Verwijder de Adkoob Malware - een Facebook-Stelen Hybrid Trojan / Hjacker Virus
BEDREIGING VERWIJDEREN

Verwijder de AdKoob Malware - een Facebook-Stelen Hybrid Trojan / Hjacker Virus

De AdKoob malware is een hybride Trojan en kaper virus die onlangs is ontdekt in een wereldwijde aanval campagne. Het wordt verspreid op verschillende manieren en beschikt over vele modules die worden uitgevoerd naar aanleiding van de infectie. Ons artikel geeft een gedetailleerd overzicht van de infectie proces en een volledige verwijdering gids over het verwijderen van de AdKoob malware en het herstel van het slachtoffer computers.

bedreiging Samenvatting

NaamAdKoob
TypeBrowser Kaper, Trojaans
Korte OmschrijvingDe AdKoop malware beschikt over een uitgebreide lijst van modules die zijn ingericht om gebruikersgegevens en wijzigen van gevoelige systeeminstellingen stelen.
SymptomenDe slachtoffers mag geen zichtbare symptomen van een infectie.
Distributie MethodeFreeware Installations, gebundelde pakketten, Scripts en anderen.
Detection Tool Zien of je systeem is getroffen door AdKoob

Download

Malware Removal Tool

GebruikerservaringWord lid van onze Forum om te bespreken AdKoob.

AdKoob Malware - distributiemethoden

Het onderzoek naar de AdKoob malware begon toen security experts gedetecteerd verdacht gedrag van een legitieme Windows binair bestand (svchost.exe). Tijdens het onderzoek waren de experts in staat om een ​​nieuwe bedreiging resulteerde in de ontdekking AdKoob te identificeren. Hieruit blijkt duidelijk dat er een geavanceerde levering methode de initiële ladingen leidt de besmetting kunnen verspreiden. Er zijn verschillende mogelijke scenario's hoe dit kan worden bereikt.

De eerste methode is de coördinatie van SPAM e-mailcampagnes die gebruik maken van verschillende phishingtechnieken. Een typisch bericht omvat het ontwerp elementen uit de bekende bedrijven of internetdiensten een poging om het slachtoffer te dwingen gebruikt in interactie met de malicous element. De AdKoob malware payload bestand kan bij vastgemaakt of gekoppeld in het inhoudelijke lichaam.

De andere strategie is het creëren fake download sites die worden gebruikt om de kwaadaardige gevallen gastheer. Meestal virus bestanden die de AdKoob malware bevatten komen in de vorm van geïnfecteerde payloads. Twee belangrijke soorten zijn de volgende:

  • geïnfecteerde Documenten -De hackers kunnen de AdKoob payload te bundelen tot scripts die zijn ingebed in documenten: rich tekstdocumenten, spreadsheets of presentaties. Wanneer ze worden geopend door de slachtoffers een melding prompt waarin wordt gevraagd de gebruikers om de macro's in te schakelen. Als dit gebeurt de infectie volgorde zal worden gestart.
  • Malware software Installateurs — Using a similar method the criminals can download the legitimate setup files of popular software. Dit is software die vaak wordt gebruikt door de gebruikers: productiviteit apps, creativiteit suites of het systeem utilities. De resulterende installateurs worden vervolgens geüpload naar de nep downloaden portals of gekoppeld in de e-mailberichten.

Eveneens de criminelen achter de AdKoob malware kunnen diverse insluiten kwaadaardige scripts aan de gebruikers om te leiden naar de schadelijke bestanden. Er zijn vele voorbeelden: scripts, redirects, inline hyperlinks, banner advertenties of pop-ups.

Geavanceerde campagnes kunnen profiteren van browser hijackers — they represent malicious extensions made for the most popular web browsers. De hackers maken gebruik van nep-ontwikkelaar referenties en reviews gebruiker, samen met een uitgebreide beschrijving van het item. Dit isused om de slachtoffers te dwingen tot het installeren. De meest waarschijnlijke plekken te vinden zulke stukken van malware zijn de nep downloaden portals of de officiële plugin repositories. Eenmaal geïnstalleerd deze schadelijke extensies volgen een gemeenschappelijk gedragspatroon - eerst zullen ze de standaard instellingen te wijzigen (Startpagina, zoekmachine of de nieuwe tabbladen pagina). Dit wordt gevolgd door het virus infectie en andere malware acties geconfigureerd door de hackers.

AdKoob Malware - Gedetailleerde beschrijving

Waarschuwing! De AdKoob malware wordt beschouwd als een Trojan / Hijacker hybride bedreiging.

De veiligheidsanalyse van de AdKoob malware blijkt dat aanslag sequentie volgt een getrapt gedragspatroon. De lading bestaat uit een open-source UPX verpakker of een aangepaste injector. De volgende stap is om de malware code te injecteren in de service host proces.

Na de succesvolle infectie zal de AdKoob malware een valse foutmelding te presenteren in een toepassing kader “Kan onderdeel niet vinden” met de volgende inhoud:

Het configuratiebestand ontbreekt. Het opnieuw installeren van Easy Backup kan dit probleem oplossen.

Dit toont aan dat de gevangen monster kan worden verspreid via een kwaadaardige software installer voor een back-up software. Uit de analyse blijkt dat de belangrijkste kwaadaardige motor voert een security check op zoek naar een specifieke reeks in de map% AppData% service. Dit houdt verband met de configuratie van het virus maar één keer draaien.

