この記事は説明するために作成されました Metamorfoトロイの木馬とは そして、このマルウェアをコンピュータから完全に削除する方法.
Metamorfoトロイの木馬は、アカウントの資格情報を乗っ取ってブラウザを直接操作できる、新たに発見された銀行ウイルスです。. 削除ガイドには、バンキング型トロイの木馬の動作メカニズムの詳細な説明が記載されています, 感染から感染したコンピュータを復元するための手順と同様に.
脅威の概要
| 名前 | メタモルフォ |
| タイプ | トロイの木馬ウイルス |
| 簡単な説明 | ターゲットマシンにサイレントに感染し、主要なアプリケーションとシステムサービスを変更します. |
| 症状 | ユーザーは浸潤の兆候を経験しないかもしれません. |
| 配布方法 | 悪意のあるWebリンク, 悪意のあるファイル, 悪意のある電子メール |
| 検出ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
ユーザー体験 | フォーラムに参加する Metamorfoについて話し合う. |
2月 2020 新しいMetamofoトロイの木馬攻撃
Metamorfoトロイの木馬は、オンラインバンキングサービスを使用しているユーザーに焦点を当てた活発なキャンペーンで再び浮上しました. このトロイの木馬の目的は、個人情報を収集することです。, 銀行のクレデンシャルとペイメントカードデータを含む. これまでのところ、それを実行するキャンペーンは世界中の国々で開始されています, 例は 米国, ペルー, カナダ, チリ, スペイン, ブラジル, メキシコとエクアドル.
選択された感染方法はもう一度です フィッシングメール —犯罪者は、ユーザーが期待する可能性のある偽の通知やその他の種類のコンテンツを送信する可能性があります. 被害者は請求書を受け取ったという通知を受け取り、ZIPアーカイブをダウンロードして実行するように被害者を操作します. 実行すると、組み込みマクロが実行可能ファイルを実行します.
感染が始まった後に実行される最初のモジュールの1つは、 セキュリティバイパス —セキュリティアプリケーションとエンジンの実行中のプロセスを探し、それらを積極的にシャットダウンします. これは、感染に関する警告を発しないために行われます。. 感染は、AutoItスクリプトを介して行われます。これは、タスクの自動化に使用され、主にMicrosoftWindowsコンピューターで使用される一般的な言語です。. 重要な操作は オートコンプリートフォームの無効化 Webブラウザで. これは、入力されたデータを取得してランサムウェアの背後にいるハッカーオペレーターに送信するキーロガーを実行するために行われます。.
利用可能な調査によると、合計 32 キーワードは、潜在的な有用な情報についてメインエンジンによって監視されます. それらの1つがトロイの木馬コンポーネントによって検出されるとすぐに、安全な接続を介してハッカーに送信されます.
Metamorfo –どのように感染しますか
セキュリティの専門家は、Metamorfoトロイの木馬として知られる新しい脅威がブラジルのコンピューターユーザーに感染していることを示しています. 報告によると、主な配布方法は スパムメールメッセージ. 通常、それらは含まれています ソーシャルエンジニアリング 受信者に危険な脅威のインストールを強制する要素. ほとんどの場合、どちらでもかまいません ハイパーリンク 本体内容または 直接取り付け メッセージに. 彼らはまた、の最も一般的なキャリアです ウイルスペイロード, 最も人気のあるタイプの2つは次のとおりです:
- 感染したソフトウェアインストーラー —危険なコードは、多くのユーザーが使用するアプリケーションに埋め込まれています. 例には、オフィスおよび生産性アプリケーションが含まれます, 創造性スイート, システムユーティリティなど.
- 感染した文書 —同じ戦略を使用して、ハッカーはさまざまなタイプのドキュメントにコードを統合できます: リッチテキストドキュメント, スプレッドシートまたはプレゼンテーション. コードは、組み込みマクロとの相互作用によってアクティブ化されます (スクリプト). ファイルを開くと、スクリプトを有効にするようにターゲットに求める通知プロンプトが表示されます. これが行われると、感染が続きます.
分析によると、ハッカーは、 悪意のあるHTML添付ファイル. 銀行口座振込の通知のように見えるように設計されています. 被害者のユーザーがスクリプトを操作すると、さまざまなホスティングサイトまたはクラウドサービスプラットフォームでホストされている可能性のあるペイロードにリダイレクトされます: GitHub, Onedrive, ドロップボックス, メガ, Googleドライブなど. セキュリティ分析では、redirecetURLを非表示にするために短縮サービスが使用されていることが示されています. ペイロード自体はZIPアーカイブファイルに含まれており、単一の実行可能ファイルが含まれています. 開始されると、Metamorfoトロイの木馬感染が続きます.
