Verwijder Zeus Trojan-virus

In dit artikel vindt u hoe u Zeus Trojan-virus te verwijderen en te ontdoen van geïnfecteerde bestanden. Zeus Trojan horse virus verspreid op grote schaal via de RIG Exploit Kit. Deze nieuwe versie is genaamd “Chthonic”En voor het eerst kwam een ​​paar jaar geleden, wanneer het te raken 150 banken over de hele wereld. Deze activiteit is nog niet afgerond, hoewel de Trojan ook wordt gebruikt voor de distributie van ransomware. De malware heeft vele namen gehad door de jaren heen, en een zeer opmerkelijke één is Zbot.

Voordat onthullen wat de ZeuS Trojan-virus is, moet u eerst vertrouwd te raken met wat is een Trojan-virus. Dat is een combinatie van termen die worden gebruikt om malware die zowel een beschrijven Trojaanse paard en virus.

Een Trojaanse paard is een stukje malware dat zichzelf injecteert in een computerinrichting, onder valse voorwendselen, bijvoorbeeld presenteert zich als de bekende programma Skype. Je zal niet verrast zijn om te ontdekken dat de term Trojaanse paard in de informatica komt uit de oude Griekse verhaal van hoe de Griekse soldaten stealthily binnengevallen Troy, met behulp van een reusachtig houten paard, gepresenteerd als een geschenk. Een virus is een kwaadaardig programma dat ooit uitgevoerd, zal schaamteloos beginnen repliceren zelf en de besmetting van andere programma's door ze te wijzigen zonder toestemming van de gebruiker.

Zo, een combinatie van beide typen malware bovenbeschreven, zal een kwaadaardig programma dat sommige of alle van de volgende kunnen doen:

• pretendeert een bekende of een handig programma te zijn, dus geef je ze de eerste toegang
• maakt gebruik van andere stealth tactieken om stiekem in uw computer
• modificeert / infecteert andere programma's en processen op uw PC
• kopieert het zichzelf op verschillende locaties op uw pc

Het Zeus Trojan-virus heeft verspreid over de hele wereld, en waarschijnlijk vooral bekend voor het leveren van de beruchte CryptoLocker versleutelen virus. Hieronder vindt u een korte geschiedenis van de malware te vinden in al zijn vormen, Sinds zijn eerste verschijning vroeg 2017.

2007 - Zeus en zijn eerste verschijning

Het jaar 2007 markeerde het begin van de ZeuS malware die later bekend werd als de Zeus Trojan horse. Destijds werd het gebruikt om informatie te stelen van de United States Department of Transportation. Daarna begon het verzamelen van momentum.

2009 - ZeuS zich snel uitbreidt

In 2009, Zeus wijdverspreid werd voor de eerste keer, en het werd gezien als een grote bedreiging. Het had gecompromitteerd boven 74.000 FTP-accounts, op websites van grote bedrijven, zoals de Bank of America, NASA, Monster.com, abc, Oracle, Play.com, Cisco, Amazone, en BusinessWeek.

2010 - Zeus Worldwide Threat

2010 was het jaar waarin de FBI aangekondigd dat de Zeus virus werd gebruikt om computers te infecteren over de hele aardbol. In deze vorm, Zeus werd voornamelijk gebruikt als een banking Trojan, om informatie te stelen door het registreren van toetsaanslagen bij het gebruik van een browser of door het formulier grijpen. Ook, e-mails werden gebruikt om personen te bereiken op gemeenten en bedrijven, dus het kan alle gegevens met betrekking tot online bankrekeningen te grijpen.

2013 - Zeus CryptoLocker Helper

Laat 2011 set nieuwe hoogtes Zeus want het leidde de code moet worden gebruikt voor de oprichting van de gameover ZeuS botnet. Het botnet was minder kwetsbaar voor rechtshandhavingsoperaties, omdat het vroeger een versleutelde peer-to-peer-systeem om te communiceren met zijn C2 (Bevel&Controle) servers. Bankfraude was wederom een ​​primaire doelstelling voor de Zeus malware familie. In 2013, alles escaleerde toen gameover ZeuS was verantwoordelijk voor de massaverdeling van [wplinkpreview url =”https://sensorstechforum.com/remove-cryptolocker-ransomware-virus/”] CryptoLocker Ransomware Virus rond de wereld.

