci sono diversi possibili scenari come questo può essere raggiunto.
Il primo metodo è il coordinamento di campagne di spam e-mail che utilizzano varie tecniche di phishing. Un messaggio tipico include elementi di design tratti da famose aziende o servizi Internet che tentano di costringere la vittima utilizza a interagire con l'elemento malicous. Il file di payload AdKoob il malware può essere attaccato o collegato nei contenuti del corpo.
L'altra strategia è quella di creare falsi siti di download che vengono utilizzati per ospitare le istanze maligni. Di solito i file dei virus che contengono il malware AdKoob sono sotto forma di payload infetti. Due tipi principali sono i seguenti:
- I documenti infetti -Gli hacker possono impacchettare il payload AdKoob in script che sono incorporati nei documenti: documenti di testo ricco, fogli di calcolo o presentazioni. Quando sono aperti dalle vittime verrà visualizzato un messaggio di notifica che chiede agli utenti di attivare le macro. Se questo è fatto verrà avviata la sequenza di infezione.
- Malware Software Installatori - Utilizzando un metodo simile i criminali possibile scaricare i file di installazione del software legittimi popolare. Questo è un software che viene spesso utilizzato dagli utenti: applicazioni per la produttività, suite creatività o utilità di sistema. I programmi di installazione risultanti vengono poi caricati ai falsi portali di download o collegate nei messaggi e-mail.
Allo stesso modo i criminali dietro il malware AdKoob possono incorporare varie script dannosi per reindirizzare gli utenti ai file dannosi. Ci sono molti esempi: script, reindirizzamenti, collegamenti in-linea, banner o pop-up.
campagne avanzati possono trarre vantaggio browser hijacker - essi rappresentano estensioni maligni realizzati per i browser più diffusi. Gli hacker utilizzano credenziali di falso sviluppatori e degli utenti insieme ad una descrizione elaborata della voce. Questo isused di costringere le vittime a installarlo. I luoghi più probabilità di trovare questi pezzi di malware sono i falsi portali di download o repository ufficiali di plugin. Una volta installato queste estensioni dannosi seguono uno schema comportamento comune - prima saranno modificare le impostazioni predefinite (home page, motore di ricerca o la nuova pagina linguette). Questa è seguita dalla infezione da virus e altre azioni del malware configurate dagli hacker.
AdKoob Malware - Descrizione dettagliata
Attenzione! Il malware AdKoob è considerato un Trojan / dirottatore minaccia ibrida.
L'analisi di sicurezza del malware AdKoob mostra che sequenza di attacco segue un modello di comportamento multistadio. Il carico utile è costituito da un open-source UPX packer o un iniettore personalizzato. Il passo successivo è quello di iniettare il codice malware nel processo host servizio.
Dopo l'infezione con successo il malware AdKoob presenterà un falso messaggio di errore in una cornice dell'applicazione “Impossibile individuare un componente” con i seguenti contenuti:
Il file di configurazione manca. Re-installazione di Easy Backup potrebbe risolvere il problema.
Ciò dimostra che il campione catturato può essere distribuito tramite un installatore del software dannoso per un programma di backup. L'analisi mostra che il principale motore di dannoso esegue un controllo di sicurezza alla ricerca di una stringa specifica nella cartella% appdata% di servizio. Questo è legato alla configurazione del virus per eseguire una sola volta.
Il motore di ettari stati trovati per eseguire un modulo di protezione invisibile che protegge il malware AdKoob dalla scoperta. E 'una scansione del sistema per la presenza di programmi anti-virus, ambienti sandbox, macchine virtuali e altro software che può interferire con la corretta esecuzione. I motori in tempo reale associati possono essere disabilitati e programmi completamente rimosso.
Una volta che questo è completo il motore antivirus procederà con la prima fase del processo dannoso reale. Si inizierà a analizzare il Registro di Windows e dirottare dati sensibili su chi ospita e gli utenti. Ci sono due gruppi principali di dati che sono di solito classificati:
- Dati personali - Si compone di informazioni che possono rivelare dettagli circa l'utente ed esporre la loro identità. Questo include insiemi di dati come il loro vero nome, interessi, numero di telefono, posizione e credenziali di account memorizzati.
- Metriche campagna - Questo set di dati è costituito da informazioni che è utile per ottimizzare gli attacchi. Di solito è fatto di relazioni che forniscono dettagli sui componenti hardware installati e certi valori di sistema operativo sulle macchine compromesse.
A seconda utilizza il browser Web installati e mirate AdKoob diverse tecniche di infiltrazione. Per le versioni precedenti di Mozilla Firefox e Google Chrome il motore dannoso tenta una query SQL contro i database incorporati. Le versioni più recenti di Mozilla Firefox utilizza un altro metodo - possono archiviare le credenziali di account all'interno di un file JSON. Il malware AdKoob contiene il codice che possono specificatamente interrogare ed estrarre queste informazioni. Internet Explorer browser memorizzano alcuni valori dalla Registro di Windows. Si può anche utilizzare credenziali specifiche per far trapelare i dati sensibili.
