De Astaroth Trojan is een gevaarlijk wapen gebruikt tegen computer gebruikers wereldwijd. Het infecteert voornamelijk via geïnfecteerde software installateurs. Ons artikel geeft een overzicht van zijn gedrag in overeenstemming met de verzamelde monsters en beschikbare rapporten, Ook kan het nuttig zijn in een poging om het virus te verwijderen.
bedreiging Samenvatting
| Naam | Astaroth Trojan |
| Type | Trojaans |
| Korte Omschrijving | De Astaroth Trojan is een computervirus dat is ontworpen om in stilte te infiltreren computersystemen. |
| Symptomen | De slachtoffers mag geen zichtbare symptomen van een infectie. |
| Distributie Methode | software beveiligingslekken, Freeware Installations, gebundelde pakketten, Scripts en anderen. |
| Detection Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
| Gebruikerservaring | Word lid van onze Forum om te bespreken Astaroth Trojan. |
Astaroth Trojan – update mei 2020
De nieuwste strategie rond de distributie van Astaroth Trojaanse monsters omvat een draai in de strategie van de hacker. In Mei 2020 een nieuw monster is genomen door beveiligingsanalisten die nieuwe functies en een nieuwe infectiestrategie documenteren.
Een veel betere beveiliging bypass-functie is geïmplementeerd — het zal het besmette systeem actief scannen op geïnstalleerde programma's die het kunnen verstoren en deze uitschakelen. Dit werkt ook tegen sandbox-omgevingen en hosts van virtuele machines.
De nieuwste strategie die wordt gebruikt om Astaroth te verspreiden, is de creatie van YouTube-kanalen die een link bevatten naar de commando- en controleservers van de Trojan. Dit kan op een geautomatiseerde manier of door het hacken van reeds bestaande accounts. Phishing-e-mailberichten blijven verzonden naar de doelgebruikers. Een link naar de Trojan wordt in de inhoud geplaatst, zodra de gebruikers erop klikken, wordt de downloadopdracht gegeven die tot de infectie leidt.
We herinneren onze lezers eraan dat de Astaroth Trojan wordt gedistribueerd in een verschillende fasen manier — de infectie zal niet onmiddellijk beginnen. Een eerste fase installatie omvat de activering van een complexe implementatiereeks.
Wanneer de slachtoffers op de URl voor malware klikken, wordt er een iFrame-script geactiveerd dat leidt tot een ZIP-bestand dat wordt gehost in een door Google beheerde map. De hackers hebben accounts gemaakt om gebruik te kunnen maken van de gratis cloud-bestandhostingservices zoals Google Drive.
Een LNK-bestand erin zal een JavaScript-bestand ophalen dat de daadwerkelijke implementatiereeks start. Een vervolg JavaScript zal een Bitsadmin-service ophalen die de derde fase van de Trojaanse DLL-bestanden van hacker-gecontroleerde servers zal downloaden — ze worden gebruikt om de kwaadaardige processen te beheersen. Met behulp van een functie in het besturingssysteem worden deze DLL-bestanden in het geheugen geladen en begint de Astaroth Trojan te functioneren.
Alvorens verdere acties te ondernemen, heeft de beveiliging bypass-functie wordt uitgevoerd om de actieve beveiligingsservices uit te schakelen. Pas als deze fase is voltooid, zullen de andere malware-acties plaatsvinden.
Op dit moment lijken de actieve campagnes target gebruikers in Brazilië, net als bij andere hedendaagse infecties hebben de phishing-berichten een thema met COVID-19-gerelateerde meldingen.
Astaroth Trojan Meer informatie
Sommige van de nieuwe voorbeelden die verband houden met de Astaroth Trojan zijn ontdekt door beveiligingsonderzoekers. Hun distributiemethode is door het gebruik van phishing tactiek maar in plaats van te vertrouwen op de traditionele mechanismen voor het orkestreren van bulk e-mailcampagnes of websites, ze kiezen ervoor om de dreiging te verspreiden via sociale netwerkprofielen. Ze worden gestolen of automatisch gegenereerd en gebruiken zowel Facebook als YouTube. Ze zijn gekozen omdat deze sites een van de meest actieve gemeenschappen ter wereld zijn en de hackers een breed publiek kunnen bereiken.
