De AdKoob malware is een hybride Trojan en kaper virus die onlangs is ontdekt in een wereldwijde aanval campagne. Het wordt verspreid op verschillende manieren en beschikt over vele modules die worden uitgevoerd naar aanleiding van de infectie. Ons artikel geeft een gedetailleerd overzicht van de infectie proces en een volledige verwijdering gids over het verwijderen van de AdKoob malware en het herstel van het slachtoffer computers.
bedreiging Samenvatting
| Naam | AdKoob |
| Type | Browser Kaper, Trojaans |
| Korte Omschrijving | De AdKoop malware beschikt over een uitgebreide lijst van modules die zijn ingericht om gebruikersgegevens en wijzigen van gevoelige systeeminstellingen stelen. |
| Symptomen | De slachtoffers mag geen zichtbare symptomen van een infectie. |
| Distributie Methode | Freeware Installations, gebundelde pakketten, Scripts en anderen. |
| Detection Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
| Gebruikerservaring | Word lid van onze Forum om te bespreken AdKoob. |
AdKoob Malware - distributiemethoden
Het onderzoek naar de AdKoob malware begon toen security experts gedetecteerd verdacht gedrag van een legitieme Windows binair bestand (svchost.exe). Tijdens het onderzoek waren de experts in staat om een nieuwe bedreiging resulteerde in de ontdekking AdKoob te identificeren. Hieruit blijkt duidelijk dat er een geavanceerde levering methode de initiële ladingen leidt de besmetting kunnen verspreiden. Er zijn verschillende mogelijke scenario's hoe dit kan worden bereikt.
De eerste methode is de coördinatie van SPAM e-mailcampagnes die gebruik maken van verschillende phishingtechnieken. Een typisch bericht omvat het ontwerp elementen uit de bekende bedrijven of internetdiensten een poging om het slachtoffer te dwingen gebruikt in interactie met de malicous element. De AdKoob malware payload bestand kan bij vastgemaakt of gekoppeld in het inhoudelijke lichaam.
De andere strategie is het creëren fake download sites die worden gebruikt om de kwaadaardige gevallen gastheer. Meestal virus bestanden die de AdKoob malware bevatten komen in de vorm van geïnfecteerde payloads. Twee belangrijke soorten zijn de volgende:
- geïnfecteerde Documenten -De hackers kunnen de AdKoob payload te bundelen tot scripts die zijn ingebed in documenten: rich tekstdocumenten, spreadsheets of presentaties. Wanneer ze worden geopend door de slachtoffers een melding prompt waarin wordt gevraagd de gebruikers om de macro's in te schakelen. Als dit gebeurt de infectie volgorde zal worden gestart.
- Malware software Installateurs - Met behulp van een soortgelijke methode de criminelen de legitieme installatiebestanden van de populaire software downloaden. Dit is software die vaak wordt gebruikt door de gebruikers: productiviteit apps, creativiteit suites of het systeem utilities. De resulterende installateurs worden vervolgens geüpload naar de nep downloaden portals of gekoppeld in de e-mailberichten.
Eveneens de criminelen achter de AdKoob malware kunnen diverse insluiten kwaadaardige scripts aan de gebruikers om te leiden naar de schadelijke bestanden. Er zijn vele voorbeelden: scripts, redirects, inline hyperlinks, banner advertenties of pop-ups.
Geavanceerde campagnes kunnen profiteren van browser hijackers - zij vertegenwoordigen kwaadaardige extensies gemaakt voor de meest populaire web browsers. De hackers maken gebruik van nep-ontwikkelaar referenties en reviews gebruiker, samen met een uitgebreide beschrijving van het item. Dit isused om de slachtoffers te dwingen tot het installeren. De meest waarschijnlijke plekken te vinden zulke stukken van malware zijn de nep downloaden portals of de officiële plugin repositories. Eenmaal geïnstalleerd deze schadelijke extensies volgen een gemeenschappelijk gedragspatroon - eerst zullen ze de standaard instellingen te wijzigen (Startpagina, zoekmachine of de nieuwe tabbladen pagina). Dit wordt gevolgd door het virus infectie en andere malware acties geconfigureerd door de hackers.
AdKoob Malware - Gedetailleerde beschrijving
Waarschuwing! De AdKoob malware wordt beschouwd als een Trojan / Hijacker hybride bedreiging.
De veiligheidsanalyse van de AdKoob malware blijkt dat aanslag sequentie volgt een getrapt gedragspatroon. De lading bestaat uit een open-source UPX verpakker of een aangepaste injector. De volgende stap is om de malware code te injecteren in de service host proces.
