>> トロイの木馬 > Java:マルウェア生成 [Trj] トロイの木馬–CrossRATを検出して削除する方法
脅威の除去

Java:マルウェア生成 [Trj] トロイの木馬–CrossRATを検出して削除する方法

この記事は説明するために作成されました CrossRATトロイの木馬感染とは何ですか?コンピュータから完全に削除する方法.

新しい, 非常に危険なトロイの木馬が検出されました トロイの木馬:Java / Trupto Linuxに甚大な被害をもたらすことが報告されています, WindowsおよびMacOSコンピューター. トロイの木馬はRATです (リモートアクセス型トロイの木馬) タイプして吹き替え CrossRAT 研究者による. このウイルスはJavaScriptで記述されており、感染するとコンピュータ上で一連の危険な活動を実行する可能性があります。, ファイルの変更から, ファイルの書き込み, スクリーンショットを撮り、DLLを実行して、コンピューターを他のウイルスに感染させます. The CrossRATトロイの木馬 一連の研究者によって、検出率が非常に低い一連の方法を介して.jarファイルを介して被害者のコンピューターに侵入することが報告されています。. この記事を読んで、 CrossRATトロイの木馬 加えて、コンピュータからそれを削除する方法に加えて、さらなる感染からそれを保護する方法に関する方法.

脅威の概要

名前 CrossRAT
タイプ リモートアクセス型トロイの木馬
簡単な説明 ハッカーが離れた場所からコンピュータを制御できるようにするために、コンピュータに感染し、被害者のコンピュータに黙って留まることを目的としています.
症状 The CrossRATトロイの木馬 一般的に沈黙を保つように設計されています, しかし、新しいファイルがあなたのPC上に作成されるかもしれません、そして、感染したコンピュータは奇妙に振る舞うかもしれません.
配布方法 悪意のあるWebリンク経由, 感染した電子メールの添付ファイル、および偽のセットアップファイルとプログラム.
検出ツール システムがマルウェアの影響を受けているかどうかを確認する

ダウンロード

マルウェア除去ツール

ユーザー体験 フォーラムに参加する CrossRATについて話し合う.

CrossRATトロイの木馬–どのように感染するか

CrossRATトロイの木馬は、さまざまな方法でコンピュータに侵入する可能性があります, その主な容疑者は、感染の原因となる.jarファイルを自動的にダウンロードして実行するページへの悪意のあるWebリダイレクトを介したものです。. 悪意のあるファイルの1つのサンプル, CrossRATトロイの木馬に感染すると、次のような技術的パラメータが報告されています。 VirusTotal:

→ SHA-256 15af5bbf3c8d5e5db41fd7c3d722e8b247b40f2da747d5c334f7fd80b715a649
名前: hmar6.jar
サイズ:217.33 KB

ここでの悪いニュースは、安全なシステムがないことです。, LinuxOSでさえ. これは、経験豊富なマルウェア作成者がこのリモートアクセス型トロイの木馬の背後にいる可能性があることを示唆しています。.

あなたが接触したかもしれない主な方法 CrossRATトロイの木馬 Webページにアクセスしたことがある場合, これにより、ブラウザがWebページに自動的にリダイレクトされ、アクセスするだけで感染する可能性があります。.

このトロイの木馬の被害者になる可能性のある別の方法は、ファイルを開いた場合です。, あなたが合法であると信じて、それは含まれています CrossRAT感染 ファイルを開くことによって感染を引き起こすスクリプト. このようなファイルは、多くの場合、プログラムの偽のセットアップです。, 偽のキージェネレータ, トレントのウェブサイトからダウンロードした可能性のあるゲームクラックやその他のソフトウェア.

このトロイの木馬がコンピュータに感染した可能性のある最後の、しかし最も重要な方法は、電子メールの添付ファイルを開いた場合です。, 感染したMicrosoftOfficeドキュメントのように, 正当な請求書であると信じている, オンラインで購入するための領収書または他の形式の一見正当なファイル. このような電子メールは、eBayなどの企業から送信されたふりをすることがよくあります。, PayPal, DHLおよびその他の評判の良い名前.

CrossRATトロイの木馬 – 分析

リモートアクセス型トロイの木馬は新しい概念ではありません. でも, 世界で最も広く使用されている3つのオペレーティングシステムであるWindowsと互換性のあるRATを見ると, MacOSとLinux, それは間違いなくアラームの原因です. さらに, EFFは持っています 設立 トロイの木馬がDarkCaracalハッカーグループによって作成およびサポートされていること, これは、政府職員やジャーナリストをスパイするためにレバノンに基づいている可能性があります 20 世界中の国々.