Questo comportamento dirottatore del browser è solo la prima parte del modello di comportamento del minacce. A seguito di questo il virus continuerà con un modulo Trojan. Esso determina l'indirizzo IP pubblico dell'host infetto, facendo una richiesta a un servizio di internet. La connessione protetta viene fatto un server di comando e controllo di hacker controllato. Questo riporta l'infezione, il flusso decriptato contiene i seguenti valori:
- Identifier macchina unica
- Versione del sistema operativo
- IP pubblico
- fuso orario locale del computer della vittima
- Browser identificatore di stringa
- Browser User Agent
- Base64 Credenziali
- Bot Identifier
AdKoob Malware - Operazioni di Troia
Una volta che il motore è avviato Trojan cerca i attiva sessioni di Facebook. Si stabilisce una connessione proveniente dai profili della vittima. Ci sono due metodi principali che vengono utilizzati per eseguire questa operazione:
- I cookie di autenticazione memorizzati - Questo si ottiene quando il malware AdKoob è stato in grado di trovare i biscotti attraverso un'infiltrazione di dati raccolta.
- Credenziali del browser furto - Il malware AdKoob tenta di accedere ai servizi, se ha già ottenuto le credenziali per Facebook.
Sembra che ci sono diversi tipi specifici di informazioni che si vedono dal malware:
- Facebook Locale - Questo è il parametro che viene utilizzato per definire la lingua impostata dell'utente e regione.
- Facebook User ID - Una stringa che viene utilizzato per collegare gli utenti di Facebook al servizio sociale.
- Facebook Profile Nome utente - I nomi utente scelti dagli utenti.
- informazioni utente - Questo include tutti i set di dati che vengono inviati dagli utenti e visualizzati om loro profili: il loro vero nome, posizione, compleanno, informazioni di contatto ed ecc.
- Pagine di Facebook - Questo include un elenco delle pagine di Facebook sono stati creati dall'utente.
Il malware AdKoob prosegue poi ulteriormente interagendo con un'interfaccia che rende una serie di richieste relative a campagne pubblicitarie a pagamento. Quando viene utilizzato dalle società AdKoob può essere usati per fornire personalizzato, mirata o campagne pubblicitarie di massa sugli host infetti. Il pannello amministrativo consente agli operatori di coordinare annunci mirati. Le opzioni del menu presenti varie opzioni e parametri specifici che possono essere attivati.
Il motore sottostante che è responsabile di queste azioni utilizza un metodo di richiesta e risposta bidirezionale. I padroni di casa infettati riporta informazioni sulle pagine pubblicitarie accessibili, mentre l'istanza del server fornisce istruzioni specifiche sulle pagine scelte. Questo porta alla costruzione di uno specifico ID account che, a seguito crea una query per l'API di Facebook Graph - un'interfaccia API che viene utilizzato per eseguire query sui dati da un account Facebook. I risultati della query nei dati sulle campagne pubblicitarie - nome, soldi spesi e limite di budget.
Questo fatto dà i ricercatori di sicurezza che la nozione operatori AdKoop stanno prendendo di mira gli utenti business. Questo deriva dalla premessa che gli utenti domestici regolari non sono propensi a usare Facebook campagne pubblicitarie. Le informazioni raccolte sono fatti riparare e inviato al C&Server C.
Dopo la corretta esecuzione di tutti i componenti del malware AdKoob rimuoverà tutte le tracce di sé e lasciare un file marcatore specifico che assicura che il virus non viene eseguito due volte.
Preparazione prima di rimuovere AdKoob.
Prima di avviare il processo di rimozione effettiva, si consiglia di effettuare le seguenti operazioni di preparazione.
- Assicurarsi di avere le istruzioni sempre aperta e di fronte ai vostri occhi.
- Fare un backup di tutti i file, anche se potrebbero essere danneggiati. È necessario eseguire il backup dei dati con una soluzione di backup su cloud e assicurare i vostri file contro qualsiasi tipo di perdita, anche dalle più gravi minacce.
- Siate pazienti in quanto ciò potrebbe richiedere un po '.
- Cerca malware
- Correggi i registri
- Rimuovere i file dei virus
Passo 1: Cerca AdKoob con lo strumento SpyHunter Anti-Malware
Passo 2: Pulire eventuali registri, creato da AdKoob sul tuo computer.
I registri di solito mirati di macchine Windows sono i seguenti:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
È possibile accedere aprendo l'editor del registro di Windows e l'eliminazione di tutti i valori, creato da AdKoob lì. Questo può accadere seguendo la procedura sotto:
Passo 3: Find virus files created by AdKoob on your PC.
1.Per Windows 8, 8.1 e 10.
Per i sistemi operativi Windows più recenti
1: Sulla vostra stampa della tastiera + R e scrivi explorer.exe nel Correre casella di testo e quindi fare clic sul Ok pulsante.
2: Clicca su PC dalla barra di accesso rapido. Questo è di solito una icona con un monitor e il suo nome è o "Il mio computer", "Il mio PC" o "Questo PC" o quello che hanno chiamato.
