O malware AdKoob é um Trojan e seqüestrador vírus híbrido, que foi recentemente descoberto em uma campanha de ataque mundial. Ele é distribuído usando vários métodos e apresenta muitos módulos que são executados após a infecção. Nosso artigo oferece uma visão geral detalhada do processo de infecção e um guia de remoção completo sobre como excluir o malware AdKoob e restaurar os computadores das vítimas.
Resumo ameaça
| Nome | AdKoob |
| Tipo | navegador Hijacker, troiano |
| Pequena descrição | O malware AdKoop apresenta uma extensa lista de módulos configurados para roubar dados do usuário e modificar configurações confidenciais do sistema. |
| Os sintomas | As vítimas podem não sentir quaisquer sintomas aparentes de infecção. |
| distribuição Método | Instalações freeware, pacotes integrados, Scripts e outros. |
| Ferramenta de detecção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
| Experiência de usuário | Participe do nosso Fórum para discutir AdKoob. |
Malware AdKoob - Métodos de distribuição
A pesquisa sobre o malware AdKoob começou quando especialistas em segurança detectaram comportamento suspeito de um arquivo binário legítimo do Windows (svchost.exe). Durante a investigação, os especialistas foram capazes de identificar uma nova ameaça, resultando na descoberta da AdKoob. Isso mostra claramente que existe um método de entrega avançado usado para espalhar as cargas iniciais que levam à infecção. Existem vários cenários possíveis de como isso pode ser alcançado.
O primeiro método é a coordenação de Campanhas de email de spam que utilizam várias técnicas de phishing. Uma mensagem típica inclui elementos de design obtidos de empresas famosas ou serviços da Internet que tentam coagir os usuários da vítima a interagir com o elemento malicioso. O arquivo de carga útil do malware AdKoob pode ser anexado ou vinculado ao conteúdo do corpo.
A outra estratégia é criar sites falsos de download que são usados para hospedar as instâncias maliciosas. Normalmente, os arquivos de vírus que contêm o malware AdKoob vêm sob a forma de payloads infectados. Dois tipos principais são os seguintes:
- Documentos infectados —Os hackers podem agrupar a carga útil AdKoob em scripts que são incorporados em documentos: documentos de texto rico, planilhas ou apresentações. Quando eles são abertos pelas vítimas, um prompt de notificação irá aparecer pedindo aos usuários para habilitar as macros. Se isso for feito, a sequência de infecção será iniciada.
- Malware Software Instaladores - Usando um método semelhante, os criminosos podem baixar os arquivos de configuração legítimos de softwares populares. Este é um software frequentemente usado pelos usuários: aplicativos de produtividade, suítes de criatividade ou utilitários de sistema. Os instaladores resultantes são carregados para portais de download falsos ou vinculados nas mensagens de e-mail.
Da mesma forma, os criminosos por trás do malware AdKoob podem incorporar vários scripts maliciosos para redirecionar os usuários para os arquivos maliciosos. Existem muitos exemplos: Scripts, redirecionamentos, hiperlinks in-line, banners ou pop-ups.
As campanhas avançadas podem aproveitar seqüestradores de navegador - eles representam extensões maliciosas feitas para os navegadores mais populares. Os hackers utilizam credenciais de desenvolvedor falsas e análises de usuários, juntamente com uma descrição elaborada do item. Isso é usado para coagir as vítimas a instalá-lo. Os locais mais prováveis para encontrar esses tipos de malware são os portais de download falsos ou os repositórios de plug-ins oficiais. Depois de instaladas, essas extensões maliciosas seguem um padrão de comportamento comum - primeiro, elas modificarão as configurações padrão (pagina inicial, mecanismo de pesquisa ou a página de novas guias). Isso é seguido pela infecção por vírus e quaisquer outras ações de malware configuradas pelos hackers.
Malware AdKoob - Descrição detalhada
Aviso! O malware AdKoob é considerado uma ameaça híbrida Trojan / Hijacker.