2015 - ZeuS evolueert naar Chthonic

2015 was ook een symbolisch jaar voor Zeus als het zich ontwikkeld nog verder in Chthonic – een nieuwe variant door malware onderzoekers van Kaspersky ontdekt. Dezelfde encryptie techniek die gebruikt wordt door deze variant als de “Zeus V2” en “Zeus AES” Trojans. [wplinkpreview url =”https://sensorstechforum.com/chthonic-a-new-version-of-the-zeus-banking-trojan-hits-150-banks-in-15-countries/”] Chthonic is bekend geraakt te hebben dan 150 banken in 15 landen, terug in 2015.

2016 - Zeus en de Sfinx

In augustus 2015, de code van Zeus werd gebruikt om een ​​aangepaste variant voor het te creëren, genaamd de [wplinkpreview url =”https://sensorstechforum.com/rio-2016-malware-sphinx-banking-trojan-targets-brazilian-banks/”] “Sphinx Banking Trojan”, verkocht op de zwarte markt voor $500. Het TOR-netwerk werd gebruikt door hem, op z'n best. Om het laatste kwartaal van 2016, er waren detecties van de Trojan, waaruit blijkt dat nog steeds actief. Vooral de Braziliaanse banken werden getroffen, waaronder Boleto betaalmethoden gebruikt in Brazilië.

2017 - ZeuS Trojan

Zeus Virus - technisch inzicht update 2017 : Zeus is nog steeds een van de grootste computer-infecties met veel van zijn varianten verspreiden nog altijd in 2017. Lees hieronder voor meer informatie.

Het Zeus malware had vele vormen van distributie door de jaren heen voor het origineel en voor latere varianten. Een van de eerste manieren om het te krijgen op uw computer systeem, was met de hulp van redirects. Veel omleidingen kan worden geactiveerd door te klikken iets online als een link of een knop. Een van de redirects bevat een script dat de malware downloadt. Een andere manier om te downloaden is door te klikken op een advertentie die een vraag stelt, en of u klikt op “Ja" of "Geen”Zullen beide resulteren in het verkrijgen van de ZeuS Trojan-virus op uw PC.

Aangezien de broncode voor Zeus werd gelekt in 2011, een toolkit bouwer werd gratis aangeboden dat leek op het volgende:

Getweaked versies van de toolkit en de malware in de vorm van ofwel een Trojaans paard of een botnet snel gevolgd. Bovengenoemde uitvoeringen, met specifieke functies, worden nog steeds verkocht aan deze dag, met prijzen typisch variërend van $700 aan $15.000.

Spam e-mails met bijlagen waren en zijn nog steeds prominent van de distributie voor Zeus. In de bijlage is er een uitvoerbaar bestand dat wordt versluierd en verborgen als een soort van een document bestand, met een verlenging zoals .pdf of .doc zoals in het voorbeeld onder:

Image Source: SecureList.com

Een andere verdeling manier is met de Zeus Wereldwijd worden verzonden met een malvertising ketting. U kunt de laatste gerapporteerde dergelijke aanval te zien (April 2017) en de detecties van beveiligingsbedrijven voor het op de VirusTotal dienst hier:

De laatste aanval bestond uit meer dan 300 redirects, hetgeen resulteert in het laden van een bedreigde plaats met [wplinkpreview url =”https://sensorstechforum.com/new-version-rig-exploit-kit-developed/”] RIG Exploit Kit ben ermee bezig. Zodra je merkt dat je op de landing page, kwetsbaarheden gebaseerd op Adobe's “Flash”Zal worden misbruikt wanneer eindelijk de lading zal worden gedropt. De lading in het bovenstaande, is oorspronkelijk de naam “73mendjd.exe".

Als je de wegen van distributie voor kunt zien Zeus kan variëren, en zelfs anderen kunnen worden gebruikt als de malware zich verder ontwikkelt.