Na de succesvolle infectie zal de AdKoob malware een valse foutmelding te presenteren in een toepassing kader “Kan onderdeel niet vinden” met de volgende inhoud:
Het configuratiebestand ontbreekt. Het opnieuw installeren van Easy Backup kan dit probleem oplossen.
Dit toont aan dat de gevangen monster kan worden verspreid via een kwaadaardige software installer voor een back-up software. Uit de analyse blijkt dat de belangrijkste kwaadaardige motor voert een security check op zoek naar een specifieke reeks in de map% AppData% service. Dit houdt verband met de configuratie van het virus maar één keer draaien.
De motor ha gevonden om een uit te voeren stealth beschermingsmodule dat beschermt de AdKoob malware discovery. Het zal het systeem voor de aanwezigheid van anti-virus programma's te scannen, sandbox-omgevingen, virtuele machines en andere software die kunnen interfereren met de correcte uitvoering. De bijbehorende real-time motoren kunnen worden uitgeschakeld en de programma's volledig verwijderd.
Zodra dit voltooid is het virus engine zal doorgaan met de eerste fase van het eigenlijke kwaadaardige proces. Het zal beginnen te het analyseren van de Windows-register en kapen gevoelige data over de host en de gebruikers. Er zijn twee belangrijke groepen gegevens die meestal worden gecategoriseerd:
- Persoonlijke gegevens - Het wordt samengesteld uit informatie die informatie over de gebruiker kan onthullen en hun identiteit bloot te leggen. Dit geldt ook voor data sets, zoals hun echte naam, belangen, telefoonnummer, locatie en opgeslagen accountreferenties.
- campagnestatistieken - Deze dataset bestaat uit informatie die nuttig is voor het optimaliseren van de aanslagen. Het is meestal gemaakt van rapporten die informatie geven over de geïnstalleerde hardware componenten en bepaalde besturingssysteem waarden op de besmette machines.
Afhankelijk van de geïnstalleerde en gerichte webbrowsers AdKoob toepassingen verschillende infiltratietechnieken. Voor oudere versies van Mozilla Firefox en Google Chrome de kwaadaardige motor probeert een SQL-query tegen de ingebouwde databases. Nieuwere versies van Mozilla Firefox maakt gebruik van een andere methode - ze slaan de accountreferenties binnen een JSON-bestand. De AdKoob malware bevat code die specifiek kan opvragen en deze informatie te extraheren. Internet Explorer browsers slaan sommige waarden van de Windows-register. Het kan ook bepaalde referenties gebruiken om de gevoelige gegevens exfiltrate.
Deze browser kaper gedrag slechts een eerste deel van de malware gedragspatroon. Na deze het virus zal doorgaan met een Trojan module. Het bepaalt het openbare IP-adres van de geïnfecteerde gastheer door een verzoek om een dienst Internet. Een beveiligde verbinding wordt verwezen naar een hacker gecontroleerde command and control servers. Dit meldt de infectie, de gedecodeerde stroom bevat de volgende waarden:
- Unieke Machine Identifier
- Besturingssysteem versie
- openbare IP
- Lokale tijdzone van de machine van het slachtoffer
- Browser Identifier String
- Browser User Agent
- Base64 Geloofsbrieven
- Bot Identifier
AdKoob malware - Trojan Operations
Zodra de Trojan motor is gestart ziet het er voor actieve Facebook sessies. Het brengt een verbinding afkomstig van profielen van het slachtoffer. Er zijn twee belangrijke methoden die worden gebruikt om deze te kunnen rijden:
- Opgeslagen Authentication Cookies - Dit wordt bereikt wanneer de AdKoob malware in staat om de cookies te vinden via een data harvesting infiltratie is geweest.
- Browser Geloofsbrieven Diefstal - De AdKoob malware probeert in te loggen op de diensten als het al de referenties voor Facebook heeft verworven.
Het lijkt erop dat er verschillende specifieke soorten gegevens die worden verzorgd door de malware:
- lokale Facebook - Dit is de parameter die wordt gebruikt om de gebruiker ingestelde taal en regio bepalen.
- Facebook User ID - Een tekenreeks die wordt gebruikt om de Facebook-gebruikers verbinding maken met de sociale dienst.
- Facebook Username - De gebruikersnamen door de gebruikers gekozen.
- gebruikers informatie - Dit geldt ook voor alle reeksen gegevens die zijn geplaatst door de gebruikers en worden weergegeven OM hun profiel: hun echte naam, plaats, verjaardag, contactinformatie en etc.