De motor ha gevonden om een ​​uit te voeren stealth beschermingsmodule dat beschermt de AdKoob malware discovery. Het zal het systeem voor de aanwezigheid van anti-virus programma's te scannen, sandbox-omgevingen, virtuele machines en andere software die kunnen interfereren met de correcte uitvoering. De bijbehorende real-time motoren kunnen worden uitgeschakeld en de programma's volledig verwijderd.

Zodra dit voltooid is het virus engine zal doorgaan met de eerste fase van het eigenlijke kwaadaardige proces. Het zal beginnen te het analyseren van de Windows-register en kapen gevoelige data over de host en de gebruikers. Er zijn twee belangrijke groepen gegevens die meestal worden gecategoriseerd:

  • Persoonlijke gegevens - Het wordt samengesteld uit informatie die informatie over de gebruiker kan onthullen en hun identiteit bloot te leggen. Dit geldt ook voor data sets, zoals hun echte naam, belangen, telefoonnummer, locatie en opgeslagen accountreferenties.
  • campagnestatistieken - Deze dataset bestaat uit informatie die nuttig is voor het optimaliseren van de aanslagen. Het is meestal gemaakt van rapporten die informatie geven over de geïnstalleerde hardware componenten en bepaalde besturingssysteem waarden op de besmette machines.

Afhankelijk van de geïnstalleerde en gerichte webbrowsers AdKoob toepassingen verschillende infiltratietechnieken. Voor oudere versies van Mozilla Firefox en Google Chrome de kwaadaardige motor probeert een SQL-query tegen de ingebouwde databases. Nieuwere versies van Mozilla Firefox maakt gebruik van een andere methode - ze slaan de accountreferenties binnen een JSON-bestand. De AdKoob malware bevat code die specifiek kan opvragen en deze informatie te extraheren. Internet Explorer browsers slaan sommige waarden van de Windows-register. Het kan ook bepaalde referenties gebruiken om de gevoelige gegevens exfiltrate.

Deze browser kaper gedrag slechts een eerste deel van de malware gedragspatroon. Na deze het virus zal doorgaan met een Trojan module. Het bepaalt het openbare IP-adres van de geïnfecteerde gastheer door een verzoek om een ​​dienst Internet. Een beveiligde verbinding wordt verwezen naar een hacker gecontroleerde command and control servers. Dit meldt de infectie, de gedecodeerde stroom bevat de volgende waarden:

  • Unieke Machine Identifier
  • Besturingssysteem versie
  • openbare IP
  • Lokale tijdzone van de machine van het slachtoffer
  • Browser Identifier String
  • Browser User Agent
  • Base64 Geloofsbrieven
  • Bot Identifier

AdKoob malware - Trojan Operations

Zodra de Trojan motor is gestart ziet het er voor actieve Facebook sessies. Het brengt een verbinding afkomstig van profielen van het slachtoffer. Er zijn twee belangrijke methoden die worden gebruikt om deze te kunnen rijden:

  1. Opgeslagen Authentication Cookies - Dit wordt bereikt wanneer de AdKoob malware in staat om de cookies te vinden via een data harvesting infiltratie is geweest.
  2. Browser Geloofsbrieven Diefstal - De AdKoob malware probeert in te loggen op de diensten als het al de referenties voor Facebook heeft verworven.

Het lijkt erop dat er verschillende specifieke soorten gegevens die worden verzorgd door de malware:

  • lokale Facebook - Dit is de parameter die wordt gebruikt om de gebruiker ingestelde taal en regio bepalen.
  • Facebook User ID - Een tekenreeks die wordt gebruikt om de Facebook-gebruikers verbinding maken met de sociale dienst.
  • Facebook Username - De gebruikersnamen door de gebruikers gekozen.
  • gebruikers informatie - Dit geldt ook voor alle reeksen gegevens die zijn geplaatst door de gebruikers en worden weergegeven OM hun profiel: hun echte naam, plaats, verjaardag, contactinformatie en etc.
  • Facebook-pagina's - Dit omvat een overzicht van de Facebook-pagina's zijn gemaakt door de gebruiker.

De AdKoob malware gaat vervolgens verder door interactie met een interface die een reeks verzoeken met betrekking tot betaalde advertentie campagnes maakt. Bij gebruik door bedrijven de AdKoob kan worden gebruikt om gepersonaliseerde leveren, doelgerichte of massa advertentiecampagnes op de geïnfecteerde hosts. De administratieve paneel laat de operators coördinaat gerichte advertenties. De menuopties aanwezig verschillende opties en specifieke parameters die kunnen worden omgeschakeld.

De onderliggende motor die verantwoordelijk is voor deze acties maakt gebruik van een twee-richting verzoek en antwoord methode. De geïnfecteerde gastheren kunt u informatie over de toegang tot advertentiepagina's, terwijl de server instantie geeft specifieke instructies van de gekozen pagina's. Dit leidt tot de opbouw van een bepaalde account ID dat als gevolg daarvan ontstaat een query naar de Facebook Graph API - een API-interface die wordt gebruikt om gegevens te vragen van een Facebook-account. De query resultaten in data over de advertentiecampagnes - naam, uitgegeven geld en budget te beperken.

Dit feit geeft security onderzoekers het idee dat AdKoop operators zijn gericht op zakelijke gebruikers. Dit komt voort uit het uitgangspunt dat thuisgebruikers is niet waarschijnlijk dat Facebook reclame-campagnes. De geoogste zijn exfiltrated en naar de C&C-servers.

Na de succesvolle uitvoering van alle onderdelen van de AdKoob malware zal alle sporen van zichzelf te verwijderen en laat een specifieke marker bestand dat ervoor zorgt dat het virus niet twee keer wordt uitgevoerd.

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...