Zeus wordt voortdurend op Dark Net forums verkocht in sommige vorm dan ook, zelfs in de late 2018. Sommige Banking Trojans vloeien voort uit de code van de oorspronkelijke Zeus zoals u wellicht al weet. Enkele van de meest voorkomende namen die aan het virus door verschillende anti-malware bedrijven worden de volgende:

• Trojan-Spy:W32 / Zbot
• PWS-Zbot
• Trojan-Spy.Win32.Zbot
• Trojan.Wsnpoem
• Troj / Agent-LG
• Mal / Agent-MDL
• Troj / Agent-LM
• Troj / TDSS-BY
• Troj / Agent-LO
• Troj / Buzus-EC
• Sinowal.WUR Trojans / QakBot D
• Mal / Agent-MIR
• Troj / E-Qakbot
• Troj / QakBot-G

Als u een van de hierboven genoemde namen te zien om pop-up als een kennisgeving van uw beveiligingssoftware, zorg ervoor dat het kan verwijderen. Anders, verander je gereedschap onmiddellijk.

In november [wplinkpreview url =”https://sensorstechforum.com/panda-zeus-trojan-black-hat-seo/”] Panda ZeuS Trojan horse keert terug met de hulp van zwarte hoed SEO en malvertising technieken in plaats van phishing en spam campagnes. Deze technieken zijn nieuw voor de verspreiding van malware algehele. De aanvallers gehackte websites en gebruikt een netwerk van spam botnets om hun SEO score van andere sites te stimuleren in een black-hat weg.

Wanneer een gebruiker bezoekt een van deze sites, verschijnt nu aan de top zoekresultaten, hij wordt omgeleid en een document met de lading van de ZeuS Panda virus wordt verzonden naar zijn computer systeem. De gebruiker moest macro's voor het virus door te voeren in te schakelen, maar dat betekent niet veel moeite te nemen. Zeus Trojan-virus was zeer succesvol met zijn aanvallen en blijft zich verspreiden via het internet. Pas en controleer de URL, voordat het vertrouwen van een website.

Het Zeus variant Chthonic is onlangs ontdekt door malware onderzoekers als een die nog steeds actief is. De volgende domeinnaam is uitspreidt:

• dako.gov(.)RE / files / text / load.exe

Dat domein is bekend te zijn “Het Rijksarchief van de regio Kiev” en na de payload druppelaar de malware is gedownload, het virus druppels een kopie van zichzelf in de %AppData% zwerven directory van het Windows-besturingssysteem. De Panda Banker Trojan blijft nog steeds actief als een andere tegenhanger van de beruchte Zeus Trojaans. Omdat de broncode van het virus is verkocht voor geruime tijd, meer varianten zijn zeer waarschijnlijk ook actief te zijn.

bijgewerkt tot augustus 2017 Nu, in augustus 2017 Zeus Trojan verspreidt in zijn nieuwste vorm – de [wplinkpreview url =”https://sensorstechforum.com/zeus-panda-banker-trojan-suchka-exe-remove-it-completely/”] ZeuS Panda Banker Trojan. Die variant is gezien in meerdere talen, meest opvallende daarvan is in het Italiaans. Het is momenteel bezig om systemen van de banken over de hele wereld te infecteren. Het is verspreid met spam e-mail campagnes. Zeus Panda Trojan is ook bekend als suchka.exe vanwege die dezelfde naam gebruikt voor de payload versluierd in de spam e-mails. Het interessante is dat het virus vormt voor een ticket van uw lokale politie Departament zijn. Het bijgevoegde bestand in de e-mails is in een .ZIP bestand om te proberen te verbergen van beveiligingssoftware.

De module bestanden verenigen alle kwaadaardige activiteiten achter de nieuwste varianten van Zeus Trojan malware zijn met een soortgelijk gedrag en zelfs soortgelijke namen voor sommige van de varianten van het virus, zoals u zult zien in deze update. De uitvoerbare bestanden en het kwaadaardige functies achter hen die van belang zijn voor de nieuwste Zeus varianten worden verondersteld om de hetzelfde als het origineel v2 variant zoals gerapporteerd door Sysforensics. Ze worden gerapporteerd aan de volgende te zijn:

• Kernell32.dll
• Advapi32.dll
• user32.dll

Deze zogenaamde ondersteuning modules van de belangrijkste uitvoerbare Zeus Torjan hebben allemaal meerdere functies die gericht zijn op verschillende aspecten van de geïnfecteerde computer te wijzigen en we zullen ze grondig te herzien.

