AdKoobマルウェアは、トロイの木馬とハイジャッカーのハイブリッドウイルスであり、最近、グローバルな攻撃キャンペーンで発見されました。. さまざまな方法で配布され、感染後に実行される多くのモジュールを備えています. 私たちの記事は、感染プロセスの詳細な概要と、AdKoobマルウェアの削除と被害者のコンピューターの復元に関する完全な削除ガイドを提供します.
脅威の概要
| 名前 | AdKoob |
| タイプ | ブラウザハイジャッカー, トロイの木馬 |
| 簡単な説明 | AdKoopマルウェアは、ユーザーデータを盗み、機密性の高いシステム設定を変更するように構成されたモジュールの広範なリストを備えています. |
| 症状 | 犠牲者は感染の明らかな症状を経験しないかもしれません. |
| 配布方法 | フリーウェアのインストール, バンドルパッケージ, スクリプトなど. |
| 検出ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
| ユーザー体験 | フォーラムに参加する AdKoobについて話し合う. |
AdKoobマルウェア–配布方法
AdKoobマルウェアの調査は、セキュリティの専門家が正規のWindowsバイナリファイルの疑わしい動作を検出したときに始まりました。 (svchost.exe). 調査中に、専門家はAdKoobの発見につながる新しい脅威を特定することができました. これは、感染につながる初期ペイロードを拡散するために使用される高度な配信方法があることを明確に示しています. これを実現する方法はいくつか考えられます.
最初の方法は、 スパムメールキャンペーン さまざまなフィッシング手法を利用している. 典型的なメッセージには、被害者の使用を悪意のある要素との相互作用に強制しようとする有名な企業またはインターネットサービスから取得した設計要素が含まれます. AdKoobマルウェアペイロードファイルは、本文のコンテンツに添付またはリンクできます.
他の戦略は作成することです 偽のダウンロードサイト 悪意のあるインスタンスをホストするために使用されます. 通常、AdKoobマルウェアを含むウイルスファイルは、次の形式で提供されます。 感染したペイロード. 2つの主なタイプは次のとおりです:
- 感染した文書 -ハッカーは、AdKoobペイロードをドキュメントに埋め込まれたスクリプトにバンドルできます: リッチテキストドキュメント, スプレッドシートまたはプレゼンテーション. 被害者がそれらを開くと、マクロを有効にするようにユーザーに求める通知プロンプトが表示されます. これが行われると、感染シーケンスが開始されます.
- マルウェアソフトウェアインストーラー —同様の方法を使用して、犯罪者は人気のあるソフトウェアの正当なセットアップファイルをダウンロードできます. これは、ユーザーが頻繁に使用するソフトウェアです。: 生産性アプリ, 創造性スイートまたはシステムユーティリティ. 結果として得られるインストーラーは、偽のダウンロードポータルにアップロードされるか、電子メールメッセージにリンクされます。.
同様に、AdKoobマルウェアの背後にいる犯罪者はさまざまなものを埋め込むことができます 悪意のあるスクリプト ユーザーを悪意のあるファイルにリダイレクトする. 多くの例があります: スクリプト, リダイレクト, インラインハイパーリンク, バナー広告またはポップアップ.
高度なキャンペーンは ブラウザハイジャッカー —最も人気のあるWebブラウザ用に作成された悪意のある拡張機能を表します. ハッカーは、偽の開発者の資格情報とユーザーレビューを、アイテムの詳細な説明とともに利用します。. これは、被害者にインストールを強制するために使用されます. このようなマルウェアを見つける可能性が最も高い場所は、偽のダウンロードポータルまたは公式のプラグインリポジトリです。. これらの悪意のある拡張機能をインストールすると、一般的な動作パターンに従います。最初に、デフォルト設定が変更されます。 (ホームページ, 検索エンジンまたは新しいタブページ). これに続いて、ウイルス感染やハッカーによって設定されたその他のマルウェアアクションが発生します.