A análise de segurança do malware AdKoob mostra que a sequência de ataque segue um padrão de comportamento de vários estágios. A carga útil é composta de um packer UPX de código aberto ou um injetor personalizado. A próxima etapa é injetar o código do malware no processo de host do serviço.
Após a infecção bem-sucedida, o malware AdKoob apresentará uma mensagem de erro falsa em um quadro de aplicativo “Impossível de localizar o componente” com o seguinte conteúdo:
O arquivo de configuração está faltando. A reinstalação do Easy Backup pode resolver este problema.
Isso mostra que a amostra capturada pode ser distribuída através de um instalador de software malicioso para um software de backup. A análise mostra que o principal mecanismo malicioso executa uma verificação de segurança procurando por uma string específica na pasta de serviço% appdata%. Isso está relacionado à configuração do vírus para ser executado apenas uma vez.
O motor foi encontrado para executar um módulo de proteção furtiva que protege o malware AdKoob da descoberta. Ele fará a varredura do sistema quanto à presença de programas antivírus, ambientes sandbox, máquinas virtuais e outros softwares que podem interferir em sua execução correta. Os motores em tempo real associados podem ser desativados e os programas completamente removidos.
Depois de concluído, o mecanismo de vírus irá prosseguir com a primeira fase do processo malicioso real. Vai começar a analise o registro do Windows e sequestrar dados sensíveis sobre o host e os usuários. Existem dois grupos principais de dados que geralmente são categorizados:
- Dados pessoais - É composto por informações que podem revelar detalhes sobre o usuário e expor sua identidade. Isso inclui conjuntos de dados, como seus nomes reais, interesses, número de telefone, localização e credenciais de conta armazenadas.
- campanha Metrics - Este conjunto de dados consiste em informações úteis para otimizar os ataques. Geralmente é composto de relatórios que fornecem detalhes sobre os componentes de hardware instalados e determinados valores do sistema operacional nas máquinas comprometidas.
Dependendo dos navegadores da web instalados e direcionados, o AdKoob usa diferentes técnicas de infiltração. Para versões mais antigas de Mozilla Firefox e Google Chrome o mecanismo malicioso tenta uma consulta SQL contra os bancos de dados integrados. Versões mais recentes de Mozilla Firefox utiliza outro método - eles armazenam as credenciais da conta em um arquivo JSON. O malware AdKoob contém código que pode consultar e extrair especificamente essas informações. Internet Explorer navegadores armazenam alguns valores do Registro do Windows. Ele também pode usar credenciais específicas para exfiltrar os dados confidenciais.
este comportamento de sequestrador de navegador é apenas a primeira parte do padrão de comportamento do malware. Em seguida, o vírus continuará com um módulo Trojan. Ele determina o endereço IP público do host infectado, fazendo uma solicitação a um serviço de Internet. UMA conexão segura é feito para servidores de comando e controle controlados por hackers. Isso relata a infecção, o fluxo descriptografado contém os seguintes valores:
- Identificador Único de Máquina
- Versão do Sistema Operacional
- IP Público
- Fuso horário local da máquina da vítima
- String de identificação do navegador
- Agente de usuário do navegador
- Credenciais codificadas em base64
- Identificador de bot
Malware AdKoob - operações de Trojan
Depois que o motor de Trojan é iniciado, ele procura por Sessões de Facebook. Ele estabelece uma conexão originada dos perfis da vítima. Existem dois métodos principais que são usados para executar esta operação:
- Cookies de autenticação armazenados - Isso é alcançado quando o malware AdKoob consegue encontrar os cookies por meio de uma infiltração de coleta de dados.
- Roubo de credenciais do navegador - O malware AdKoob tenta fazer login nos serviços se já tiver adquirido as credenciais do Facebook.
Parece que existem vários tipos específicos de informações que são pesquisados pelo malware:
- Facebook local - Este é o parâmetro que é usado para definir o idioma e a região configurados pelo usuário.
- ID de usuário do Facebook - Uma string que é usada para conectar os usuários do Facebook ao serviço social.
- Nome de usuário do perfil do Facebook - Os nomes de usuário escolhidos pelos usuários.