Metamorfo –詳細情報と分析
Metamorfoトロイの木馬自体は4つの要素で構成されています:
- car.dat —Windowsツールに付けられたランダムに生成された名前.
- i4.dt —同じzipファイルをダウンロードするVBSスクリプト.
- id —個々のホストごとに生成されるID.
- cryptui.dll —悪意のあるトロイの木馬自体.
Metamorfoトロイの木馬の感染プロセスは、多段階の感染パターンに従います. 主な悪意のあるエンジンによって起動される最初のモジュールは、 データハーベスティング 成分. 2つの主要なタイプの情報を乗っ取るように構成できます:
- 機密データ —被害者に関連する文字列を収集することにより、被害者の身元を直接公開するために使用できます. 文字列の例には、被害者の名前が含まれます, 住所, 電話番号, 興味, 位置, アカウントのクレデンシャルまたはパスワード.
- キャンペーンメトリクス —収集された情報は、攻撃キャンペーンを最適化するために使用されます. ハイジャックされた文字列の例には、ハードウェアコンポーネント情報と特定のオペレーティングシステムの設定値が含まれます.
それをさらに更新すると、 ステルス保護 モジュール. ウイルスの実行を妨げる可能性のあるアプリケーションからウイルスインスタンスを保護するために使用できます. 例には、ウイルス対策プログラムが含まれます, サンドボックス環境と仮想マシンホスト. このモジュールは、次のようなシステム監視アプリケーションとサービスを抑制する役割も果たします。:
- Msconfig.exe (システム構成ユーティリティ)
- TASKMGR.exe (タスクマネージャー)
- Regedit.exe (Windowsレジストリエディタ)
- CCleaner64.exe (CCleanerアプリケーションインスタンス)
- Itauaplicativo.exe
脅威はステルス方式で構成されています, 自分自身をマスクしようとしています. 通常のシステムサービスの一般的な兆候である小さなファイルの印刷物を残すように構成されています. Metamorfoトロイの木馬がシステムに適切に配備され、そのウイルスエンジンが起動すると、組み込みの手順で開始されます。. このトロイの木馬は、オペレーティングシステムとユーザーがインストールしたソフトウェアに接続し始め、インターネットバンキングサービスや取引所プラットフォームの兆候を探します。. これは、脅威の背後にいる開発者が、最も人気のあるブラウザと互換性のあるコードを考案したことを意味します: Mozilla Firefox, グーグルクローム, インターネットエクスプローラ, サファリ, OperaとMicrosoftEdge. それらにアクセスできることで、犯罪者は次のような保存されたデータを読み書きできます。: クッキー, 歴史, ブックマーク, 設定と保存されたアカウントのクレデンシャル.
その後、ウイルスは次のように設定されます 持続的な脅威 これは、コンピュータが起動するたびに自動的に起動することを意味します. トロイの木馬は、侵入する可能性を排除することができます ブートリカバリメニュー ユーザーが手動で削除しようとするのを禁止する. さらに悪いことに、エンジンは シャドウボリュームコピーを削除する 被害者にとって重要と思われるデータの. これは、復元できる唯一の方法は、高品質のデータ回復ツールを使用することであることを意味します, 詳細なガイダンスについては、当社の指示を参照してください.
悪意のあるエンジンは、さまざまな変更を加えることができます Windowsレジストリ. ユーザーがインストールしたアプリケーションに影響を与えると、ユーザーは特定の機能やサービスを起動できない場合があります. オペレーティングシステムが影響を受けると、システム全体のパフォーマンスが低下する可能性があります.
A 監視モジュール 被害者のユーザーのアクションの記録を開始し、事前定義された場所に保存されているJPEG形式のスクリーンショットを記録するがアクティブ化されます.
Metamorfoトロイの木馬の最も重要な機能の1つは、 ネットワーク接続. 事前定義されたハッカー制御サーバーに接続するために使用されます. 異なるアドレスを特徴とするいくつかのバージョンがあります, これまでのところ、以下が特定されています:
80[.]211.140[.]235
87[.]98.146[.]34
212[.]237.46[.]6
185[.]43.209[.]182
アナリストは、ハッカーのオペレーターが使用しているコマンドのいくつかを収集することができました:
- わかった —インストールされているバンキングソフトウェアのリストを取得します.