CrossRATトロイの木馬には多くの機能があります, そのプライマリは:

  • 従来のアンチウイルスソフトウェア保護を回避する.
  • 感染したコンピューター上のファイルを操作するには.
  • 他のウイルスを含む可能性のあるDDLファイルを実行するには, お気に入り マイナーマルウェア また ランサムウェア.

によると テクニカルレポート 元NSAハッカーのPartrickWardleによる, コンピュータに感染したマルウェアの活動は非常に洗練されており、経験豊富な開発者がその背後にいます. このトロイの木馬がコンピュータシステムに侵入すると、, 次の手順を実行します:

1-感染したコンピューターをスキャンして、実行中のOSを確認します, その上にインストールされているセキュリティソフトウェア.
2-感染したPCをスキャンした情報を使用して、検出されない可能性が最も高いツールに感染させます。.
3-感染したマシンを完全に制御するための管理アクセスを想定しています.

CrossRATトロイの木馬は、さまざまなOSで実行されるさまざまな変更に基づいて、さまざまなコンピューターで識別できます。. これがそれを与える主な症状です:

WindowsPCの場合:

値の文字列が追加されたHKCUSoftware Microsoft Windows CurrentVersion Run , を含むデータ 「java」, 「-jar」「mediamgrs.jar」 コマンドが存在します.

MacOSコンピューターの場合:

Mediamgrs.jar, ドロップイン 〜/ライブラリ 起動エージェントがドロップインされます 〜/ Library / LaunchAgens, と呼ばれる mediamgrs.plist

Linuxコンピューターの場合:

.jarファイル mediamgrs.jar で作成されます /usr / var ディレクトリと "自動スタート" ファイルの種類が追加されます 〜/ .config / autostart / 名前を付けることができます mediamgrs.desktop

コンピューターにCrossRATがあることのヒントが表示された場合、および以下の「検出と削除」セクションで説明した検出のいずれかが表示された場合は、すぐにアクションを実行して、系統的に説明されている次のアクティビティを実行することをお勧めします。:

1. インターネットアクセスを停止します.
2. 安全なPCからオンラインアカウントのすべてのパスワードを変更する.
3. PCからフラッシュドライブ上のすべての重要なファイルを移動するか、他の方法を使用してそれらを転送します.
4. それらを行った後, 以下の「検出と削除」の段落の指示に従ってください.

CrossRATトロイの木馬–検出および削除する方法

CrossRATトロイの木馬は、ほとんどのウイルス対策エンジンによって次の名前で検出されます:

CrossRAT検出名

Ad-Aware
Trojan.Java.Agent.ALD

AegisLab
Backdoor.Java.Crossrat!c

AhnLab-V3
JAVA / Trupto

ALYac
Backdoor.Java.CrossRAT

Antiy-AVL
トロイの木馬/Win32.TGeneric

アルカビット
Trojan.Java.Agent.ALD

アバスト
Java:マルウェア生成 [Trj]

AVG
Java:マルウェア生成 [Trj]

Avira
JAVA / Agent.eipee

BitDefender
Trojan.Java.Agent.ALD

Bkav
W32.JavaNVA.Worm

CAT-QuickHeal
Trojan.JAVA.Agent.5191

サイレン
Java / Agent.BGG

DrWeb
Java.CrossRat.1

Emsisoft
Trojan.Java.Agent.ALD (B)

eScan
Trojan.Java.Agent.ALD

ESET-NOD32
Java / Trupto.A

F-Prot
Java / Agent.BGG

GData
Trojan.Java.Agent.ALD (2バツ)

イカルス
Backdoor.Java.CrossRat

カスペルスキー
Backdoor.Java.CrossRAT.a

MAX
マルウェア (aiスコア=97)

マカフィー
RDN / Generic.dx

McAfee-GW-Edition
Java / CrossRat

マイクロソフト
トロイの木馬:Java / Trupto.A

Qihoo-360
Trojan.Generic

ライジング
Trojan.CrossRAT!1.B001 (クラシック)

ソフォスAV
Java/エージェント-AYAW

Symantec
Trojan.Maljava

テンセント
Java.Backdoor.Crossrat.Ebqt

トレンドマイクロ
JAVA_CRAT.A

TrendMicro-HouseCall
JAVA_CRAT.A

ViRobot
JAVA.S.Agent.222543

ZoneAlarm
Backdoor.Java.CrossRAT.a

ソース: VirusTotal

このウイルスを取り除くために, 以下の手動または自動の削除手順に従う必要があります. これらは、このウイルスを方法論的に削除するのに役立つように特別に設計されています. CrossRATトロイの木馬を手動で削除することに自信がない場合は、注意してください。, 専門家は、このマルウェアを完全に消去し、ボタンをクリックするだけでコンピューターを保護するための最良のオプションである可能性が高いため、高度なマルウェア対策ツールをダウンロードして自動的に行うことを強くお勧めします。.