De gevangen aanvallen lijken te zijn gelokaliseerd voor Braziliaanse gebruikers en het gecontacteerde configuratiepatroon lijkt erg complex. De initiële payload dropper werkt samen met de Windows Management Instrumentation Console (WMIC) service van het Microsoft Windows-besturingssysteem om de componenten op te halen.
De phishingtactiek maakt ook gebruik van e-mailberichten die als ondersteunende maatregel worden verzonden:
- Faux factuur
- Faux Show Ticket
- Fake Civil Lawsuit Notification
Wanneer de gebruikers interactie hebben met de e-mails of het sociale netwerk, zullen ze leiden tot een download van een .ZIP-archief met een .LNK-bestand. Wanneer geopend, zal het een JavaScript-code uitvoeren die leidt tot de Astaroth Trojan-infectie.
Astaroth Trojan - distributiemethoden
De Astaroth Trojan wordt verspreid in een lopende campagne, de rapporten blijkt dat de meerderheid van de betrokken slachtoffers zijn afkomstig uit Brazilië en Europa. Dit is een zeer gevaarlijke bedreiging omdat het gebruik maakt van de methode van exploitatie van kwetsbaarheden in de machines, in het bijzonder een zwakte in een populaire anti-virus product (Avast!). Het mechanisme is ongebruikelijk - de hackers misbruik maken van de legitieme Windows Service genoemd bitsadmin die wordt gebruikt om te downloaden, uploaden en beheren van taken, deel van de “Background Intelligent Transfer Service” functie die beschikbaar is voor Windows-ontwikkelaars. In plaats van het programmeren van het voor de gebruikelijke taken die zij is geprogrammeerd om malware te downloaden, in dit geval de Astaroth Trojan.
E-mail phishing-berichten deze in SPAM-achtige wijze worden verzonden uit naam van Microsoft of andere vertrouwde leveranciers aan de doelstellingen worden verzonden. Ze hebben archief bijlagen in de .7zip formaat. Wanneer geopend binnen zal er een LNK-bestand dat als hij wordt uitgevoerd zal de relevante Wmic.exe proces paaien zijn. Dit leidt tot een aanval die bekend staat als een “XSL Script Processing Attack”.
In de praktijk is de hackers misbruik maken van een vertrouwde binaire die het script zal draaien, aldus kapen Avast antivirus proces. Volgens de veiligheid rapporten is dit niet een injectie of een privilege escalatie. In plaats daarvan de avast binaries zijn geprogrammeerd om de malware bestanden uit te voeren. De avast motor zelf bevat een zelfbescherming mechanisme dat eventueel misbruik van de applicatie zelf niet toestaat. De verkoper is momenteel patchen van de software.
De identiteit van de criminelen niet bekend op dit moment, een onderzoek loopt naar de mogelijke herkomst van de dreiging. We verwachten dat dit-payload gebaseerde infectie mechanisme kan worden gebruikt met andere, soortgelijke middelen:
- geïnfecteerde Documenten - De criminelen het virus installatie script in de documenten in alle populaire varianten: tekstdocumenten, spreadsheets, databases en presentaties. Wanneer ze worden geopend een macro uitvoeren prompt waarin wordt gevraagd het slachtoffer gebruikers om de scripts in te schakelen, de geciteerde reden is dat dit nodig is om de bestanden correct te bekijken.
- Geïnfecteerde Application Installateurs - De criminelen kunnen de installateurs van populaire applicaties te nemen en ze te wijzigen om de Astaroth Trojan omvatten. Dit wordt gedaan door de overname van de legitieme installatiebestanden uit hun officiële bronnen en het plaatsen van de juiste virus installatie code. Meestal toepassingen die vaak worden gedownload door eindgebruikers: nut van het systeem, creativiteit suites, productiviteits-apps en etc.