AdKoobマルウェア–詳細な説明
警告! AdKoobマルウェアは、トロイの木馬/ハイジャック犯のハイブリッド脅威と見なされます.
AdKoobマルウェアのセキュリティ分析は、攻撃シーケンスが多段階の動作パターンに従うことを示しています. ペイロードは、オープンソースのUPXパッカーまたはカスタムインジェクターで構成されています. 次のステップは、マルウェアコードをサービスホストプロセスに挿入することです.
感染が成功すると、AdKoobマルウェアはアプリケーションフレームに偽のエラーメッセージを表示します “コンポーネントが見つかりません” 以下の内容で:
構成ファイルがありません. Easy Backupを再インストールすると、この問題が解決する場合があります.
これは、キャプチャされたサンプルがバックアップソフトウェアの悪意のあるソフトウェアインストーラを介して配布される可能性があることを示しています. 分析によると、主な悪意のあるエンジンがセキュリティチェックを実行して、%appdata%サービスフォルダ内の特定の文字列を探します。. これは、1回だけ実行するウイルスの設定に関連しています.
エンジンは実行することがわかっています ステルス保護モジュール AdKoobマルウェアを発見から保護します. アンチウイルスプログラムの存在についてシステムをスキャンします, サンドボックス環境, 正しい実行を妨げる可能性のある仮想マシンおよびその他のソフトウェア. 関連するリアルタイムエンジンが無効になり、プログラムが完全に削除される場合があります.
これが完了すると、ウイルスエンジンは実際の悪意のあるプロセスの最初の段階に進みます. それが始まります Windowsレジストリを分析する とハイジャック 機密データ ホストとユーザーについて. 通常分類されるデータの2つの主要なグループがあります:
- 個人データ —ユーザーの詳細を明らかにし、ユーザーの身元を明らかにすることができる情報で構成されています. これには、本名などのデータセットが含まれます, 興味, 電話番号, 場所と保存されているアカウントのクレデンシャル.
- キャンペーンメトリクス —このデータセットは、攻撃を最適化するのに役立つ情報で構成されています. これは通常、侵入先のマシンにインストールされているハードウェアコンポーネントと特定のオペレーティングシステムの値の詳細を示すレポートで構成されています。.
インストールされ、ターゲットにされたWebブラウザーに応じて、AdKoobは使用します さまざまな浸透技術. 古いバージョンの場合 Mozilla Firefox とグーグルクローム 悪意のあるエンジンは、組み込みデータベースに対してSQLクエリを試行します. 新しいバージョンの Mozilla Firefox 別の方法を利用します—アカウントの資格情報をJSONファイル内に保存します. AdKoobマルウェアには、この情報を具体的に照会および抽出できるコードが含まれています. インターネットエクスプローラ ブラウザはからのいくつかの値を保存します Windowsレジストリ. また、特定の資格情報を使用して機密データを盗み出すこともできます.
これ ブラウザハイジャッカーの動作 マルウェアの動作パターンの最初の部分にすぎません. これに続いて、ウイルスは継続します トロイの木馬モジュール. サービスインターネットにリクエストを送信することにより、感染したホストのパブリックIPアドレスを決定します. A 安全な接続 ハッカーが制御するコマンドアンドコントロールサーバーに対して作成されます. これは感染を報告します, 復号化されたストリームには次の値が含まれます:
- 一意のマシン識別子
- オペレーティングシステムのバージョン
- パブリックIP
- 被害者のマシンのローカルタイムゾーン
- ブラウザ識別子文字列
- ブラウザユーザーエージェント
- Base64でエンコードされたクレデンシャル
- ボット識別子
AdKoobマルウェア–トロイの木馬の操作
トロイの木馬エンジンが起動すると、アクティブなものを探します Facebookセッション. 被害者のプロファイルから発信された接続を確立します. この操作を実行するために使用される2つの主な方法があります:
- 保存された認証Cookie —これは、AdKoobマルウェアがデータハーベスティングの侵入を介してCookieを見つけることができたときに達成されます.