Kernell32.dll

In dit bestand, de eerste functie van belang wordt genoemd GetModuleHandleA. Onderzoekers van mening dat het wordt gebruikt tin om code van het besturingssysteem aan te passen, zodat een injectie van kwaadaardige code, terwijl onopgemerkt mogelijk is. Een andere soortgelijke functie GetModuleFileName. Doel terugdraaien naam modules die actief zijn als systeemprocessen. Het kan gebruikt worden om processen in te voegen in Windows Taakbeheer alsof ze legitieme. Er is ook de OpenMutexA functie in dit bestand, primariy verantwoordelijk voor de behandeling mutex voorwerpen. Het kan gebruikt worden zodat een tweede infectie met Zeus Trojan is onmogelijk en er is slechts één infectie aanwezig. Vaak ontmoet functie voor de meeste malware.

Advapi32.dll

Deze module heeft twee functies die gericht zijn op te treden als een unieke identificatie van de infectie, het meest waarschijnlijk dienen als een gemakkelijkere manier voor de hacker om veel infecties te beheren, door hun unieke namen. Beide functies GetUserNameA en GetAuditedPermissionsFromAclW. De twee meest interessante functies voor ons, zijn echter CreateServiceA net zoals CreateProcessAsUserW. Ze worden voornamelijk gebruikt om processen en voor het toezicht te creëren.

user32.dll

Deze module maakt gebruik van de functie GetDesktopWindow en GetKeyboardState. Zij wijzen erop aan het toezicht op een deel van de malware, die kunnen worden:

• logging toetsaanslagen (keylogger feature).
• Screen capture of screenshot vermogen.

Dit is zeker een serieuze virus dat zich blijft ontwikkelen. Als er nieuwe informatie wordt gevonden zal het artikel naar behoren worden bijgewerkt.

Het Zeus Trojan-virus heeft vele vormen aangenomen door de jaren heen en heeft besmet maar liefst 3.6 miljoen computers in de Verenigde Staten alleen, niet met die over de hele wereld te vermelden. Nu, in april 2017, de malware is nog steeds actief infecteren computersystemen. Het Chthonic variant terug en deze keer wordt afgegeven door de RIG Exploit Kit. De verdeling is met een ketting en malvertising bovenbeschreven.

Hieronder vindt u een lijst met IP-adressen die betrokken zijn bij die aanval kan zien:

• 5.200.52.240
• 45.56.117.118
• 144.76.133.38
• 89.18.27.34

En hier zijn enkele van de URL's die dienen als de laatste omleiden naar de landing page met RIG:

• dfg.twitttwoo.co.uk
• https://dfg.twitttwoo.co.uk/
• pationare.bit
• https://pationare.bit /
• avaneredge.bit
• https://avaneredge.bit /

Aangezien de lekkage van Zeus broncode opnieuw in 2011, nieuwe varianten hebben gehouden infecteren computer machines. Het gemeenschappelijk gebruik van de Trojan betrokken, injecteren code browsers, wat zou phishing webpagina's te tonen, om wachtwoorden te stelen, geloofsbrieven en soortgelijke gegevens met betrekking tot het bankwezen. De Trojan wordt gebruikt onder andere doeleinden, alsof de payload druppelaar voor ransomware virussen. Een monster geanalyseerd op VirusTotal service:

Voor dat ransomware, de volgende regel wordt toegevoegd aan de Windows Firewall:

→netsh advfirewall firewall toe regel name =”onderzoeken” dir = in action = toestaan ​​programma =”%APPDATA% Wiezycr itetiwe.exe”

De opdracht maakt de Windows Firewall aan de specifieke programma dat er wordt geschreven ontgrendelen, die zal hij toegang tot internet voor het verzenden en ontvangen van verkeersinformatie online geven. Zo, gegevens kunnen worden gestolen uit het besmette systeem en opdrachten kunnen vanuit een hacker worden verzonden door die nieuw opgerichte backdoor.