- Informação do usuário - Isso inclui todos os conjuntos de dados postados pelos usuários e exibidos em seus perfis: seu nome real, localização, aniversário, informações de contato e etc.
- Páginas do Facebook - Isso inclui uma lista das páginas do Facebook criadas pelo usuário.
O malware AdKoob então continua interagindo com uma interface que faz uma série de solicitações relacionadas a campanhas de publicidade paga. Quando usado por empresas, o AdKoob pode ser usado para fornecer, campanhas de anúncios direcionadas ou em massa nos hosts infectados. O painel administrativo permite que os operadores coordenar anúncios direcionados. As opções do menu apresentam várias opções e parâmetros específicos que podem ser alternados.
O mecanismo subjacente responsável por essas ações usa uma solicitação bidirecional e um método de resposta. Os hosts infectados relatam informações sobre as páginas de anúncios acessadas, enquanto a instância do servidor dá instruções específicas sobre as páginas escolhidas. Isso leva à construção de um ID de conta específico que, como resultado, cria uma consulta para a API Graph do Facebook - uma interface de API que é usada para consultar dados de uma conta do Facebook. A consulta resulta em dados sobre as campanhas publicitárias - nome, gastou dinheiro e limite de orçamento.
Este fato dá aos pesquisadores de segurança a noção de que Os operadores AdKoop têm como alvo usuários empresariais. Isso vem da premissa de que usuários domésticos regulares provavelmente não usarão campanhas de publicidade no Facebook. A informação colhida é exfiltrada e enviada para o C&servidores C.
Após a execução bem-sucedida de todos os componentes, o malware AdKoob remove todos os traços de si mesmo e deixa um arquivo de marcador específico que garante que o vírus não seja executado duas vezes.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga:
Preparation before removing AdKoob.
Antes de iniciar o processo de remoção real, recomendamos que você faça as seguintes etapas de preparação.
- Verifique se você tem estas instruções sempre aberta e na frente de seus olhos.
- Faça um backup de todos os seus arquivos, mesmo se eles poderiam ser danificados. Você deve fazer backup de seus dados com uma solução de backup em nuvem e segurar seus arquivos contra qualquer tipo de perda, até mesmo da maioria das ameaças graves.
- Seja paciente, pois isso pode demorar um pouco.
- Verificar malware
- Corrigir registros
- Remover arquivos de vírus
Degrau 1: Verifique se há AdKoob com a ferramenta SpyHunter Anti-Malware
Degrau 2: Limpe quaisquer registros, criado por AdKoob em seu computador.
Os registros normalmente alvo de máquinas Windows são os seguintes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Você pode acessá-los abrindo o editor de registro do Windows e excluir quaisquer valores, criado por AdKoob lá. Isso pode acontecer, seguindo os passos abaixo:
Gorjeta: Para encontrar um valor criado-vírus, você pode botão direito do mouse sobre ela e clique "Modificar" para ver qual arquivo é definido para ser executado. Se este é o local do arquivo de vírus, remover o valor.Degrau 3: Find virus files created by AdKoob on your PC.
1.Para Windows 8, 8.1 e 10.
Por mais recentes sistemas operacionais Windows
1: Em seu teclado, pressione + R e escrever explorer.exe no Corre caixa de texto e clique no Está bem botão.
2: Clique em o seu PC na barra de acesso rápido. Isso geralmente é um ícone com um monitor e seu nome é ou “Meu Computador”, "Meu PC" ou “Este PC” ou o que você nomeou-o.
3: Navegue até a caixa de pesquisa no canto superior direito da tela do seu PC e digite "extensão de arquivo:” e após o qual digite a extensão do arquivo. Se você está à procura de executáveis maliciosos, Um exemplo pode ser "extensão de arquivo:Exe". Depois de fazer isso, deixe um espaço e digite o nome do arquivo você acredita que o malware tenha criado. Aqui está como ele pode aparecer se o arquivo foi encontrado:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Para o Windows XP, Vista, e 7.
Para mais velhos sistemas operacionais Windows
Nos sistemas operacionais Windows mais antigos, a abordagem convencional deve ser a mais eficaz.:
1: Clique no Menu Iniciar ícone (normalmente em seu inferior esquerdo) e depois escolher o Procurar preferência.