- ブラウザのクレデンシャルの盗難 — AdKoobマルウェアは、Facebookのクレデンシャルをすでに取得している場合、サービスへのログインを試みます.
マルウェアによって検索される特定の種類の情報がいくつかあるようです:
- Facebookロケール —これは、ユーザーが設定した言語と地域を定義するために使用されるパラメーターです。.
- FacebookユーザーID —Facebookユーザーをソーシャルサービスに接続するために使用される文字列.
- Facebookプロフィールのユーザー名 —ユーザーが選択したユーザー名.
- ユーザー情報 —これには、ユーザーによって投稿され、プロファイルに表示されるすべてのデータセットが含まれます: 彼らの本名, 位置, 誕生日, 連絡先等.
- Facebookページ —これには、ユーザーが作成したFacebookページのリストが含まれます.
AdKoobマルウェアは、有料広告キャンペーンに関連する一連のリクエストを行うインターフェースと対話することにより、さらに継続します. 企業が使用する場合、AdKoobを使用してパーソナライズされた配信を行うことができます, 感染したホストでのターゲット広告または大量広告キャンペーン. 管理パネルにより、オペレーターは次のことができます。 ターゲットを絞った広告を調整する. メニューオプションには、切り替えることができるさまざまなオプションと特定のパラメータが表示されます.
これらのアクションを担当する基盤となるエンジンは、双方向の要求と応答のメソッドを使用します. 感染したホストは、アクセスされた広告ページに関する情報を報告します, サーバーインスタンスが選択したページに特定の指示を与える間. これはの建設につながります 特定のアカウントID その結果、Facebook Graph APIへのクエリが作成されます。これは、Facebookアカウントからデータをクエリするために使用されるAPIインターフェイスです。. クエリの結果、広告キャンペーンに関するデータが得られます—名前, 費やしたお金と予算の制限.
この事実は、セキュリティ研究者に次のような概念を与えます AdKoopオペレーターはビジネスユーザーをターゲットにしています. これは、通常のホームユーザーがFacebookの広告キャンペーンを使用する可能性が低いという前提から来ています. 収集された情報は盗み出され、Cに送信されます&Cサーバー.
すべてのコンポーネントが正常に実行されると、AdKoobマルウェアはそれ自体の痕跡をすべて削除し、ウイルスが2回実行されないようにする特定のマーカーファイルを残します。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください:
Preparation before removing AdKoob.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
- マルウェアのスキャン
- レジストリを修正する
- ウイルスファイルを削除する
ステップ 1: SpyHunterマルウェア対策ツールを使用してAdKoobをスキャンする
ステップ 2: レジストリをクリーンアップします, お使いのコンピューター上でAdKoobによって作成されました.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, そこでAdKoobによって作成されました. これは、以下の手順に従うことで発生する可能性があります:
ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.ステップ 3: Find virus files created by AdKoob on your PC.
1.Windowsの場合 8, 8.1 と 10.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.WindowsXPの場合, ビスタ, と 7.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
AdKoob FAQ
What Does AdKoob Trojan Do?
The AdKoob トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに.
機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
トロイの木馬はパスワードを盗むことができますか?
はい, トロイの木馬, AdKoobのように, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行の詳細やパスワードなどの機密情報を盗む.
Can AdKoob Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.
トロイの木馬は工場出荷時設定にリセットすることで削除できますか?
はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 覚えておいてください, より洗練されたトロイの木馬が存在すること, 出荷時設定にリセットした後でもバックドアを残して再感染する.
Can AdKoob Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
AdKoobResearchについて
SensorsTechForum.comで公開するコンテンツ, このAdKoobハウツー除去ガイドが含まれています, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
AdKoobの調査はどのように行ったのですか?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the AdKoob threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.