Scranosは、ルートキット対応の新しいスパイウェアの名前であり、現在の洗練度にもかかわらず、「進行中の作業」. Bitdefenderの研究者は最近、Scranosのオペレーターが、すでに感染しているユーザーに対して新しいコンポーネントを継続的にテストし、古いコンポーネントに定期的にマイナーな改善を加えていることを発見しました。.
脅威の概要
名前 | スクラノス |
タイプ | スパイウェア, ルートキット, アドウェア |
簡単な説明 | Scranosは、一連の悪意のあるアクティビティを実行できるルートキットドライバーを備えた洗練されたスパイウェアです。. 詳細は記事をご覧ください. |
症状 | 受け取った指示に応じて, マルウェアはさまざまなサービスのログイン資格情報を盗む可能性があります, 閲覧履歴を抽出する, JavaScriptを挿入します, 等. また、他の悪意のあるペイロードをドロップする可能性があります. |
配布方法 | トロイの木馬化されたアプリ, ひびの入ったソフトウェア |
検出ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
Scranosスパイウェアの詳細
最新のレポートによると, スパイウェアには、さまざまな目的に使用でき、さまざまなシナリオで展開できるさまざまなコンポーネントが含まれています.
Scranosに付属する最も重要なコンポーネントのいくつかには、次の機能があります:
– Google Chromeなどの一般的なブラウザからCookieを抽出し、ログイン資格情報を盗む, クロム, Mozilla – Firefox, オペラ, マイクロソフトエッジ, インターネットエクスプローラ, BaiduブラウザとYandexブラウザ.
– Facebookからユーザーの支払いアカウントを盗む, AmazonとAirbnbのウェブページ.
– 他のアカウントに友達リクエストを送信する, ユーザーのFacebookアカウントから.
– 感染したユーザーのFacebookの友達にフィッシングメッセージを送信します。このメッセージには、Androidユーザーにも感染するために使用される悪意のあるAPKが含まれています。.
– Steam上のユーザーのアカウントのログイン資格情報を盗む.
– InternetExplorerにJavaScriptアドウェアを挿入する.
– これらのブラウザにJavaScriptアドウェアを挿入するのに役立つChrome/Opera拡張機能をインストールします.
– 閲覧履歴を盗み出す.
– Chromeを介してユーザーに広告またはミュートされたYouTube動画をサイレントに表示する. 研究者は、Chromeが被害者のコンピューターにまだインストールされていない場合にChromeをインストールできるドロッパーを発見しました.
– ユーザーをYouTubeビデオチャンネルに登録する.
– ペイロードをダウンロードして実行します.
Scranosスパイウェアはどのように拡散していますか?
驚くことではないが, マルウェアは、クラックされたソフトウェアの形でトロイの木馬化されたアプリケーションを介して拡散します, または電子書籍リーダーと同じくらい便利なソフトウェアポーズ, ビデオプレーヤー, ドライバーまたはマルウェア対策製品, 研究者は言った.
実行時, Scranosは、マルウェアを偽装してシステム上で永続化するためのルートキットドライバーもインストールします。. 感染チェーンの次のステップは、「自宅に電話をかけ」、ダウンロードしてインストールする他のコンポーネントに関するコマンドを受信することです。. レポートによると、Scranosは世界規模でユーザーに感染しています, インドと, ルーマニア, フランス, 感染が蔓延しているイタリアとインドネシア.
識別されたすべてのScranosサンプルが、この操作が統合段階にあることを確認していることは注目に値します。:
識別された最も古いサンプルは11月にさかのぼります 2018, 12月と1月に大幅な急増. でも, 3月 2019, コマンドアンドコントロールサーバーは、他の種類のマルウェアのプッシュを開始しました。これは、ネットワークがペイパーインストールスキームでサードパーティと提携していることを明確に示しています。.
マルウェアは、被害者に代わって特定のWebサイトと対話することもできます. すなわち, マルウェアは、異なるチャネルで4つのYouTube動画を積極的に宣伝しています.
ルートキットドライバーについて, シャットダウン時に自分自身を書き換える効果的な永続性メカニズムを利用しますが、自分自身を隠すことはありません. ルートキットは、ダウンローダーを正当なプロセスに挿入します, 次に、1つ以上のペイロードをダウンロードします.
ルートキットが検出された場合、削除から保護されないことに注意してください. ドライバー自体に加えて, ディスク上に他のコンポーネントが見つかりません, 実行後に削除されるため. でも, 必要に応じて再度ダウンロードできます, レポートノート.
短編小説, ユーザーはオンラインでの行動に細心の注意を払う必要があります. このマルウェアは、高度な攻撃がどのようになっているのかをさらに思い出させるものです。. たとえば、Scranosキャンペーンのペイロードの1つは、YouTubeではなく他のページを操作することです。, これらのページ内に表示される広告を操作することによって:
Scranosスパイウェアを削除する方法
言うまでもなく, ルートキットとスパイウェアは非常に狡猾であるため、, 削除するのが難しい. ただし、手順はあります, マルウェアとそのルートキットコンポーネントをシステムから取り除くことができます:
1. ブラウザを閉じます(s).
2. 一時パスから実行されているすべてのプロセスを強制終了します. 悪意のあるものとして検出されたファイルを削除する.
3. rundll32.exeプロセスを強制終了します.
4. 次のようにルートキットファイル名を生成します:
– 現在のユーザーのSIDを取得する.
– から生じた文字列のMD5を計算します).
– 最初に入手 12 bからの文字).
5. 管理者権限でcmdまたはPowerShellウィンドウを実行し、次のように入力します: > sc stop scdelete.sysそしてファイルを削除します.
7. DNSドライバーを削除します (下, MOIYZBWQSOは、特定のドライバー名に置き換える必要があります):
– DNSドライバがインストールされているかどうかを確認します: %TEMP%には、次のファイルが必要です。 10 ランダムな大文字 (元: MOIYZBWQSO. sys). レジストリには、名前に対応するキーも必要です (元: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MOIYZBWQSO)
– 管理者権限でcmdまたはPowerShellウィンドウを実行し、次のように入力します:
– sc停止MOIYZBWQSO
– sc削除MOIYZBWQSO –
– ファイル%TEMP%MOIYZBWQSO.sysを削除します 8) PCを再起動して、挿入されたコードをsvchost.exeプロセスから削除します. 9. ブラウザから疑わしい拡張機能を削除します.
10. すべてのパスワードを変更する.