Rimuovere l'Adkoob Malware - un Facebook Rubare Trojan ibrida / Hjacker Virus
MINACCIA RIMOZIONE

Rimuovere l'AdKoob Malware - un Facebook Rubare Trojan ibrida / Hjacker Virus

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

Il malware AdKoob è un virus ibrido Trojan e dirottatore che è stato recentemente scoperto in una campagna di attacco globale. È distribuito utilizzando diversi metodi e presenta numerosi moduli che vengono eseguiti l'infezione. Il nostro articolo fornisce una panoramica dettagliata del processo di infezione e una guida rimozione completa su come cancellare il malware AdKoob e ripristinare i computer vittima.

Sommario minaccia

NomeAdKoob
TipoDirottatore del browser, Trojan
breve descrizioneIl malware AdKoop offre un'ampia lista di moduli che sono configurati per rubare dati utente e modificare le impostazioni di sistema sensibili.
SintomiLe vittime non possono verificarsi alcun sintomo apparente di infezione.
Metodo di distribuzioneInstallazioni freeware, pacchetti in bundle, Gli script e gli altri.
Detection Tool Vedere se il vostro sistema è stato interessato dalla AdKoob

Scarica

Strumento di rimozione malware

Esperienza utenteIscriviti alla nostra Forum per discutere AdKoob.

AdKoob Malware - metodi di distribuzione

La ricerca di malware AdKoob è iniziato quando gli esperti di sicurezza rilevati comportamento sospetto di un file binario di Windows legittimo (svchost.exe). Durante le indagini gli esperti sono stati in grado di identificare una nuova minaccia conseguente scoperta di AdKoob. Ciò dimostra chiaramente che esiste un metodo di consegna avanzato utilizzato per diffondere i carichi iniziali conducono alla infezione. Ci sono diversi possibili scenari come questo può essere raggiunto.

Il primo metodo è il coordinamento di campagne di spam e-mail che utilizzano varie tecniche di phishing. Un messaggio tipico include elementi di design tratti da famose aziende o servizi Internet che tentano di costringere la vittima utilizza a interagire con l'elemento malicous. Il file di payload AdKoob il malware può essere attaccato o collegato nei contenuti del corpo.

L'altra strategia è quella di creare falsi siti di download che vengono utilizzati per ospitare le istanze maligni. Di solito i file dei virus che contengono il malware AdKoob sono sotto forma di payload infetti. Due tipi principali sono i seguenti:

  • I documenti infetti -Gli hacker possono impacchettare il payload AdKoob in script che sono incorporati nei documenti: documenti di testo ricco, fogli di calcolo o presentazioni. Quando sono aperti dalle vittime verrà visualizzato un messaggio di notifica che chiede agli utenti di attivare le macro. Se questo è fatto verrà avviata la sequenza di infezione.
  • Malware Software Installatori - Utilizzando un metodo simile i criminali possibile scaricare i file di installazione del software legittimi popolare. Questo è un software che viene spesso utilizzato dagli utenti: applicazioni per la produttività, suite creatività o utilità di sistema. I programmi di installazione risultanti vengono poi caricati ai falsi portali di download o collegate nei messaggi e-mail.

Allo stesso modo i criminali dietro il malware AdKoob possono incorporare varie script dannosi per reindirizzare gli utenti ai file dannosi. Ci sono molti esempi: script, reindirizzamenti, collegamenti in-linea, banner o pop-up.

campagne avanzati possono trarre vantaggio browser hijacker - essi rappresentano estensioni maligni realizzati per i browser più diffusi. Gli hacker utilizzano credenziali di falso sviluppatori e degli utenti insieme ad una descrizione elaborata della voce. Questo isused di costringere le vittime a installarlo. I luoghi più probabilità di trovare questi pezzi di malware sono i falsi portali di download o repository ufficiali di plugin. Una volta installato queste estensioni dannosi seguono uno schema comportamento comune - prima saranno modificare le impostazioni predefinite (home page, motore di ricerca o la nuova pagina linguette). Questa è seguita dalla infezione da virus e altre azioni del malware configurate dagli hacker.

AdKoob Malware - Descrizione dettagliata

Attenzione! Il malware AdKoob è considerato un Trojan / dirottatore minaccia ibrida.

L'analisi di sicurezza del malware AdKoob mostra che sequenza di attacco segue un modello di comportamento multistadio. Il carico utile è costituito da un open-source UPX packer o un iniettore personalizzato. Il passo successivo è quello di iniettare il codice malware nel processo host servizio.

Dopo l'infezione con successo il malware AdKoob presenterà un falso messaggio di errore in una cornice dell'applicazione “Impossibile individuare un componente” con i seguenti contenuti:

Il file di configurazione manca. Re-installazione di Easy Backup potrebbe risolvere il problema.

Ciò dimostra che il campione catturato può essere distribuito tramite un installatore del software dannoso per un programma di backup. L'analisi mostra che il principale motore di dannoso esegue un controllo di sicurezza alla ricerca di una stringa specifica nella cartella% appdata% di servizio. Questo è legato alla configurazione del virus per eseguire una sola volta.