3: Passa alla casella di ricerca in alto a destra sullo schermo del tuo PC e digita "FileExtension:" e dopo di che digitare l'estensione del file. Se siete alla ricerca di eseguibili dannosi, Un esempio può essere "FileExtension:exe". Dopo aver fatto che, lasciare uno spazio e digitare il nome del file si ritiene che il malware si è creato. Ecco come si può essere visualizzato se è stato trovato il file:
NB. Consigliamo di attendere che la barra verde di caricamento nel box di navigazione si riempia nel caso il PC stia cercando il file e non lo abbia ancora trovato.
2.Per Windows XP, Vista, e 7.
Per i sistemi operativi Windows meno recenti
Nei vecchi sistemi operativi Windows l'approccio convenzionale dovrebbe essere quello efficace:
1: Clicca sul Menu iniziale icona (di solito sulla vostra in basso a sinistra) e quindi scegliere il Ricerca preferenza.
2: Una volta visualizzata la finestra di ricerca, scegliere Altre opzioni avanzate da l'assistente di ricerca. Un altro modo è cliccando su Tutti i file e le cartelle.
3: Dopo di che tipo il nome del file che si sta cercando e fare clic sul pulsante di ricerca. Questo potrebbe richiedere un certo tempo dopo il quale verranno visualizzati i risultati. Se avete trovato il file dannoso, è possibile copiare o aprire la sua posizione da pulsante destro del mouse su di essa.
Ora si dovrebbe essere in grado di scoprire qualsiasi file in Windows, purché sia sul disco rigido e non è nascosto via software speciale.
AdKoob FAQ
What Does AdKoob Trojan Do?
The AdKoob Trojan è un programma informatico dannoso progettato per disturbare, danno, o ottenere un accesso non autorizzato ad un sistema informatico. Può essere utilizzato per rubare dati sensibili, ottenere il controllo di un sistema, o avviare altre attività dannose.
I trojan possono rubare le password?
Sì, Trojan, like AdKoob, può rubare le password. Questi programmi dannosi sono progettati per ottenere l'accesso al computer di un utente, spiare le vittime e rubare informazioni sensibili come dati bancari e password.
Can AdKoob Trojan Hide Itself?
Sì, può. Un Trojan può utilizzare varie tecniche per mascherarsi, compresi i rootkit, crittografia, e offuscazione, per nascondersi dagli scanner di sicurezza ed eludere il rilevamento.
È possibile rimuovere un Trojan tramite il ripristino delle impostazioni di fabbrica?
Sì, un Trojan può essere rimosso ripristinando le impostazioni di fabbrica del dispositivo. Questo perché ripristinerà il dispositivo al suo stato originale, eliminando qualsiasi software dannoso che potrebbe essere stato installato. Tieni presente che esistono trojan più sofisticati che lasciano backdoor e infettano nuovamente anche dopo un ripristino delle impostazioni di fabbrica.
Can AdKoob Trojan Infect WiFi?
Sì, è possibile che un trojan infetti le reti WiFi. Quando un utente si connette alla rete infetta, il Trojan può diffondersi ad altri dispositivi connessi e può accedere a informazioni sensibili sulla rete.
I trojan possono essere eliminati?
Sì, I trojan possono essere eliminati. Ciò viene in genere eseguito eseguendo un potente programma antivirus o antimalware progettato per rilevare e rimuovere file dannosi. In alcuni casi, potrebbe anche essere necessaria la cancellazione manuale del Trojan.
I trojan possono rubare i file?
Sì, I trojan possono rubare file se sono installati su un computer. Questo viene fatto consentendo al autore di malware o utente per ottenere l'accesso al computer e quindi rubare i file memorizzati su di esso.
Quale anti-malware può rimuovere i trojan?
Programmi anti-malware come SpyHunter sono in grado di scansionare e rimuovere i trojan dal tuo computer. È importante mantenere aggiornato il tuo anti-malware e scansionare regolarmente il tuo sistema alla ricerca di software dannoso.
I trojan possono infettare USB?
Sì, I trojan possono infettare USB dispositivi. Trojan USB in genere si diffondono tramite file dannosi scaricati da Internet o condivisi tramite e-mail, consentendo all'hacker di accedere ai dati riservati di un utente.
About the AdKoob Research
I contenuti che pubblichiamo su SensorsTechForum.com, this AdKoob how-to removal guide included, è il risultato di ricerche approfondite, il duro lavoro e la dedizione del nostro team per aiutarti a rimuovere il problema specifico del trojan.
How did we conduct the research on AdKoob?
Si prega di notare che la nostra ricerca si basa su un'indagine indipendente. Siamo in contatto con ricercatori di sicurezza indipendenti, grazie al quale riceviamo aggiornamenti quotidiani sulle ultime definizioni di malware, compresi i vari tipi di trojan (porta sul retro, downloader, Infostealer, riscatto, eccetera)
Inoltre, the research behind the AdKoob threat is backed with VirusTotal.
Per comprendere meglio la minaccia rappresentata dai trojan, si prega di fare riferimento ai seguenti articoli che forniscono dettagli informati.