AdvisorsBot Trojan é uma arma de hackers recentemente descoberta que está sendo distribuído contra alvos em todo o mundo. Seu motor modular permite que os operadores criminosos para realizar infecções complexas utilizando uma variedade de módulos. Nosso artigo analisa os exemplos típicos e mostra como os usuários podem remover infecções ativas.
Resumo ameaça
| Nome | Trojan AdvisorsBot |
| Tipo | troiano |
| Pequena descrição | O Trojan AdvisorsBot é um malware utilitário projetado para se infiltrar silenciosamente nos sistemas de computador, infecções ativas vai espionar os usuários vítima. |
| Os sintomas | As vítimas podem não sentir quaisquer sintomas aparentes de infecção. |
| distribuição Método | Instalações freeware, pacotes integrados, Scripts e outros. |
| Ferramenta de detecção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
| Experiência de usuário | Participe do nosso Fórum Discutir AdvisorsBot Trojan. |
Trojan AdvisorsBot - Métodos de distribuição
O Trojan AdvisorsBot foi encontrado em uma campanha de ataque recente, as primeiras ocorrências foram relatadas em maio 2018. Parece que as tentativas de infiltração em andamento visam principalmente empresas e negócios: restaurantes, provedores de telecomunicações e hotéis. Parece que os hackers estão usando-o como uma arma de infiltração global - relatórios de máquinas infectadas foram recebidos de diferentes partes do mundo.
Um dos métodos de distribuição mais populares para espalhar o Trojan AdvisorsBot é a distribuição coordenada de mensagens de e-mail. Os hackers usam vários modelos que tentam chantagear as vítimas fazendo-as pensar que estão recebendo mensagens de parceiros, cliente ou serviços de Internet que eles usam. A interação com eles levará à infecção por malware. Exemplos de táticas de engenharia social incluem os seguintes tipos de mensagem:
- Falsa reclamação de cliente - Os proprietários e funcionários do hotel podem receber uma mensagem falsa que parece vir de um hóspede, alegando que foi cobrado o dobro pela reserva de um quarto ou serviço. Os e-mails apresentam um documento rich text (.doc formato de arquivo do Word) contendo mais informações sobre o incidente.
- Intoxicação alimentar em restaurantes - Os gerentes de restaurantes podem receber mensagens alegando ter sido enviadas por clientes insatisfeitos. Os criminosos fingem ter sido clientes da empresa-alvo e que foram envenenados pela comida oferecida. Eles declaram que irão abrir um processo contra a empresa e que o documento anexo apresenta detalhes do caso de um advogado ou relatório médico de um médico.
- Envio de currículo falso - Os provedores de serviços de telecomunicações podem receber envios de currículos para vagas em aberto. Os arquivos anexados incluirão macros perigosas que, após a ativação, levarão a infecções por vírus.
- Atualizações de software - A equipe pode receber mensagens falsas que parecem ter sido enviadas pelos fornecedores que mantêm o software usado em seus negócios. As mensagens parecem uma notificação de atualização de software com um hiperlink ou anexo direto para um arquivo executável. Após a interação com ele, a infecção do vírus será desencadeada.
Esses cenários também dependem da criação de vários sites falsos de download. Eles são usados para chantagear os usuários fazendo-os pensar que acessaram a página de download de um fornecedor ou um portal popular onde podem adquirir documentos ou instaladores de aplicativos.
Um mecanismo popular para espalhar o Trojan AdvisorsBot é incorporar o código do vírus em payloads infectados. Dois dos tipos mais populares incluem o seguinte:
- documentos - Os documentos infectados por macro podem ser feitos em vários tipos: documentos de texto rico, apresentações, bancos de dados e planilhas. Assim que forem abertos pelos usuários vítimas, um prompt de notificação aparecerá pedindo-lhes para habilitar as macros integradas. Isso irá disparar os comandos que irão baixar a ameaça de um site remoto e executá-la no computador local.
- aplicação instaladores - O código de Trojan pode ser incorporado em arquivos de configuração de software popular: utilidades do sistema, suites criatividade e aplicativos de produtividade. Eles são feitos pegando os instaladores legítimos dos sites oficiais de download do fornecedor e agrupando a carga útil do Trojan.