2: Após as aparece busca janela, escolher Mais opções avançadas a partir da caixa assistente de pesquisa. Outra forma é clicando em Todos os arquivos e pastas.
3: Depois que tipo o nome do arquivo que você está procurando e clique no botão Procurar. Isso pode levar algum tempo após o qual resultados aparecerão. Se você encontrou o arquivo malicioso, você pode copiar ou abrir a sua localização por Botão direito do mouse nele.
Agora você deve ser capaz de descobrir qualquer arquivo no Windows, enquanto ele está no seu disco rígido e não é escondido via software especial.
AdKoob FAQ
What Does AdKoob Trojan Do?
The AdKoob troiano é um programa de computador malicioso projetado para atrapalhar, danificar, ou obter acesso não autorizado para um sistema de computador.
Pode ser usado para roubar dados confidenciais, obter controle sobre um sistema, ou iniciar outras atividades maliciosas.
Trojans podem roubar senhas?
sim, Trojans, like AdKoob, pode roubar senhas. Esses programas maliciosos are designed to gain access to a user's computer, espionar vítimas e roubar informações confidenciais, como dados bancários e senhas.
Can AdKoob Trojan Hide Itself?
sim, pode. Um Trojan pode usar várias técnicas para se mascarar, incluindo rootkits, criptografia, e ofuscação, para se esconder de scanners de segurança e evitar a detecção.
Um Trojan pode ser removido por redefinição de fábrica?
sim, um Trojan pode ser removido redefinindo o seu dispositivo para os padrões de fábrica. Isso ocorre porque ele restaurará o dispositivo ao seu estado original, eliminando qualquer software malicioso que possa ter sido instalado. Ter em mente, que existem Trojans mais sofisticados, que deixam backdoors e reinfectam mesmo após a redefinição de fábrica.
Can AdKoob Trojan Infect WiFi?
sim, é possível que um Trojan infecte redes Wi-Fi. Quando um usuário se conecta à rede infectada, o Trojan pode se espalhar para outros dispositivos conectados e pode acessar informações confidenciais na rede.
Os cavalos de Tróia podem ser excluídos?
sim, Trojans podem ser excluídos. Isso geralmente é feito executando um poderoso programa antivírus ou antimalware projetado para detectar e remover arquivos maliciosos. Em alguns casos, a exclusão manual do Trojan também pode ser necessária.
Trojans podem roubar arquivos?
sim, Trojans podem roubar arquivos se estiverem instalados em um computador. Isso é feito permitindo que o autor de malware ou usuário para obter acesso ao computador e, em seguida, roubar os arquivos armazenados nele.
Qual Anti-Malware Pode Remover Trojans?
Programas anti-malware como SpyHunter são capazes de verificar e remover cavalos de Tróia do seu computador. É importante manter seu anti-malware atualizado e verificar regularmente seu sistema em busca de software malicioso.
Trojans podem infectar USB?
sim, Trojans podem infectar USB dispositivos. Cavalos de Troia USB normalmente se espalham por meio de arquivos maliciosos baixados da Internet ou compartilhados por e-mail, allowing the hacker to gain access to a user's confidential data.
About the AdKoob Research
O conteúdo que publicamos em SensorsTechForum.com, this AdKoob how-to removal guide included, é o resultado de uma extensa pesquisa, trabalho árduo e a dedicação de nossa equipe para ajudá-lo a remover o problema específico do trojan.
How did we conduct the research on AdKoob?
Observe que nossa pesquisa é baseada em uma investigação independente. Estamos em contato com pesquisadores de segurança independentes, graças ao qual recebemos atualizações diárias sobre as definições de malware mais recentes, incluindo os vários tipos de trojans (Porta dos fundos, downloader, Infostealer, resgate, etc.)
além disso, the research behind the AdKoob threat is backed with VirusTotal.
Para entender melhor a ameaça representada por trojans, por favor, consulte os seguintes artigos que fornecem detalhes conhecedores.