Casa > Cyber ​​Notizie > Il nuovo Scranos Rookit può danneggiare il tuo sistema in più modi
CYBER NEWS

Nuovo Scranos Rookit possono danneggiare il sistema in modo più

Scranos è il nome di un nuovo spyware rootkit-enabled, che nonostante la sua raffinatezza corrente sembra essere “lavori in corso". ricercatori Bitdefender hanno recentemente scoperto che i gestori di Scranos sono continuamente testando nuovi componenti sugli utenti già infetti e facendo regolarmente miglioramento minore a vecchi componenti.

Sommario minaccia

Nome Scranos
Tipo Spyware, Rootkit, Adware
breve descrizione Scranos è uno spyware sofisticato dotato di un driver rootkit in grado di eseguire una serie di attività dannose. Vedi articolo per i dettagli.
Sintomi A seconda delle istruzioni ricevute, il malware in grado di rubare le credenziali di accesso per i vari servizi, storie di navigazione estratto, iniettare JavaScript, etc. Si può anche cadere altri payload dannosi.
Metodo di distribuzione trojanized Apps, Cracked Software
Detection Tool Verifica se il tuo sistema è stato interessato da malware

Scarica

Strumento di rimozione malware

Esperienza utente Iscriviti alla nostra Forum per discutere Scranos.
Strumento di recupero dati Windows Data Recovery da Stellar JoeGo Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità.

Scranos Spyware in dettaglio

Secondo l'ultimo rapporto, lo spyware contiene diversi componenti che possono servire scopi diversi e può essere implementato in diversi scenari.

Alcuni dei componenti più importanti che vengono con Scranos avere le seguenti capacità:

– Estrarre i cookie e rubare le credenziali di accesso dai browser più diffusi tra cui Google Chrome, Cromo, Mozilla – Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser Yandex Browser.
– Ruba conti di pagamento degli utenti da Facebook, pagine web di Amazon e Airbnb.
– Invia richieste di amicizia su altri conti, dal account Facebook dell'utente.
– Inviare messaggi di phishing ad amici Facebook dell'utente infetto che contengono APK maligni utilizzati per infettare gli utenti Android pure.
– Rubare le credenziali di login per l'account dell'utente su Steam.
– Iniettare adware JavaScript in Internet Explorer.
– Installare estensioni Chrome / Opera che servono per iniettare adware JavaScript sul questi browser.
– Trapelare la cronologia di navigazione.
– In silenzio visualizzare annunci o video tenui di YouTube per utenti tramite Chrome. I ricercatori hanno scoperto alcuni contagocce che possono installare Chrome, se non è già presente sul computer della vittima.
– Iscriviti agli utenti di canali video di YouTube.
– Scaricare ed eseguire qualsiasi payload.

Come è Scranos Spyware Diffusione?

Non sorprende, il malware si diffonde tramite le applicazioni trojanized nel software sotto forma di cracking, o il software che propone come utile come lettori di e-book, lettori video, driver o anche prodotti anti-malware, i ricercatori hanno detto.

Al momento dell'esecuzione, Scranos installa anche un driver rootkit per nascondere il malware e renderlo persistente al sistema. Il passo successivo della catena di infezione è “chiamare casa” e la ricezione di comandi su ciò che gli altri componenti per scaricare e installare. Il rapporto dice che Scranos sta infettando gli utenti su scala globale, con l'India, Romania, Francia, L'Italia e l'Indonesia hanno infezioni prevalenti.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/anubisspy-android-capabilities/”] AnubisSpy Android Spyware con funzionalità sempre più allarmante.

È interessante notare che tutti i campioni Scranos identificati confermano che questa operazione è in una fase di consolidamento:

i campioni più antichi data identificati torna a novembre 2018, con un picco di massa nel mese di dicembre e gennaio. Tuttavia, a marzo 2019, i server di comando e controllo ha iniziato a spingere altri ceppi di malware - un indicatore chiaro che la rete è ora affiliato con terzi in sistemi di retribuzione-per installare.

Il malware è anche in grado di interagire con i siti web specifici per conto della vittima. Più specificamente, il malware viene promuovendo aggressivamente quattro video di YouTube su canali diversi.
Per quanto riguarda il driver del rootkit, si utilizza un meccanismo di persistenza efficace della stessa riscrittura allo spegnimento ma non nasconde sé. Il rootkit inietta un downloader in un processo legittimo, che quindi scarica uno o più carichi utili.

Si noti che il rootkit non è protetto contro la cancellazione se rilevato. Oltre il driver stesso, altri componenti possono essere trovati sul disco, come vengono cancellati dopo l'esecuzione. Tuttavia, essi possono essere scaricati di nuovo, se necessario, osserva il rapporto.

Per farla breve, gli utenti dovrebbero essere estremamente attenti con il loro comportamento online. Questo malware è ancora un altro promemoria di come attacchi sofisticati stanno diventando. Per esempio uno dei carichi utili della campagna Scranos sta manipolando altre pagine invece di YouTube, interagendo con gli annunci visualizzati all'interno di queste pagine:

Come rimuovere Scranos Spyware

Inutile dire, rootkit e spyware sono abbastanza furbo e quindi, difficili da rimuovere. Ci sono passi comunque, che può liberare il vostro sistema del malware e la sua componente rootkit:

1. Chiudere il browser(s).
2. Uccidere tutti i processi in esecuzione dal percorso temporaneo. Rimuovere i file che vengono rilevati come pericolosi.
3. Uccidere processo rundll32.exe.
4. Genera il nome del file rootkit come segue:
– Ottenere il SID dell'utente corrente.
– Calcola MD5 della stringa risultato di una).
– Prendi la prima 12 personaggi di B).
5. Eseguire un cmd o finestra PowerShell con diritti di amministratore e tipo: > Sc fermata sc delete sys e cancellare il file.
7. Rimuovere il driver DNS (sotto, MOIYZBWQSO dovrebbe essere sostituito con il vostro particolare nome del driver):
– Verificare se è installato il driver DNS: in% TEMP% dovrebbe essere un file con 10 lettere maiuscole casuali (ex: MOIYZBWQSO. sys). Nel Registro ci dovrebbe essere anche una chiave corrispondente al nome (ex: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MOIYZBWQSO)
– Eseguire un cmd o finestra PowerShell con diritti di amministratore e tipo:
– sc fermare MOIYZBWQSO
– sc delete MOIYZBWQSO –
– Eliminare il% TEMP file% MOIYZBWQSO.sys 8) Reb oot il PC per rimuovere il codice iniettato dal processo svchost.exe. 9. Rimuovere qualsiasi estensione sospetto dal vostro browser.
10. Cambiare tutte le password.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo