Huis > Cyber ​​Nieuws > De nieuwe Scranos Rookit kan uw systeem op meerdere manieren beschadigen
CYBER NEWS

New Scranos Rookit kan beschadigen uw systeem op verschillende manieren

Scranos is de naam van een nieuwe rootkit enabled spyware die ondanks zijn huidige verfijning lijkt te zijn “lopende werkzaamheden". Bitdefender onderzoekers onlangs ontdekt dat de exploitanten van Scranos voortdurend testen van nieuwe onderdelen op de reeds geïnfecteerde gebruikers en regelmatig aanbrengen van kleine verbetering ten opzichte van de oude componenten.

bedreiging Samenvatting

Naam Scranos
Type Spyware, Rootkit, Adware
Korte Omschrijving Scranos is een geavanceerde spyware uitgerust met een rootkit driver, die een reeks van kwaadaardige activiteiten kunnen uitvoeren. Zie artikel voor meer informatie.
Symptomen Afhankelijk van de ontvangen instructies, de malware kan stelen van inloggegevens voor diverse diensten, extract browsen geschiedenissen, injecteren JavaScript, etc. Het kan ook langskomen andere kwaadaardige payloads.
Distributie Methode Trojanized Apps, Gebarsten Software
Detection Tool Zien of je systeem is getroffen door malware

Download

Malware Removal Tool

Gebruikerservaring Word lid van onze Forum om te bespreken Scranos.
Data Recovery Tool Windows Data Recovery door Stellar Joego kennisgeving! Dit product scant uw schijf sectoren om verloren bestanden te herstellen en het kan niet herstellen 100% van de gecodeerde bestanden, maar slechts weinigen van hen, afhankelijk van de situatie en of u uw schijf hebt geformatteerd.

Scranos Spyware in Detail

Volgens het laatste rapport, de spyware bevat verschillende componenten die verschillende doelen kunnen dienen en kunnen worden ingezet in diverse scenario.

Enkele van de meest cruciale onderdelen die komen met Scranos hebben de volgende mogelijkheden:

– Extract koekjes en steelt inloggegevens van populaire browsers zoals Google Chrome, chromium, Mozilla – Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser en Yandex Browser.
– Steal gebruikers betaalrekeningen van Facebook, Amazon en Airbnb webpagina's.
– Stuur vriend verzoeken tot andere accounts, van de gebruiker Facebook-account.
– Stuur phishing-berichten naar de geïnfecteerde gebruiker Facebook-vrienden die kwaadaardige APK gebruikt om Android-gebruikers te infecteren en bevatten.
– Steal aanmeldingsgegevens voor het account van de gebruiker op Steam.
– Injecteren JavaScript adware in Internet Explorer.
– Chrome installeren / Opera extensies die dienen om JavaScript adware op deze browsers injecteren.
– Exfiltrate browsegeschiedenis.
– Zwijgend tonen advertenties of gedempt YouTube-video's aan gebruikers via Chrome. De onderzoekers ontdekten een aantal druppelaars dat Chrome kunt installeren als deze nog niet op de computer van het slachtoffer.
– Abonneer je gebruikers in staat om YouTube-video-kanalen.
– Downloaden en uitvoeren van toepassing payload.

Hoe Is Scranos Spyware Spread?

Niet verrassend, de malware wordt verspreid via Trojanized toepassingen in de vorm gekraakte software, of software die zich voordeed als nuttig als e-book readers, videospelers, drivers of zelfs anti-malware producten, aldus de onderzoekers.

Bij uitvoering, Scranos installeert ook een rootkit driver om de malware te vermommen en maken het aanhoudende op het systeem. De volgende stap van de infectie keten is “bellen thuis” en ontvangen van commando over wat andere componenten te downloaden en te installeren. Het rapport zegt dat Scranos infecteert gebruikers op een wereldwijde schaal, met India, Roemenië, Frankrijk, Italië en Indonesië hebben voorkomende infecties.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/anubisspy-android-capabilities/”] AnubisSpy Android Spyware met steeds verontrustender Capabilities.

Het is opmerkelijk dat alle geïdentificeerde Scranos samples bevestigen dat deze operatie is in een consolidatiefase:

de oudste monsters die dateren tot november 2018, met een enorme piek in december en januari. Echter, in maart 2019, de command and control servers begon te duwen andere stammen van malware - een duidelijke indicatie dat het netwerk nu is gelieerd aan derden in pay-per installeren regelingen.

De malware is ook in staat van interactie met specifieke websites voor rekening van het slachtoffer. Specifieker, de malware wordt actief promoten vier YouTube-video's op verschillende kanalen.
Wat betreft de rootkit driver, het maakt gebruik van een effectieve persistentie mechanisme van zichzelf bij het afsluiten herschrijven maar het doet zich niet verbergen. Rootkit injecteert een downloader een rechtmatig proces, die dan downloadt een of meer nuttige ladingen.

Merk op dat de rootkit niet beschermd is tegen wissen indien ontdekt. Naast de bestuurder zelf, geen andere componenten kan worden gevonden op de harde schijf, als ze worden verwijderd na het uitvoeren. Echter, kunnen ze opnieuw worden gedownload indien nodig, stelt het rapport.

Om een ​​lang verhaal kort te maken, gebruikers moeten uiterst voorzichtig zijn met hun online gedrag. Deze malware is nog een herinnering aan hoe geavanceerde aanvallen worden steeds. Bijvoorbeeld één van de nuttige ladingen van de Scranos campagne is het manipuleren van andere pagina's in plaats van YouTube, door interactie met advertenties getoond binnen deze pagina's:

Hoe te verwijderen Scranos Spyware

Vanzelfsprekend, rootkits en spyware zijn heel sluw en daarom, uitdagend om te verwijderen. Er zijn stappen echter, dat kan uw systeem van de malware en de rootkit component ontdoen:

1. Sluit uw browser(s).
2. Dood alle processen die van tijdelijke pad. Verwijder bestanden die worden gedetecteerd als kwaadaardige.
3. Dood rundll32.exe proces.
4. Genereer de naam rootkit bestand als volgt:
– Krijg SID huidige gebruiker.
– Bereken MD5 van de snaar het gevolg van een).
– Klik hier voor de eerste 12 karakters uit b).
5. Voer een cmd of PowerShell-venster met beheerdersrechten en het type: > Sc stop sc delete SYS en het bestand te verwijderen.
7. Verwijder de DNS-driver (onder, MOIYZBWQSO moet worden vervangen door uw specifieke naam van het stuurprogramma):
– Controleer of de DNS-driver is geïnstalleerd: in% TEMP% een bestand met zou moeten zijn 10 willekeurige hoofdletters (ex: MOIYZBWQSO. sys). In het register is er ook een toets die overeenkomt met de naam moet (ex: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MOIYZBWQSO)
– Voer een cmd of PowerShell-venster met beheerdersrechten en het type:
– sc stop MOIYZBWQSO
– sc MOIYZBWQSO verwijderen –
– Verwijder het bestand% TEMP% MOIYZBWQSO.sys 8) Reb oot uw pc naar de geïnjecteerde code van de svchost.exe proces te verwijderen. 9. Verwijder eventuele verdachte verlengstuk van uw browser.
10. Verander al uw wachtwoorden.

Milena Dimitrova

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...