Campanhas de infecção avançada podem fazer uso de seqüestradores de navegador como outro método de entrega. Eles representam extensões maliciosas que são descritas como adições úteis aos navegadores da web e são mais frequentemente encontradas nos repositórios associados. Isso é feito por meio de análises de usuários e credenciais de desenvolvedor falsas, juntamente com uma descrição detalhada das melhorias prometidas. Assim que os plug-ins forem instalados, os comandos integrados modificarão as configurações, redirecionando os usuários para um site controlado por hacker. Em seguida, a próxima etapa seria implantar o Trojan AdvisorsBot para os hosts infectados.
Trojan AdvisorsBot - Descrição detalhada
A análise de segurança do Trojan AdvisorsBot capturado mostra que ele apresenta um algoritmo de infecção complexo. Enquanto as versões anteriores do aproveitaram infecções de carga útil por meio de documentos e outras estratégias comuns, versões posteriores mudaram para um padrão passo a passo.
As macros, cargas úteis e outros métodos de infecção executam um script PowerShell que baixa outro conjunto de scripts. O segundo dropper baixa a instância do Trojan e executa a infecção real do Trojan sem gravar nenhum arquivo de log no disco.
Assim que a ameaça é implantada, uma série de medidas de detecção de anti-spyware Será lançado. Isso é feito examinando o computador local em busca de sinais de aplicativos instalados que podem interferir na infecção por vírus: software anti-vírus, hosts de máquina virtual ou ambientes de depuração. Seus motores em tempo real podem ser ignorados ou totalmente removidos.
Outras ações incluem a adição de instruções extras e instruções de código do sistema que podem tornar mais difícil realizar análises nas amostras capturadas. Isso significa que mesmo quando colocado sob observação por um pesquisador de segurança ou administrador do sistema, pode ser difícil descobrir que pode haver uma infecção ativa.
Esta etapa pode ser acompanhada por um colheita de dados módulo. ele pode coletar dados confidenciais que podem ser agrupados em dois tipos principais:
- Dados pessoais - Essas informações podem ser usadas para expor a identidade dos usuários. Isso é feito programando o mecanismo para coletar informações como seu nome, endereço, número de telefone, interesses, localização e conta credenciais.
- Métricas de otimização de campanha - O mecanismo pode recuperar informações que podem ser usadas para otimizar as campanhas de ataque em andamento. A maior parte da colheita usada para esta finalidade inclui um relatório dos componentes de hardware instalados e certos valores do sistema operacional.
A análise do Trojan AdvisorsBot mostra que o componente de impressão digital pode processar os dados coletados e adaptar o vírus aos hosts infectados.
Trojan AdvisorsBot - Operações de Trojan
O objetivo principal do Trojan AdvisorsBot é permitir que os hackers controlem os computadores infectados. A maneira mais comum de conseguir isso é criar uma conexão segura com um servidor controlado por hacker. A conexão criptografada será mantida durante a presença do Trojan e permite que os hackers espionem constantemente as vítimas, assumir o controle de suas máquinas e implantar ameaças adicionais.
A análise mostra que algumas das características notáveis encontradas neste vírus é sua capacidade de capturar automaticamente as imagens que são codificadas usando uma cifra especial e transferidas para os operadores. O outro recurso exclusivo é a capacidade de acessar o Microsoft Outlook instalado e recuperar todas as credenciais de conta armazenadas.
Um dos usos possíveis deste Trojan é executar golpes de engenharia social com a ajuda de elementos interativos e manipulação de sistema. O cenário mais comum é conectar-se aos navegadores da web e monitorar os logins em serviços confidenciais da Internet - gateways de pagamento, sites de bancos e etc. Sempre que um usuário acessa um determinado site, os criminosos podem redirecioná-los automaticamente para uma página de login falsa., em muitos casos, eles nem perceberão a mudança de página. Sempre que as credenciais da conta forem inseridas, elas serão enviadas automaticamente para os controladores. Em certas configurações, isso pode ser feito de uma forma mais intrusiva, instalando um componente keylogger. Ele irá coletar automaticamente todas as teclas digitadas e movimentos do mouse.