- File-sharing netwerken - De bestanden kunnen worden verspreid via peer-to-peer-netwerken zoals BitTorrent die populair zijn voor het distribueren van zowel legitiem als piraat inhoud zijn.
Astaroth Trojan - Gedetailleerde beschrijving
Zodra de Astaroth Trojan infectie is aanleiding tot een reeks van gevaarlijke acties zullen plaatsvinden. De relevante bitsadmin hulpprogramma zal worden geprogrammeerd om een kwaadaardige payload downloaden van een vooraf gedefinieerde-hacker gecontroleerde server. De code analyse blijkt dat het de malware wordt versluierd als image-bestanden of gegevens zonder een bepaald toestel. Dit wordt gedaan met het oog op regelmatige anti-virus scans te omzeilen.
We verwachten dat toekomstige versies een standalone kan omvatten security bypass welke beveiligingssoftware die mogelijk het virus uitvoering kan blokkeren kunt vinden: anti-virus producten, firewalls, intrusiedetectiesystemen en virtual machine hosts.
Een gevaarlijke component die deel uitmaakt van de Trojan code base is de informatieverzameling module:
- Persoonlijke informatie - De Trojan motor is in staat om het verwerven van gegevens die kunnen worden gebruikt om de identiteit van de slachtoffers rechtstreeks bloot te leggen door te zoeken naar strings zoals de echte naam van een persoon, bijnamen, belangen, telefoonnummer, adres en alle opgeslagen accountreferenties. De verzamelde informatie kan worden gebruikt voor verschillende misdrijven, waaronder financieel misbruik, identiteitsdiefstal en chantage.
- Informatie over de machine - De Trojan motor kan een identificatie die is toegewezen aan elke gecompromitteerde machine te creëren. Het gebeurt via een algoirthm dat de invoerparameters van waarden neemt bijvoorbeeld de geïnstalleerde lijst hardwaredelen, gebruikersinstellingen en bepaalde omgeving van het besturingssysteem waarden.
De verzamelde informatie zal vervolgens naar de criminele controllers via een worden verzonden netwerkverbinding naar hun C&C-servers. Dit stelt hen in staat om de controle over het slachtoffer machines nemen, bestanden diefstal en te bespioneren de gebruikers. Wat is gevaarlijker is dat de Trojan kan worden geprogrammeerd om te communiceren met de Windows Volume Manager, waardoor zij de mogelijkheid om toegang te krijgen tot verwijderbare opslagapparaten en netwerkshares.
Andere kwaadaardige acties die kunnen volgen onder meer de volgende:
- persistent Installatie - De Astaroth Trojan code zal worden gelanceerd elke keer dat de computer wordt aangezet. Deze stap in de meeste gevallen ook toegang tot de boot menu-opties uit te schakelen waardoor het grootste deel van de gebruikershandleiding verwijderen begeleidt nutteloos.
- Windows Registry Changes - Wijziging van het Windows-register waarden van een gemeenschappelijke actie ondernomen door een groot aantal malware van deze categorie. Wijzigingen in strings die worden gebruikt door het besturingssysteem kunnen de algehele vermindering van de prestaties en stabiliteit problemen veroorzaken. Als er toepassingen van derden of diensten waarden dan veranderd de bijbehorende programma's onverwacht afgesloten met fouten.
- Extra Payload Delivery - De Trojan cliënt kan worden geprogrammeerd om andere bedreigingen te downloaden naar de geïnfecteerde computers.
- gegevens Removal - U kunt belangrijke bestanden automatisch zodra de Astaroth Trojan infectie wordt geactiveerd worden gewist. Common data die moet worden verwijderd omvat Systeemherstelpunten, Shadow Volume kopieën en back-ups. Effectief te herstellen van de besmette computers wordt gedaan met behulp van een combinatie van een effectieve anti-spyware programma en een data recovery programma.
