Huis > Trojaans > HDRoot Bootkit door Winnti Group Bootst Microsoft Net Command na
BEDREIGING VERWIJDEREN

HDRoot bootkit door Winnti Groep Mimics Microsoft Net Command

Onderzoekers van Kaspersky Lab hebben onlangs een rapport gepubliceerd, gericht op een cyber-spionage campagne strategized door een hacker organisatie genaamd de Winnti groep. Winnti is het aanvallen van de ondernemingen in de online video game gebied sinds 2009. Het slechte nieuws is dat de groep is weer actief, deze keer gericht digitale certificaten door de grote software-aanbieders getekend bij diefstal van intellectuele eigendom uit te voeren. De broncode van verschillende game-projecten wordt ook bedreigd door het hacken team.

hdroot-rootkit Kaspersky STF

Image Source: Beveiligde Lijst

Welke instrumenten Winnti Employ?

Winnti 1.x en 2.x

Volgens Kaspersky, de groep is met behulp van een stuk van kwaadaardige code, die ook wordt genoemd Winnti. Onderzoekers hebben alle varianten van de functie onderverdeeld in twee generaties - 1.x en 2.x. Meer informatie over de oprichting en het gebruik van Winnti malware, je kunt lezen in de Winnti rapport hulpmiddel door SecureList.

HDRoot / HDD-Rootkit
De nieuwste bedreiging teruggevoerd naar Winnti groep HDRoot genoemd en is gebaseerd op een 2006 bootkit installer.

Wat is een bootkit?

Een bootkit is een boot-virus is ontworpen voor het aansluiten en patchen Windows, en vervolgens worden geladen in de Windows-kernel. Door deze kwaadaardige mogelijkheden, de bootkit krijgt onbeperkt toegang tot de machine. Omdat de Master Boot Record niet versleuteld, een bootkit kan vol volume encryptie voorkomen.

HDRoot wordt beschreven als 'een universeel platform voor een duurzame en aanhoudende verschijning in een gerichte systeem'. Wat is erger, het kan worden gebruikt als een steunpunt voor het instrument elke hacker.

HDRoot wordt gebruikt voor cyber-spionage en diefstal van intellectuele eigendom. Het werd ontdekt 'bij toeval' - als een voorbeeld van malware trok de aandacht van grote (Kaspersky Lab Global Research and Analysis Team). Wat geïntrigeerd de onderzoekers was:

  • De manier waarop dit specifieke malware stuk werd beschermd met een commerciële vmProtect Win64 uitvoerbare en ondertekend met een gecompromitteerde certificaat dat hoort bij een Chinese entiteit – Guangzhou YuanLuo Technology.
  • Het feit dat de malware werd vervalst om te kijken als een Microsoft Net Command net.exe.

HDRoot Schadelijke Mogelijkheden en Doelen

Die twee factoren die de malware sample heel achterdochtig. In een later stadium van de analyse, Kaspersky deskundigen bleek dat de HDRoot bootkit kunnen worden gebruikt om andere kwaadaardige instrumenten lanceren. Meer specifiek, twee soorten backdoor malware werden geïdentificeerd. Eén van hen kon de detectie te omzeilen door professionele anti-virus software in Zuid-Korea – AhnLab V3 Lite, AhnLab V3's 365 Kliniek en ESTsoft's ALYac. Vandaar, een conclusie werd bereikt - de Winnti team gebruikte de achterdeur om doelen in Zuid-Korea aan te vallen.

Kaspersky onderzoekers rekening houden met de kans dat de Winnti organisatie primaire belangen in Zuidoost-Azië. Sommige van zijn andere doelstellingen waarschijnlijk gelegen in Japan, China, Bangladesh en Indonesië. HDRoot infecties zijn ook gedetecteerd in het Verenigd Koninkrijk en Rusland.

winnti slachtoffers - securelist

Image Source: Beveiligde Lijst

De geografie van de doelstellingen is waarschijnlijk gerelateerd aan de Winnti aanvallers thuisland en hun interesse in de lokale software-entiteiten. Het kan zijn dat de hackers wilde toegang tot populaire lokale bedrijven te verkrijgen. Echter, de redenen waarom zij hadden (en nog steeds kan hebben) zijn nog niet helemaal duidelijk.