- Facebook-pagina's - Dit omvat een overzicht van de Facebook-pagina's zijn gemaakt door de gebruiker.
De AdKoob malware gaat vervolgens verder door interactie met een interface die een reeks verzoeken met betrekking tot betaalde advertentie campagnes maakt. Bij gebruik door bedrijven de AdKoob kan worden gebruikt om gepersonaliseerde leveren, doelgerichte of massa advertentiecampagnes op de geïnfecteerde hosts. De administratieve paneel laat de operators coördinaat gerichte advertenties. De menuopties aanwezig verschillende opties en specifieke parameters die kunnen worden omgeschakeld.
De onderliggende motor die verantwoordelijk is voor deze acties maakt gebruik van een twee-richting verzoek en antwoord methode. De geïnfecteerde gastheren kunt u informatie over de toegang tot advertentiepagina's, terwijl de server instantie geeft specifieke instructies van de gekozen pagina's. Dit leidt tot de opbouw van een bepaalde account ID dat als gevolg daarvan ontstaat een query naar de Facebook Graph API - een API-interface die wordt gebruikt om gegevens te vragen van een Facebook-account. De query resultaten in data over de advertentiecampagnes - naam, uitgegeven geld en budget te beperken.
Dit feit geeft security onderzoekers het idee dat AdKoop operators zijn gericht op zakelijke gebruikers. Dit komt voort uit het uitgangspunt dat thuisgebruikers is niet waarschijnlijk dat Facebook reclame-campagnes. De geoogste zijn exfiltrated en naar de C&C-servers.
Na de succesvolle uitvoering van alle onderdelen van de AdKoob malware zal alle sporen van zichzelf te verwijderen en laat een specifieke marker bestand dat ervoor zorgt dat het virus niet twee keer wordt uitgevoerd.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij:
Preparation before removing AdKoob.
Voor het eigenlijke verwijdering, Wij raden u aan de volgende voorbereidende stappen te doen.
- Zorg ervoor dat u deze instructies altijd open en in de voorkant van je ogen.
- Doe een back-up van al uw bestanden, zelfs als ze konden worden beschadigd. U moet een back-up van uw gegevens met een cloud backup oplossing en verzekeren van uw bestanden tegen elke vorm van verlies, zelfs van de meest ernstige bedreigingen.
- Wees geduldig als deze een tijdje zou kunnen nemen.
- Scannen op malware
- Registers repareren
- Verwijder virusbestanden
Stap 1: Scannen op AdKoob met SpyHunter Anti-Malware Tool
Stap 2: Verwijder eventuele registers, gemaakt door AdKoob op uw computer.
De doorgaans gericht registers van Windows-machines zijn de volgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
U kunt ze openen door het openen van het Windows-register-editor en met weglating van alle waarden, gemaakt door AdKoob daar. Dit kan gebeuren door de stappen onder:
Tip: Om een virus gecreëerd waarde te vinden, U kunt met de rechtermuisknop op te klikken en klik op "Wijzigen" om te zien welk bestand het is ingesteld om te werken. Als dit het virus bestand locatie, Verwijder de waarde.Stap 3: Find virus files created by AdKoob on your PC.
1.Voor Windows 8, 8.1 en 10.
Voor nieuwere Windows-besturingssystemen
1: Op het toetsenbord druk + R en schrijf explorer.exe in de Rennen tekstvak en klik dan op de OK knop.
2: Klik op uw pc uit de snelle toegang bar. Dit is meestal een icoon met een monitor en de naam is ofwel "Mijn computer", "My PC" of "Deze PC" of hoe je het hebt genoemd.
3: Navigeer naar het zoekvak in de rechterbovenhoek van het scherm van uw pc en typ "echter in meerdere contexten:" en waarna typt u de bestandsextensie. Als u op zoek bent naar kwaadaardige executables, Een voorbeeld kan zijn "echter in meerdere contexten:exe". Na het doen van dat, laat een spatie en typ de bestandsnaam die u denkt dat de malware is gemaakt. Hier is hoe het kan verschijnen als het bestand is gevonden:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Voor Windows XP, Uitzicht, en 7.
Voor oudere Windows-besturingssystemen
In oudere Windows-besturingssystemen zou de conventionele aanpak de effectieve moeten zijn:
1: Klik op de Start Menu icoon (meestal op uw bottom-links) en kies vervolgens de Zoeken voorkeur.
2: Na het zoekvenster verschijnt, kiezen Meer geavanceerde opties van de search assistent doos. Een andere manier is door te klikken op Alle bestanden en mappen.