Afhankelijk van de komende versies en toekomstige aanval campagne kunnen we een radicaal andere Astaroth Trojan release in de nabije toekomst te zien.
Verwijder Astaroth Trojan volledig
Verwijderen Astaroth Trojan handmatig van uw computer, volg de stap-voor-stap verwijderen tutorial hieronder te opgeschreven. In het geval dat dit handmatig verwijderen niet volledig te ontdoen van de mijnwerker malware, je moet zoeken naar en verwijder eventuele overgebleven onderdelen met een geavanceerde anti-malware gereedschap. Dergelijke software kan uw computer veilig houden in de toekomst.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij:
Preparation before removing Astaroth Trojan.
Voor het eigenlijke verwijdering, Wij raden u aan de volgende voorbereidende stappen te doen.
- Zorg ervoor dat u deze instructies altijd open en in de voorkant van je ogen.
- Doe een back-up van al uw bestanden, zelfs als ze konden worden beschadigd. U moet een back-up van uw gegevens met een cloud backup oplossing en verzekeren van uw bestanden tegen elke vorm van verlies, zelfs van de meest ernstige bedreigingen.
- Wees geduldig als deze een tijdje zou kunnen nemen.
- Scannen op malware
- Registers repareren
- Verwijder virusbestanden
Stap 1: Scannen op Astaroth Trojan met SpyHunter Anti-Malware Tool
Stap 2: Verwijder eventuele registers, gemaakt door Astaroth Trojan op uw computer.
De doorgaans gericht registers van Windows-machines zijn de volgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
U kunt ze openen door het openen van het Windows-register-editor en met weglating van alle waarden, gemaakt door Astaroth Trojan daar. Dit kan gebeuren door de stappen onder:
Tip: Om een virus gecreëerd waarde te vinden, U kunt met de rechtermuisknop op te klikken en klik op "Wijzigen" om te zien welk bestand het is ingesteld om te werken. Als dit het virus bestand locatie, Verwijder de waarde.Stap 3: Find virus files created by Astaroth Trojan on your PC.
1.Voor Windows 8, 8.1 en 10.
Voor nieuwere Windows-besturingssystemen
1: Op het toetsenbord druk + R en schrijf explorer.exe in de Rennen tekstvak en klik dan op de OK knop.
2: Klik op uw pc uit de snelle toegang bar. Dit is meestal een icoon met een monitor en de naam is ofwel "Mijn computer", "My PC" of "Deze PC" of hoe je het hebt genoemd.
3: Navigeer naar het zoekvak in de rechterbovenhoek van het scherm van uw pc en typ "echter in meerdere contexten:" en waarna typt u de bestandsextensie. Als u op zoek bent naar kwaadaardige executables, Een voorbeeld kan zijn "echter in meerdere contexten:exe". Na het doen van dat, laat een spatie en typ de bestandsnaam die u denkt dat de malware is gemaakt. Hier is hoe het kan verschijnen als het bestand is gevonden:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Voor Windows XP, Uitzicht, en 7.
Voor oudere Windows-besturingssystemen
In oudere Windows-besturingssystemen zou de conventionele aanpak de effectieve moeten zijn:
1: Klik op de Start Menu icoon (meestal op uw bottom-links) en kies vervolgens de Zoeken voorkeur.
2: Na het zoekvenster verschijnt, kiezen Meer geavanceerde opties van de search assistent doos. Een andere manier is door te klikken op Alle bestanden en mappen.
3: Na dat type de naam van het bestand dat u zoekt en klik op de knop Zoeken. Dit kan enige tijd duren, waarna de resultaten worden weergegeven. Als u het kwaadaardig bestand hebt gevonden, u kunt kopiëren of openen de locatie door rechtermuisknop te klikken ben ermee bezig.
Nu moet je in staat om elk bestand op Windows ontdekken zolang het op uw harde schijf en is niet verborgen via speciale software.
Astaroth Trojan FAQ
What Does Astaroth Trojan Trojan Do?