O código de Trojan também pode ser programado para realizar modificações no sistema tal como a seguir:
- Alterações de Registro do Windows - O Trojan pode ser instruído a modificar as entradas de registro pertencentes ao sistema. Se aqueles relacionados aos componentes de serviço, o desempenho geral pode sofrer muito. Além disso, se os aplicativos instalados pelo usuário forem afetados, certas funções podem parar de funcionar corretamente.
- Exclusão de dados do sistema - Para tornar a recuperação mais difícil, o código do vírus pode excluir os dados de restauração do sistema identificados e as cópias de volume de sombra. Isso significa que as vítimas terão que recorrer a uma solução profissional de restauração. Consulte nossas instruções para obter mais informações.
- Instalação do mineiro - Muitos vírus mais recentes podem instalar um minerador de criptomoeda que aproveitará os recursos do sistema disponíveis para realizar cálculos complexos. Em troca dos resultados relatados, os operadores de hackers receberão fundos na forma de moedas digitais, como Bitcoin e Monero.
Foi descoberto que o Trojan AdvisorsBot contém um motor modular, o que significa que para cada campanha de ataque os hackers podem preparar instruções diferentes. Nas mãos de criminosos experientes, esta pode ser uma arma realmente poderosa que pode ser usada tanto para implantar outras cargas maliciosas quanto para realizar diferentes ataques fraudulentos.
Remover Trojan AdvisorsBot
Se o seu sistema de computador foi infectado com o AdvisorsBot troiano, você deve ter um pouco de experiência na remoção de malware. Você deve se livrar deste Trojan o mais rápido possível antes que ele possa ter a chance de se espalhar ainda mais e infectar outros computadores. Você deve remover o Trojan e siga o passo-a-passo guia de instruções fornecido abaixo.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga:
Preparation before removing AdvisorsBot Trojan.
Antes de iniciar o processo de remoção real, recomendamos que você faça as seguintes etapas de preparação.
- Verifique se você tem estas instruções sempre aberta e na frente de seus olhos.
- Faça um backup de todos os seus arquivos, mesmo se eles poderiam ser danificados. Você deve fazer backup de seus dados com uma solução de backup em nuvem e segurar seus arquivos contra qualquer tipo de perda, até mesmo da maioria das ameaças graves.
- Seja paciente, pois isso pode demorar um pouco.
- Verificar malware
- Corrigir registros
- Remover arquivos de vírus
Degrau 1: Procure por Trojan AdvisorsBot com a ferramenta SpyHunter Anti-Malware
Degrau 2: Limpe quaisquer registros, criado por AdvisorsBot Trojan em seu computador.
Os registros normalmente alvo de máquinas Windows são os seguintes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Você pode acessá-los abrindo o editor de registro do Windows e excluir quaisquer valores, criado por AdvisorsBot Trojan lá. Isso pode acontecer, seguindo os passos abaixo:
Gorjeta: Para encontrar um valor criado-vírus, você pode botão direito do mouse sobre ela e clique "Modificar" para ver qual arquivo é definido para ser executado. Se este é o local do arquivo de vírus, remover o valor.Degrau 3: Find virus files created by AdvisorsBot Trojan on your PC.
1.Para Windows 8, 8.1 e 10.
Por mais recentes sistemas operacionais Windows
1: Em seu teclado, pressione + R e escrever explorer.exe no Corre caixa de texto e clique no Está bem botão.
2: Clique em o seu PC na barra de acesso rápido. Isso geralmente é um ícone com um monitor e seu nome é ou “Meu Computador”, "Meu PC" ou “Este PC” ou o que você nomeou-o.
3: Navegue até a caixa de pesquisa no canto superior direito da tela do seu PC e digite "extensão de arquivo:” e após o qual digite a extensão do arquivo. Se você está à procura de executáveis maliciosos, Um exemplo pode ser "extensão de arquivo:Exe". Depois de fazer isso, deixe um espaço e digite o nome do arquivo você acredita que o malware tenha criado. Aqui está como ele pode aparecer se o arquivo foi encontrado:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Para o Windows XP, Vista, e 7.
Para mais velhos sistemas operacionais Windows
Nos sistemas operacionais Windows mais antigos, a abordagem convencional deve ser a mais eficaz.:
1: Clique no Menu Iniciar ícone (normalmente em seu inferior esquerdo) e depois escolher o Procurar preferência.