In januari 2017, andere variant van Zeus werd ontdekt, namelijk Terdot Zloader / Zbot. Hier, de Sundown Exploit Kit wordt gebruikt voor de distributie. Het Trojaanse paard is ook geïntegreerd legitieme applicaties binnen zijn pakket om detectie verder te voorkomen en om die apps voor kwaadaardige doeleinden te gebruiken. Interessant genoeg, mensen die de Russische taal op hun computer niet geïnfecteerd raken.

Uit 2016 tot op de dag, veel technische ondersteuning oplichting zijn met behulp van een waarschuwingsbericht dat beweert dat u bent besmet met het ZeuS Virus, zoals de in de screenshot hier beneden voorbeeld:

De volgende technische ondersteuning oplichting en één ransomware hebben ook geschreven dat uw pc is geïnfecteerd met ZeuS als schriktactiek:

• Porn Virus gedetecteerd Scam - Verwijder het
• Verwijderen 1-844-324-6233 Technische ondersteuning Scam (WinCpu.exe)
• Verwijder vindows Locker Virus en Restore .vindows Files

In de bovenstaande drie gevallen echter, je moet niet zo veel zorgen, omdat de echte ZeuS Trojan-virus zal waarschijnlijk niet op uw computer en het hebben besmet ZeuS virus alert bericht is nep.

Naast deze frauduleuze detecties die werden tentoongesteld, zijn er ook diverse andere detecties die werden gemeld te worden geassocieerd met de webbrowser software ook wel bekend als mogelijk ongewenste toepassingen. Dergelijke software wordt meestal glijdt op uw computer via wat velen naar verwijzen als het bundelen, dat is het wijzigen van het opzetten van een gratis programma om een ​​installatie stap om de ongewenste software toe te voegen. Gewoonlijk, bundeling begon als een marketing tool, maar nu wordt het ook gebruikt in verdachte websites als hulpmiddel, die tot doel heeft om dergelijke toepassingen in computers glibberen:

Omdat de apps in wezen worden geclassificeerd als type low-level van de bedreigingen, ze blijven actief op de computer, en kunnen beginnen om de instellingen te wijzigen op het web browsers, bijvoorbeeld Google Chrome, Microsoft Edge, Mozilla Firefox, Internet Explorer en anderen. Zodra deze instellingen worden gewijzigd, het web browsers kan de verdachte browser uitbreidingen toegevoegd aan hen, die kunnen veroorzaken:

• Online pop-ups.
• Browser redirects.
• gemarkeerde tekst.
• Overgenomen banners.

Zodra die zijn uitgevoerd, één van de omleidingen kan leiden tot derden weblinks die gewoon de gebruiker uit zijn browser vergrendelen en vertonen een pop-up met een boodschap aanspraak maken op de computer is geïnfecteerd met de Zeus virus. Maar dit is eigenlijk een nep-tech support scam, als doel om gebruikers in staat om de nummers in de valse berichten te bellen. De berichten zijn zeer overtuigend en kan zelfs worden begeleid door een robot geluid kennisgeving:

Hier zijn enkele voorbeelden van dergelijke meldingen:

“Windows gedetecteerd ZEUS Virus. De gedetecteerde infecties geven een aantal recente downloads op de computer die op zijn beurt heeft problemen veroorzaakt op de computer. Bel de technische ondersteuning 0800-014-8826, 1-844-557-5460 en deel deze code B2957E aan de Agent om dit te bevestigen.”

Wanneer dergelijke technische ondersteuning oplichting worden aangetroffen, Wij adviseren u om te controleren onze verwijdering video Om u te helpen zich te ontdoen van de technische ondersteuning scam en alle potentieel untanted's met betrekking tot deze.