The Astaroth Trojan Trojaans is een kwaadaardig computerprogramma ontworpen om te ontwrichten, schade, of ongeautoriseerde toegang verkrijgen naar een computersysteem. Het kan worden gebruikt om gevoelige gegevens te stelen, controle krijgen over een systeem, of andere kwaadaardige activiteiten starten.
Kunnen Trojaanse paarden wachtwoorden stelen??
Ja, Trojans, like Astaroth Trojan, kan wachtwoorden stelen. Deze kwaadaardige programma's are designed to gain access to a user's computer, slachtoffers bespioneren en gevoelige informatie zoals bankgegevens en wachtwoorden stelen.
Can Astaroth Trojan Trojan Hide Itself?
Ja, het kan. Een Trojaans paard kan verschillende technieken gebruiken om zichzelf te maskeren, inclusief rootkits, encryptie, en verduistering, om zich te verbergen voor beveiligingsscanners en detectie te omzeilen.
Kan een Trojaans paard worden verwijderd door Factory Reset?
Ja, een Trojaans paard kan worden verwijderd door uw apparaat terug te zetten naar de fabrieksinstellingen. Dit komt omdat het het apparaat in de oorspronkelijke staat zal herstellen, het verwijderen van schadelijke software die mogelijk is geïnstalleerd. Houd er rekening mee dat er geavanceerdere Trojans zijn die achterdeurtjes achterlaten en opnieuw infecteren, zelfs na een fabrieksreset.
Can Astaroth Trojan Trojan Infect WiFi?
Ja, het is mogelijk dat een trojan wifi-netwerken infecteert. Wanneer een gebruiker verbinding maakt met het geïnfecteerde netwerk, de Trojan kan zich verspreiden naar andere aangesloten apparaten en kan toegang krijgen tot gevoelige informatie op het netwerk.
Kunnen Trojaanse paarden worden verwijderd?
Ja, Trojaanse paarden kunnen worden verwijderd. Dit wordt meestal gedaan door een krachtig antivirus- of antimalwareprogramma uit te voeren dat is ontworpen om schadelijke bestanden te detecteren en te verwijderen. In sommige gevallen, handmatige verwijdering van de Trojan kan ook nodig zijn.
Kunnen Trojaanse paarden bestanden stelen?
Ja, Trojaanse paarden kunnen bestanden stelen als ze op een computer zijn geïnstalleerd. Dit wordt gedaan door de malware auteur of gebruiker om toegang te krijgen tot de computer en vervolgens de bestanden te stelen die erop zijn opgeslagen.
Welke anti-malware kan Trojaanse paarden verwijderen?
Antimalwareprogramma's zoals SpyHunter zijn in staat om Trojaanse paarden op uw computer te scannen en van uw computer te verwijderen. Het is belangrijk om uw anti-malware up-to-date te houden en uw systeem regelmatig te scannen op schadelijke software.
Kunnen Trojaanse paarden USB infecteren?
Ja, Trojaanse paarden kunnen infecteren USB apparaten. USB-trojans wordt meestal verspreid via schadelijke bestanden die van internet zijn gedownload of via e-mail zijn gedeeld, allowing the hacker to gain access to a user's confidential data.
About the Astaroth Trojan Research
De inhoud die we publiceren op SensorsTechForum.com, this Astaroth Trojan how-to removal guide included, is het resultaat van uitgebreid onderzoek, hard werken en de toewijding van ons team om u te helpen het specifieke trojan-probleem op te lossen.
How did we conduct the research on Astaroth Trojan?
Houd er rekening mee dat ons onderzoek is gebaseerd op een onafhankelijk onderzoek. We hebben contact met onafhankelijke beveiligingsonderzoekers, waardoor we dagelijks updates ontvangen over de nieuwste malwaredefinities, inclusief de verschillende soorten trojans (achterdeur, downloader, infostealer, losgeld, etc.)
Bovendien, the research behind the Astaroth Trojan threat is backed with VirusTotal.
Om de dreiging van trojans beter te begrijpen, raadpleeg de volgende artikelen die deskundige details bieden:.