Onderzoekt ook de mogelijkheid dat de HDD-Rootkit is gemaakt door iemand die de Winnti groep zich beschouwen, nadat hij de Bookit had geschreven. Een ander scenario is dat de hackers gebruikte code van derden, die op de Chinese cyber zwarte markt beschikbaar was. Wat is meer, zodra Kaspersky de aanval van Winnti gespot en begon te analyseren, de groep nam onmiddellijk actie en aangepast. Het resultaat - een paar weken, een nieuwe variant van de bedreiging geïdentificeerd. De aanval is nog steeds actief.

Hoe zijn de Winnti / HDRoot Attacks Geïnitieerd?

Onderzoekers geloven dat de meeste aanvallen zijn begonnen met een phishing e-mail gestuurd naar een of meer mailboxen bedrijf. De e-mailberichten bevatten meestal kwaadaardige attachments in self-extracting of een gewone archief met een uitvoerbaar bestand. Exploitatie van zero-day kwetsbaarheden is niet waargenomen. Zodra het beoogde bedrijf is gepenetreerd, de Winnti groep uploadt een set van tools op de besmette computer en start het scannen van de netwerkbronnen.

Dan, ze escaleren privileges en zoek wat informatie is waardevol in het bijzonder bedrijf. Volgende, gestolen gegevens is exfiltrated in gecomprimeerde vorm aan één van Winnti de controle & command servers. Daartoe, een back-verbinding maken TCP-kanaal door een keten van TCP-proxy apps wordt gebruikt, zoals beschreven door onderzoekers.

Volgens de onderzoekers van Kaspersky Lab, hun producten met succes kan HDRoot blokkeren en bescherming van gebruikers.

***

Om te voorkomen dat misbruik door schadelijke software, behoud van een krachtige AV-oplossing.

Download

Malware Removal Tool


SpyHunter scanner vindt u alleen de dreiging. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

Milena Dimitrova

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen


Windows Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer Stop Push Pop-ups

Hoe HDRoot Bootkit uit Windows te verwijderen.


Stap 1: Start de pc in de veilige modus te isoleren en te verwijderen HDRoot bootkit

AANBOD

Handmatig verwijderen duurt meestal tijd en loopt u het risico te beschadigen uw bestanden Als men niet oppast!
Wij raden u aan uw pc met SpyHunter Scan

Houd in gedachten, dat SpyHunter scanner is voor de detectie van malware. Als SpyHunter detecteert malware op uw pc, u moet SpyHunter's tool voor het verwijderen van malware kopen om de malware-bedreigingen te verwijderen. Lezen onze SpyHunter 5 beoordeling. Klik op de overeenkomstige links om SpyHunter's te controleren EULA, Privacybeleid en Threat Assessment Criteria

1. Houd de Windows-toets() + R


2. Het "Rennen" Venster verschijnt. In het, type "msconfig" en klik OK.


3. Ga naar de "Laars" tab. Er selecteert "veilig opstarten" en klik vervolgens op "Solliciteren" en "OK".
Tip: Zorg ervoor dat die veranderingen te keren door-activeren Veilig opstarten na dat, omdat uw systeem altijd zal opstarten in Safe Boot van nu af aan.


4. Als daarom gevraagd wordt, Klik op "Herstart" in te gaan op de veilige modus.


5. U kunt de veilige modus te herkennen door de woorden geschreven op de hoeken van het scherm.


Stap 2: Verwijder HDRoot Bootkit en bijbehorende software van Windows

Hier is een methode om in een paar eenvoudige stappen die moeten in staat zijn om de meeste programma's te verwijderen. Geen probleem als u Windows 10, 8, 7, Vista of XP, die stappen zal de klus te klaren. Slepen van het programma of de map naar de prullenbak kan een zeer slechte beslissing. Als je dat doet, stukjes van het programma worden achtergelaten, en dat kan leiden tot een instabiel werk van uw PC, fouten met het bestandstype verenigingen en andere onaangename activiteiten. De juiste manier om een ​​programma te krijgen van je computer is deze ook te verwijderen. Om dat te doen:


1. Houd het Windows Logo Button en "R" op uw toetsenbord. Een pop-up venster verschijnt.


2. In het type veld in "appwiz.cpl" en druk op ENTER.


3. Dit opent een venster met alle op de PC geïnstalleerde programma's. Selecteer het programma dat u wilt verwijderen, en druk op "Uninstall"
Volg de instructies hierboven en u zult succesvol kan verwijderen de meeste programma's.