In het geval dat u benieuwd was wat de Zeus malware is, of anderszins ook bekend als Zbot Virus, hier is de juiste plaats om uit te vinden. Onder, zult u de bestanden van het virus te zien en wat ze zouden kunnen zijn, hoe je het kan detecteren of het op uw computer stil en wachten we op een commando om uw gegevens te stelen ontvangen. Hier is hoe het te vinden, stap voor stap:

Met beheerdersrechten, op zoek naar deze mappen en bestanden:

• %systemroot% system32 sdra64.exe (malware)
• %systemroot% system32 lowsec
• %systemroot% system32 lowsec user.ds (gestolen gegevensbestand – versleutelde)
• %systemroot% system32 lowsec user.ds.lll (bestand voor gestolen gegevens - tijdelijk)
• %systemroot% system32 lowsec local.ds (configuratiebestand – versleutelde)

Zonder beheerdersrechten, op zoek naar deze mappen en bestanden:

• %AppData% sdra64.exe
• %AppData% lowsec
• %AppData% lowsec user.ds
• %AppData% lowsec user.ds.lll
• %AppData% lowsec local.ds

Het ZeuS virus Ook knoeien met het Windows-register, wijzigen van de volgende twee registry entries om ervoor te zorgen dat het laadt met beheerdersrechten:

→HKLM Software Microsoft Windows NT CurrentVersion Winlogon

De standaard is:
“Userinit” = “C:\WINDOWS system32 userinit.exe”

en het wordt veranderd in:
“Userinit” = “C:\WINDOWS system32 userinit.exe,C:\WINDOWS system32 sdra64.exe”

Als u geen beheerdersrechten hebben, op zoek naar deze string hier:

→HKCU Software Microsoft Windows CurrentVersion Run

Zeus Trojan horse virus voegt de volgende:
“Userinit” = “C:\Documenten en instellingen<gebruiker>\Application Data sdra64.exe”

Aantekening! Omdat er veel varianten van Zeus het uitvoerbare bestand kan variëren. Behalve de hierboven beschreven (sdra64.exe), de volgende die worden opgenomen om te worden gebruikt in het verleden, ook:

• ntos.exe
• oembios.exe
• twext.exe
• pdfupd.exe
• 73mendjd.exe (gebruikt in 2017)
• onlineservicesw.exe (gebruikt in 2017)

daarna, de Zeus Trojan horse wordt één van de hiervoor genoemde uitvoerbare code te injecteren gebruik in één van de volgende twee werkwijzen (afhankelijk van wat privileges slaagde te verwerven): winlogon.exe of explorer.exe. Die code-injectie wordt gemaakt met het doel om te verbergen Zeus onder andere processen, dus je kunt zo de gebruiker niets vermoeden. Code wordt vervolgens geïnjecteerd in andere processen en, om gegevens te stelen. Als u merkt dat een piek van activiteit in een algemeen proces van de Task Manager, bekijken, zoals je zou kunnen zijn besmet en zich niet bewust van het feit.

Als uw computer besmet met de Zeus Trojaans paard-virus, moet je een beetje ervaring hebben in het verwijderen van malware. U dient zich te ontdoen van dit Trojaans paard te krijgen zo snel mogelijk voordat het de kans om verder te verspreiden en besmetten andere computersystemen kan hebben. Je moet het virus te verwijderen en volg de stap-voor-stap instructies gids gaf beneden.

Over het ZeuS-onderzoek

De inhoud die we publiceren op SensorsTechForum.com, deze ZeuS how-to verwijderingsgids inbegrepen, is het resultaat van uitgebreid onderzoek, hard werken en de toewijding van ons team om u te helpen het specifieke trojan-probleem op te lossen.

Hoe hebben we het onderzoek naar ZeuS . uitgevoerd?

Houd er rekening mee dat ons onderzoek is gebaseerd op een onafhankelijk onderzoek. We hebben contact met onafhankelijke beveiligingsonderzoekers, waardoor we dagelijks updates ontvangen over de nieuwste malwaredefinities, inclusief de verschillende soorten trojans (achterdeur, downloader, infostealer, losgeld, etc.)

Bovendien, the research behind the ZeuS threat is backed with VirusTotal.

Om de dreiging van trojans beter te begrijpen, raadpleeg de volgende artikelen die deskundige details bieden:.