Il motore di ettari stati trovati per eseguire un modulo di protezione invisibile che protegge il malware AdKoob dalla scoperta. E 'una scansione del sistema per la presenza di programmi anti-virus, ambienti sandbox, macchine virtuali e altro software che può interferire con la corretta esecuzione. I motori in tempo reale associati possono essere disabilitati e programmi completamente rimosso.

Una volta che questo è completo il motore antivirus procederà con la prima fase del processo dannoso reale. Si inizierà a analizzare il Registro di Windows e dirottare dati sensibili su chi ospita e gli utenti. Ci sono due gruppi principali di dati che sono di solito classificati:

  • Dati personali - Si compone di informazioni che possono rivelare dettagli circa l'utente ed esporre la loro identità. Questo include insiemi di dati come il loro vero nome, interessi, numero di telefono, posizione e credenziali di account memorizzati.
  • Metriche campagna - Questo set di dati è costituito da informazioni che è utile per ottimizzare gli attacchi. Di solito è fatto di relazioni che forniscono dettagli sui componenti hardware installati e certi valori di sistema operativo sulle macchine compromesse.

A seconda utilizza il browser Web installati e mirate AdKoob diverse tecniche di infiltrazione. Per le versioni precedenti di Mozilla Firefox e Google Chrome il motore dannoso tenta una query SQL contro i database incorporati. Le versioni più recenti di Mozilla Firefox utilizza un altro metodo - possono archiviare le credenziali di account all'interno di un file JSON. Il malware AdKoob contiene il codice che possono specificatamente interrogare ed estrarre queste informazioni. Internet Explorer browser memorizzano alcuni valori dalla Registro di Windows. Si può anche utilizzare credenziali specifiche per far trapelare i dati sensibili.

Questo comportamento dirottatore del browser è solo la prima parte del modello di comportamento del minacce. A seguito di questo il virus continuerà con un modulo Trojan. Esso determina l'indirizzo IP pubblico dell'host infetto, facendo una richiesta a un servizio di internet. La connessione protetta viene fatto un server di comando e controllo di hacker controllato. Questo riporta l'infezione, il flusso decriptato contiene i seguenti valori:

  • Identifier macchina unica
  • Versione del sistema operativo
  • IP pubblico
  • fuso orario locale del computer della vittima
  • Browser identificatore di stringa
  • Browser User Agent
  • Base64 Credenziali
  • Bot Identifier

AdKoob Malware - Operazioni di Troia

Una volta che il motore è avviato Trojan cerca i attiva sessioni di Facebook. Si stabilisce una connessione proveniente dai profili della vittima. Ci sono due metodi principali che vengono utilizzati per eseguire questa operazione:

  1. I cookie di autenticazione memorizzati - Questo si ottiene quando il malware AdKoob è stato in grado di trovare i biscotti attraverso un'infiltrazione di dati raccolta.
  2. Credenziali del browser furto - Il malware AdKoob tenta di accedere ai servizi, se ha già ottenuto le credenziali per Facebook.

Sembra che ci sono diversi tipi specifici di informazioni che si vedono dal malware:

  • Facebook Locale - Questo è il parametro che viene utilizzato per definire la lingua impostata dell'utente e regione.
  • Facebook User ID - Una stringa che viene utilizzato per collegare gli utenti di Facebook al servizio sociale.
  • Facebook Profile Nome utente - I nomi utente scelti dagli utenti.
  • informazioni utente - Questo include tutti i set di dati che vengono inviati dagli utenti e visualizzati om loro profili: il loro vero nome, posizione, compleanno, informazioni di contatto ed ecc.
  • Pagine di Facebook - Questo include un elenco delle pagine di Facebook sono stati creati dall'utente.

Il malware AdKoob prosegue poi ulteriormente interagendo con un'interfaccia che rende una serie di richieste relative a campagne pubblicitarie a pagamento. Quando viene utilizzato dalle società AdKoob può essere usati per fornire personalizzato, mirata o campagne pubblicitarie di massa sugli host infetti. Il pannello amministrativo consente agli operatori di coordinare annunci mirati. Le opzioni del menu presenti varie opzioni e parametri specifici che possono essere attivati.

Il motore sottostante che è responsabile di queste azioni utilizza un metodo di richiesta e risposta bidirezionale. I padroni di casa infettati riporta informazioni sulle pagine pubblicitarie accessibili, mentre l'istanza del server fornisce istruzioni specifiche sulle pagine scelte. Questo porta alla costruzione di uno specifico ID account che, a seguito crea una query per l'API di Facebook Graph - un'interfaccia API che viene utilizzato per eseguire query sui dati da un account Facebook. I risultati della query nei dati sulle campagne pubblicitarie - nome, soldi spesi e limite di budget.

Questo fatto dà i ricercatori di sicurezza che la nozione operatori AdKoop stanno prendendo di mira gli utenti business. Questo deriva dalla premessa che gli utenti domestici regolari non sono propensi a usare Facebook campagne pubblicitarie. Le informazioni raccolte sono fatti riparare e inviato al C&Server C.

Dopo la corretta esecuzione di tutti i componenti del malware AdKoob rimuoverà tutte le tracce di sé e lasciare un file marcatore specifico che assicura che il virus non viene eseguito due volte.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi - Sito web

Seguimi:
CinguettioGoogle Plus

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...