Stap 3: Verwijder eventuele registers, aangemaakt door HDRoot bootkit op uw computer.

De doorgaans gericht registers van Windows-machines zijn de volgende:

  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

U kunt ze openen door het openen van het Windows-register-editor en met weglating van alle waarden, aangemaakt door HDRoot bootkit er. Dit kan gebeuren door de stappen onder:

1. Open de Run Window opnieuw, type "regedit" en klik OK.


2. Wanneer u het opent, je vrij kunt navigeren naar de Run en RunOnce sleutels, waarvan de locaties hierboven aangegeven.


3. U kunt de waarde van het virus te verwijderen door met de rechtermuisknop op te klikken en te verwijderen.
Tip: Om een ​​virus gecreëerd waarde te vinden, U kunt met de rechtermuisknop op te klikken en klik op "Wijzigen" om te zien welk bestand het is ingesteld om te werken. Als dit het virus bestand locatie, Verwijder de waarde.

BELANGRIJK!
Voor het starten "Stap 4", alsjeblieft laars terug in de normale modus, in het geval dat u op dit moment in de Veilige modus.
Dit stelt u in staat om te installeren en gebruik SpyHunter 5 geslaagd.

Stap 4: Scannen op HDRoot bootkit met SpyHunter Anti-Malware Tool

1. Klik op de "Download" knop om door te gaan naar de downloadpagina van SpyHunter.


Het wordt aanbevolen om een ​​scan uit te voeren vóór de aankoop van de volledige versie van de software om ervoor te zorgen dat de huidige versie van de malware kan worden gedetecteerd door SpyHunter. Klik op de overeenkomstige links om SpyHunter's te controleren EULA, Privacybeleid en Threat Assessment Criteria.


2. Nadat u SpyHunter hebt geïnstalleerd, wachten tot het automatisch bijgewerkt.

SpyHunter5 update 2018


3. Nadat de update is voltooid, Klik op de 'Malware / pc-scan' tab. Een nieuw venster zal verschijnen. Klik op 'Start scan'.

SpyHunter5-Free-Scan-2018


4. Na SpyHunter klaar is met het scannen van uw pc voor alle bestanden van de bijbehorende dreiging en vonden ze, kunt u proberen om ze automatisch en permanent verwijderd te krijgen door te klikken op de 'De volgende' knop.

SpyHunter-5-Free-Scan-Next-2018

Als er bedreigingen zijn verwijderd, Het wordt sterk aanbevolen om herstart je pc.


Windows Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer Stop Push Pop-ups

Verwijder HDRoot Bootkit van Mac OS X.


Stap 1: Uninstall HDRoot Bootkit en verwijder gerelateerde bestanden en objecten

AANBOD
Handmatig verwijderen duurt meestal tijd en loopt u het risico te beschadigen uw bestanden Als men niet oppast!
We raden aan om je Mac te scannen met SpyHunter voor Mac
Houd in gedachten, die SpyHunter voor Mac moet aanschaffen om de malwarebedreigingen te verwijderen. Klik op de bijbehorende links naar SpyHunter controleren EULA en Privacybeleid


1. Druk op de ⇧ ⌘ + + U sleutels te openen nutsbedrijven. Een andere manier is om te klikken op “Gaan”En vervolgens op“nutsbedrijven", zoals blijkt uit onderstaande afbeelding:


2. Vinden Activity Monitor en dubbelklik erop:


3. In de Activity Monitor look voor elke verdachte processen, toebehoren of gerelateerd aan HDRoot bootkit:

Tip: Om een ​​proces volledig af te sluiten, kies de "Geforceerd beëindigen" keuze.


4. Klik op de "Gaan" nogmaals op de knop, maar deze keer selecteert toepassingen. Een andere manier is met de ⇧ + ⌘ + A toetsen.


5. In het menu Toepassingen, zoeken naar eventuele verdachte app of een app met een naam, vergelijkbaar of identiek zijn aan HDRoot bootkit. Als u het vinden, klik met de rechtermuisknop op de app en selecteer “Verplaatsen naar prullenbak".