Ventsislav Krastev

Ventsislavは、SensorsTechForumのサイバーセキュリティの専門家です。 2015. 彼は研究してきました, カバー, 最新のマルウェア感染に加えて、ソフトウェアと最新の技術開発のテストとレビューで被害者を支援します. マーケティングも卒業した, Ventsislavは、ゲームチェンジャーとなるサイバーセキュリティの新しいシフトとイノベーションを学ぶことに情熱を注いでいます. バリューチェーン管理を学んだ後, システムアプリケーションのネットワーク管理とコンピュータ管理, 彼はサイバーセキュリティ業界で彼の本当の呼びかけを見つけ、オンラインの安全性とセキュリティに向けたすべてのユーザーの教育を強く信じています.

その他の投稿 - Webサイト

フォローしてください:
ツイッター


Preparation before removing CrossRAT.

実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.

  • これらの指示が常に開いていて、目の前にあることを確認してください.
  • すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
  • これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
  • マルウェアのスキャン
  • レジストリを修正する
  • ウイルスファイルを削除する

ステップ 1: SpyHunterマルウェア対策ツールを使用してCrossRATをスキャンします

1. クリックしてください "ダウンロード" ボタンをクリックして、SpyHunterのダウンロードページに進みます.


ソフトウェアのフルバージョンを購入する前にスキャンを実行して、マルウェアの現在のバージョンがSpyHunterによって検出されることを確認することをお勧めします。. 対応するリンクをクリックして、SpyHunterを確認してください EULA, プライバシーポリシー脅威評価基準.


2. SpyHunterをインストールした後, それを待つ 自動的に更新.

スパイハンター 5 スキャンステップ 1


3. 更新プロセスが終了した後, クリックしてください 「マルウェア/PC スキャン」 タブ. 新しいウィンドウが表示されます. クリック 'スキャン開始'.

スパイハンター 5 スキャンステップ 2


4. SpyHunterがPCのスキャンを終了して、関連する脅威のファイルを探し、それらを見つけた後, をクリックすることで、それらを自動的かつ永続的に削除することができます。 '次' ボタン.

スパイハンター 5 スキャンステップ 3

脅威が除去された場合, することを強くお勧めします PCを再起動します.

ステップ 2: レジストリをクリーンアップします, コンピューター上でCrossRATによって作成された.

通常対象となるWindowsマシンのレジストリは次のとおりです。:

  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, そこでCrossRATによって作成されました. これは、以下の手順に従うことで発生する可能性があります:


1. を開きます 実行ウィンドウ また, タイプ "regedit" をクリックします わかった.
ウイルス トロイの木馬を削除する手順 6


2. あなたがそれを開くとき, あなたは自由にナビゲートすることができます RunとRunOnce キー, その場所は上に示されています.
ウイルス トロイの木馬を削除する手順 7


3. ウイルスを右クリックして削除することで、ウイルスの価値を取り除くことができます.
ウイルス トロイの木馬を削除する手順 8 ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.

ステップ 3: Find virus files created by CrossRAT on your PC.


1.Windowsの場合 8, 8.1 と 10.

新しいWindowsオペレーティングシステムの場合

1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.

ウイルス トロイの木馬を削除する手順 9

2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.

ウイルス トロイの木馬を削除する手順 10

3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:

ファイル拡張子悪質

NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.

2.WindowsXPの場合, ビスタ, と 7.

古いWindowsオペレーティングシステムの場合

古い Windows OS では、従来のアプローチが有効なはずです:

1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.

ウイルストロイの木馬を削除

2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.

ウイルス トロイの木馬を削除する手順 11

3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.

これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.


CrossRAT FAQ

What Does CrossRAT Trojan Do?

The CrossRAT トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに. 機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.

トロイの木馬はパスワードを盗むことができますか?

はい, トロイの木馬, CrossRATのように, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行口座の詳細やパスワードなどの機密情報を盗む.

Can CrossRAT Trojan Hide Itself?

はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.

トロイの木馬は工場出荷時設定にリセットすることで削除できますか?

はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 工場出荷時設定にリセットした後でもバックドアを残して再感染する、より洗練されたトロイの木馬があることに留意してください。.

Can CrossRAT Trojan Infect WiFi?

はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.

トロイの木馬は削除できますか?

はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.

トロイの木馬はファイルを盗むことができますか?

はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.

トロイの木馬を削除できるマルウェア対策?

などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.

トロイの木馬は USB に感染する可能性があります?

はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.

CrossRATリサーチについて

SensorsTechForum.comで公開するコンテンツ, このCrossRATハウツー除去ガイドが含まれています, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.

CrossRATの調査はどのように行ったのですか?

私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)

さらに, the research behind the CrossRAT threat is backed with VirusTotal.

トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します