2: Após as aparece busca janela, escolher Mais opções avançadas a partir da caixa assistente de pesquisa. Outra forma é clicando em Todos os arquivos e pastas.
3: Depois que tipo o nome do arquivo que você está procurando e clique no botão Procurar. Isso pode levar algum tempo após o qual resultados aparecerão. Se você encontrou o arquivo malicioso, você pode copiar ou abrir a sua localização por Botão direito do mouse nele.
Agora você deve ser capaz de descobrir qualquer arquivo no Windows, enquanto ele está no seu disco rígido e não é escondido via software especial.
Perguntas frequentes sobre o Trojan AdvisorsBot
What Does AdvisorsBot Trojan Trojan Do?
The AdvisorsBot Trojan troiano é um programa de computador malicioso projetado para atrapalhar, danificar, ou obter acesso não autorizado para um sistema de computador.
Pode ser usado para roubar dados confidenciais, obter controle sobre um sistema, ou iniciar outras atividades maliciosas.
Trojans podem roubar senhas?
sim, Trojans, como AdvisorsBot Trojan, pode roubar senhas. Esses programas maliciosos are designed to gain access to a user's computer, espionar vítimas e roubar informações confidenciais, como dados bancários e senhas.
Can AdvisorsBot Trojan Trojan Hide Itself?
sim, pode. Um Trojan pode usar várias técnicas para se mascarar, incluindo rootkits, criptografia, e ofuscação, para se esconder de scanners de segurança e evitar a detecção.
Um Trojan pode ser removido por redefinição de fábrica?
sim, um Trojan pode ser removido redefinindo o seu dispositivo para os padrões de fábrica. Isso ocorre porque ele restaurará o dispositivo ao seu estado original, eliminando qualquer software malicioso que possa ter sido instalado. Ter em mente, que existem Trojans mais sofisticados, que deixam backdoors e reinfectam mesmo após a redefinição de fábrica.
Can AdvisorsBot Trojan Trojan Infect WiFi?
sim, é possível que um Trojan infecte redes Wi-Fi. Quando um usuário se conecta à rede infectada, o Trojan pode se espalhar para outros dispositivos conectados e pode acessar informações confidenciais na rede.
Os cavalos de Tróia podem ser excluídos?
sim, Trojans podem ser excluídos. Isso geralmente é feito executando um poderoso programa antivírus ou antimalware projetado para detectar e remover arquivos maliciosos. Em alguns casos, a exclusão manual do Trojan também pode ser necessária.
Trojans podem roubar arquivos?
sim, Trojans podem roubar arquivos se estiverem instalados em um computador. Isso é feito permitindo que o autor de malware ou usuário para obter acesso ao computador e, em seguida, roubar os arquivos armazenados nele.
Qual Anti-Malware Pode Remover Trojans?
Programas anti-malware como SpyHunter são capazes de verificar e remover cavalos de Tróia do seu computador. É importante manter seu anti-malware atualizado e verificar regularmente seu sistema em busca de software malicioso.
Trojans podem infectar USB?
sim, Trojans podem infectar USB dispositivos. Cavalos de Troia USB normalmente se espalham por meio de arquivos maliciosos baixados da Internet ou compartilhados por e-mail, allowing the hacker to gain access to a user's confidential data.
Sobre a AdvisorsBot Trojan Research
O conteúdo que publicamos em SensorsTechForum.com, este guia de instruções de remoção do Trojan AdvisorsBot incluído, é o resultado de uma extensa pesquisa, trabalho árduo e a dedicação de nossa equipe para ajudá-lo a remover o problema específico do trojan.
Como conduzimos a pesquisa sobre o AdvisorsBot Trojan?
Observe que nossa pesquisa é baseada em uma investigação independente. Estamos em contato com pesquisadores de segurança independentes, graças ao qual recebemos atualizações diárias sobre as definições de malware mais recentes, incluindo os vários tipos de trojans (Porta dos fundos, downloader, Infostealer, resgate, etc.)
além disso, the research behind the AdvisorsBot Trojan threat is backed with VirusTotal.
Para entender melhor a ameaça representada por trojans, por favor, consulte os seguintes artigos que fornecem detalhes conhecedores.