6: Kies Accounts, waarna klik op de Inlogonderdelen voorkeur. Uw Mac toont dan een lijst met items die automatisch worden gestart wanneer u zich aanmeldt. Kijk op verdachte apps aan of overeenstemt met HDRoot bootkit. Controleer de app die u wilt stoppen automatisch worden uitgevoerd en selecteer vervolgens op de Minus ("-") icoon om het te verbergen.


7: Verwijder eventuele overgebleven bestanden die verband kunnen houden met deze bedreiging handmatig door de onderstaande sub-stappen:

  • Ga naar vinder.
  • In de zoekbalk typt u de naam van de app die u wilt verwijderen.
  • Boven de zoekbalk veranderen de twee drop down menu's om "System Files" en "Zijn inbegrepen" zodat je alle bestanden in verband met de toepassing kunt zien die u wilt verwijderen. Houd er rekening mee dat sommige van de bestanden kunnen niet worden gerelateerd aan de app, zodat heel voorzichtig welke bestanden u wilt verwijderen.
  • Als alle bestanden zijn gerelateerd, houd de ⌘ + A knoppen om ze te selecteren en dan rijden ze naar "Trash".

Voor het geval je HDRoot Bootkit niet kunt verwijderen via Stap 1 bovenstaand:

In het geval dat u niet het virus bestanden en objecten in uw Applications of andere plaatsen waar we hierboven hebben laten zien te vinden, kunt u handmatig zoeken voor hen in de bibliotheken van je Mac. Maar voordat je dit doet, Lees de disclaimer hieronder:

Ontkenning! Als u op het punt om te knoeien met Library bestanden op de Mac, zorg ervoor dat de naam van het virus bestand kennen, want als je het verkeerde bestand te verwijderen, het kan onherstelbare schade aan uw MacOS veroorzaken. Doorgaan op eigen verantwoordelijkheid!

1: Klik op "Gaan" en toen "Ga naar map" zoals hieronder:

2: Typ in "/Bibliotheek / LauchAgents /" en klik OK:

3: Verwijder alle virusbestanden die een vergelijkbare of dezelfde naam hebben als HDRoot Bootkit. Als je denkt dat er geen dergelijke dossier, niets verwijderen.

U kunt dezelfde procedure te herhalen met de volgende andere Bibliotheek directories:

→ ~ / Library / LaunchAgents
/Library / LaunchDaemons

Tip: ~ Er is met opzet, omdat het leidt tot meer LaunchAgents.


Stap 2: Scan voor en verwijder HDRoot Bootkit bestanden van uw Mac

Als u worden geconfronteerd met problemen op je Mac als gevolg van ongewenste scripts en programma's zoals HDRoot bootkit, de aanbevolen manier van het elimineren van de dreiging is met behulp van een anti-malware programma. SpyHunter voor Mac biedt geavanceerde beveiligingsfuncties samen met andere modules die de beveiliging van uw Mac verbeteren en in de toekomst beschermen.


Klik de onderstaande knop hieronder om te downloaden SpyHunter voor Mac en scan voor HDRoot Bootkit:


Download

SpyHunter voor Mac



Windows Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer Stop Push Pop-ups


Verwijder HDRoot Bootkit uit Google Chrome.


Stap 1: Begin Google Chrome en open de druppel menu


Stap 2: Beweeg de cursor over "Gereedschap" en vervolgens het uitgebreide menu kiest "Extensions"


Stap 3: Van de geopende "Extensions" menu vinden de ongewenste uitbreiding en klik op de "Verwijderen" knop.


Stap 4: Nadat de extensie wordt verwijderd, herstart Google Chrome door het sluiten van de rode "X" knop aan de rechter bovenhoek en opnieuw starten.


Windows Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer Stop Push Pop-ups


Verwijder HDRoot Bootkit van Mozilla Firefox.

Stap 1: Begin Mozilla Firefox. Open de menuvenster


Stap 2: Selecteer "Add-ons" symbool uit het menu.


Stap 3: Selecteer de ongewenste uitbreiding en klik op "Verwijderen"


Stap 4: Nadat de extensie wordt verwijderd, herstart Mozilla Firefox door het sluiten van de rode "X" knop aan de rechter bovenhoek en opnieuw starten.



Windows Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer Stop Push Pop-ups


Verwijder HDRoot Bootkit van Microsoft Edge.


Stap 1: Start Edge-browser.