3: Na dat type de naam van het bestand dat u zoekt en klik op de knop Zoeken. Dit kan enige tijd duren, waarna de resultaten worden weergegeven. Als u het kwaadaardig bestand hebt gevonden, u kunt kopiëren of openen de locatie door rechtermuisknop te klikken ben ermee bezig.
Nu moet je in staat om elk bestand op Windows ontdekken zolang het op uw harde schijf en is niet verborgen via speciale software.
AdKoob FAQ
What Does AdKoob Trojan Do?
The AdKoob Trojaans is een kwaadaardig computerprogramma ontworpen om te ontwrichten, schade, of ongeautoriseerde toegang verkrijgen naar een computersysteem.
Het kan worden gebruikt om gevoelige gegevens te stelen, controle krijgen over een systeem, of andere kwaadaardige activiteiten starten.
Kunnen Trojaanse paarden wachtwoorden stelen??
Ja, Trojans, like AdKoob, kan wachtwoorden stelen. Deze kwaadaardige programma's are designed to gain access to a user's computer, slachtoffers bespioneren en gevoelige informatie stelen, zoals bankgegevens en wachtwoorden.
Can AdKoob Trojan Hide Itself?
Ja, het kan. Een Trojaans paard kan verschillende technieken gebruiken om zichzelf te maskeren, inclusief rootkits, encryptie, en verduistering, om zich te verbergen voor beveiligingsscanners en detectie te omzeilen.
Kan een Trojaans paard worden verwijderd door Factory Reset?
Ja, een Trojaans paard kan worden verwijderd door uw apparaat terug te zetten naar de fabrieksinstellingen. Dit komt omdat het het apparaat in de oorspronkelijke staat zal herstellen, het verwijderen van schadelijke software die mogelijk is geïnstalleerd. Bedenken, dat er geavanceerdere Trojaanse paarden bestaan, die achterdeurtjes verlaten en opnieuw infecteren, zelfs na een fabrieksreset.
Can AdKoob Trojan Infect WiFi?
Ja, het is mogelijk dat een trojan wifi-netwerken infecteert. Wanneer een gebruiker verbinding maakt met het geïnfecteerde netwerk, de Trojan kan zich verspreiden naar andere aangesloten apparaten en kan toegang krijgen tot gevoelige informatie op het netwerk.
Kunnen Trojaanse paarden worden verwijderd?
Ja, Trojaanse paarden kunnen worden verwijderd. Dit wordt meestal gedaan door een krachtig antivirus- of antimalwareprogramma uit te voeren dat is ontworpen om schadelijke bestanden te detecteren en te verwijderen. In sommige gevallen, handmatige verwijdering van de Trojan kan ook nodig zijn.
Kunnen Trojaanse paarden bestanden stelen?
Ja, Trojaanse paarden kunnen bestanden stelen als ze op een computer zijn geïnstalleerd. Dit wordt gedaan door de malware auteur of gebruiker om toegang te krijgen tot de computer en vervolgens de bestanden te stelen die erop zijn opgeslagen.
Welke anti-malware kan Trojaanse paarden verwijderen?
Antimalwareprogramma's zoals SpyHunter zijn in staat om Trojaanse paarden op uw computer te scannen en van uw computer te verwijderen. Het is belangrijk om uw anti-malware up-to-date te houden en uw systeem regelmatig te scannen op schadelijke software.
Kunnen Trojaanse paarden USB infecteren?
Ja, Trojaanse paarden kunnen infecteren USB apparaten. USB-trojans wordt meestal verspreid via schadelijke bestanden die van internet zijn gedownload of via e-mail zijn gedeeld, allowing the hacker to gain access to a user's confidential data.
About the AdKoob Research
De inhoud die we publiceren op SensorsTechForum.com, this AdKoob how-to removal guide included, is het resultaat van uitgebreid onderzoek, hard werken en de toewijding van ons team om u te helpen het specifieke trojan-probleem op te lossen.
How did we conduct the research on AdKoob?
Houd er rekening mee dat ons onderzoek is gebaseerd op een onafhankelijk onderzoek. We hebben contact met onafhankelijke beveiligingsonderzoekers, waardoor we dagelijks updates ontvangen over de nieuwste malwaredefinities, inclusief de verschillende soorten trojans (achterdeur, downloader, infostealer, losgeld, etc.)
Bovendien, the research behind the AdKoob threat is backed with VirusTotal.
Om de dreiging van trojans beter te begrijpen, raadpleeg de volgende artikelen die deskundige details bieden:.