- PING —接続を維持するために、コマンドアンドコントロールサーバーから送信されています. A ポン 応答が期待されます.
- dellLemb —事前定義されたレジストリエントリを削除します.
- EXECPROGRAM —侵入先のホストでターゲットプログラムを実行します.
- EXITEWINDOWS —現在の操作を終了します.
- NOVOLEMBRETE —プリセットデータを保存する事前定義されたレジストリエントリを作成します.
分析が収集されたサンプルを調べたとき、専門家は、後の株に組み込まれた特定の高度なステルス機能があることを発見しました. それらの中に、Metamorfoトロイの木馬には、システムメモリにロードされる破損したDLLファイルとともにMicrosoftによって作成された正規の製品が含まれています. 重要なサービスを乗っ取るために使用されます, 許可されたアクセスを使用して、拡張データ収集操作を開始できます.
Metamorfoトロイの木馬は、侵入先のコンピュータをスキャンして、バンキングソフトウェアを探すことができます。. 次に、ハッカーが制御するサーバーからダウンロードしたリストと比較されます。. 互換性のあるアプリケーションまたはブラウザイベントが検出されると、トロイの木馬は入力された資格情報を自動的に乗っ取ることができます.
Metamorfoトロイの木馬による影響を受けるサービスは両方とも オンラインバンキングソリューション と (暗号)為替. アカウントのクレデンシャルを盗むことに加えて、マルウェアの一部のバージョンをカスタマイズして、トランザクションフォームを変更し、ユーザーが気付かないうちに受信者のアドレスを置き換えることができます。. これは、彼らの行動の結果として、資金が自動的にハイジャックされることを意味します.
現在、脅威にラベルを付けるために使用されているいくつかの署名があります. 収集されたサンプルには、次の識別子が関連付けられています:
- Generic.Banker.Delf.FBD4F540
- PWS-FCJW!C2CC04BE25F2
- Script.Exploit.Generic.Wuqr
- スパイウェア ( 005259ba1 )
- TR / Spy.Banker.rxdds
- TROJ_GEN.R011C0OC318
- トロイの木馬-Spy.Metamorfo
- TrojanSpy.Banker!rIQxBOu7TYM
- Virus.Banker.Delf!c
- W32 / PWS.VKJI-4874
WindowsからMetamorfoを効果的に削除する
このトロイの木馬を完全に取り除くために, この記事の下にある削除手順に従うことをお勧めします. それらは、分離してから削除するのに役立つように作られています Metamorfoトロイの木馬 手動または自動で. 手動での取り外しが困難な場合, 専門家は常に、PC上の特定のソフトウェアを介してマルウェア対策スキャンを実行することにより、自動的に削除を実行することをお勧めします. このようなマルウェア対策プログラムは、 メタモルフォ 完全になくなり、WindowsOSは将来のマルウェア感染に対して安全に保たれます.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください:
Preparation before removing Metamorfo.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
- マルウェアのスキャン
- レジストリを修正する
- ウイルスファイルを削除する
ステップ 1: SpyHunter マルウェア対策ツールを使用して Metamorfo をスキャンする
ステップ 2: レジストリをクリーンアップします, お使いのコンピューター上で Metamorfo によって作成された.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, そこにメタモルフォによって作成された. これは、以下の手順に従うことで発生する可能性があります:
ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.ステップ 3: Find virus files created by Metamorfo on your PC.
1.Windowsの場合 8, 8.1 と 10.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.WindowsXPの場合, ビスタ, と 7.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
メタモルフォ FAQ
What Does Metamorfo Trojan Do?
The Metamorfo トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに.
機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
トロイの木馬はパスワードを盗むことができますか?
はい, トロイの木馬, メタモルフォのように, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行の詳細やパスワードなどの機密情報を盗む.
Can Metamorfo Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.
トロイの木馬は工場出荷時設定にリセットすることで削除できますか?
はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 覚えておいてください, より洗練されたトロイの木馬が存在すること, 出荷時設定にリセットした後でもバックドアを残して再感染する.
Can Metamorfo Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
メタモルフォ・リサーチについて
SensorsTechForum.comで公開するコンテンツ, この Metamorfo 除去ガイドが含まれています, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
メタモルフォに関する調査をどのように実施したか?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the Metamorfo threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.