Stap 2: Open het drop menu door te klikken op het pictogram in de rechterbovenhoek.


Stap 3: Uit het drop menu selecteren "Extensions".


Stap 4: Kies de vermoedelijke kwaadaardige extensie die u wilt verwijderen en klik dan op de tandwiel icoon.


Stap 5: Verwijder de kwaadaardige uitbreiding door naar beneden scrollen en vervolgens te klikken op Uninstall.



Windows Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer Stop Push Pop-ups


Verwijder HDRoot Bootkit uit Safari.


Stap 1: Start de Safari-app.


Stap 2: Na uw muis cursor naar de bovenkant van het scherm, Klik op de Safari tekst naar de drop-down menu te openen.


Stap 3: Vanuit het menu, Klik op "Voorkeuren".

stf-safari voorkeuren


Stap 4: Nadien, selecteer de 'Extensions' tab.

stf-safaristijl extensions


Stap 5: Klik eenmaal op de extensie die u wilt verwijderen.


Stap 6: Klik 'Uninstall'.

stf-safari uninstall

Een pop-up venster waarin wordt gevraagd om een ​​bevestiging te verwijderen de verlenging. Kiezen 'Uninstall' opnieuw, en HDRoot bootkit wordt verwijderd.


Hoe te herstellen Safari
BELANGRIJK: Voordat resetten Safari zorg ervoor dat u een back-up van al uw opgeslagen wachtwoorden binnen de browser in het geval u ze vergeet.

Start Safari en klik vervolgens op de gear leaver icon.

Klik op de Reset Safari-knop en je zult reset de browser.


Windows Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer Stop Push Pop-ups


Verwijder HDRoot Bootkit van Internet Explorer.


Stap 1: Start Internet Explorer.


Stap 2: Klik op de versnelling pictogram met de naam 'Gereedschap' naar de drop-menu te openen en selecteer 'Manage Add-ons'


Stap 3: In het 'Manage Add-ons' venster.


Stap 4: Selecteer de extensie die u wilt verwijderen en klik vervolgens op 'Uitschakelen'. Een pop-up venster zal verschijnen om u te informeren dat u op het punt om de geselecteerde extensie uit te schakelen zijn, en wat meer add-ons kan net zo goed worden uitgeschakeld. Laat alle vakjes aangevinkt, en klik 'Uitschakelen'.


Stap 5: Nadat de ongewenste uitbreiding is verwijderd, herstart Internet Explorer door het sluiten van de rode 'X' knop aan de rechter bovenhoek en opnieuw starten.


Verwijder pushmeldingen veroorzaakt door HDRoot Bootkit vanuit uw browsers.


Schakel pushmeldingen van Google Chrome uit

Om pushberichten uit de Google Chrome-browser uit te schakelen, volgt u de onderstaande stappen:

Stap 1: Ga naar Instellingen in Chrome.

instellingen

Stap 2: In Instellingen, selecteer “Geavanceerde instellingen":

geavanceerde instellingen

Stap 3: Klik "Inhoudsinstellingen":

Inhoudsinstellingen

Stap 4: Open "meldingen":

meldingen

Stap 5: Klik op de drie stippen en kies Blokkeren, Bewerken of opties verwijderen:

Blok, Bewerken of verwijderen

Verwijder pushmeldingen in Firefox

Stap 1: Ga naar Firefox-opties.

opties

Stap 2: Ga naar Instellingen", typ "meldingen" in de zoekbalk en klik op "Instellingen":

Instellingen

Stap 3: Klik op "Verwijderen" op een site waarvan u de meldingen wilt verwijderen en klik op "Wijzigingen opslaan"

verwijder pushmeldingen firefox

Stop pushmeldingen op Opera

Stap 1: In opera, pers ALT + P om naar Instellingen te gaan

opera

Stap 2: In Zoeken instellen, typ "Inhoud" om naar Inhoudsinstellingen te gaan.

inhoudsinstellingen

Stap 3: Open Meldingen:

meldingen

Stap 4: Doe hetzelfde als met Google Chrome (hieronder uitgelegd):

drie puntjes

Elimineer pushmeldingen op Safari

Stap 1: Open Safari-voorkeuren.

voorkeuren

Stap 2: Kies het domein waar u graag push-pop-ups naartoe wilt en verander naar "Ontkennen" van "Toestaan".


Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *