O Astaroth Trojan é uma arma perigosa usada contra usuários de computadores em todo o mundo. Ele infecta principalmente através de instaladores de software infectados. Nosso artigo dá uma visão geral do seu comportamento de acordo com as amostras recolhidas e os relatórios disponíveis, Também pode ser útil na tentativa de remover o vírus.
Resumo ameaça
| Nome | Astaroth Trojan |
| Tipo | troiano |
| Pequena descrição | O Trojan Astaroth é um vírus de computador projetado para se infiltrar silenciosamente em sistemas de computadores. |
| Os sintomas | As vítimas podem não sentir quaisquer sintomas aparentes de infecção. |
| distribuição Método | Vulnerabilidades de software, Instalações freeware, pacotes integrados, Scripts e outros. |
| Ferramenta de detecção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
| Experiência de usuário | Participe do nosso Fórum Discutir o Trojan Astaroth. |
Astaroth Trojan – atualização de maio 2020
A mais nova estratégia em torno da distribuição de amostras do Astaroth Trojan inclui uma reviravolta na estratégia do hacker. No Maio 2020 uma nova amostra foi capturada por analistas de segurança que documentam novos recursos e uma nova estratégia de infecção.
Muito melhorado recurso de desvio de segurança é implementado — ele examinará ativamente o sistema contaminado em busca de programas instalados que possam interferir nele e desativá-los. Isso também funciona em ambientes sandbox e hosts de máquinas virtuais.
A mais nova estratégia usada para espalhar o Astaroth envolve a criação de Canais do YouTube que contêm um link para os servidores de comando e controle do Trojan. Isso pode ser feito de maneira automatizada ou invadindo contas já existentes. Mensagens de email de phishing continuam sendo enviados aos usuários de destino. Um link que leva ao Trojan é colocado no conteúdo, assim que os usuários clicarem neles, o comando de download será emitido, levando à infecção.
Lembramos aos leitores que o Trojan Astaroth é distribuído em um maneira de várias etapas — a infecção não começará imediatamente. Uma instalação do primeiro estágio envolve a ativação de um sequência de implantação complexa.
Quando as vítimas clicam no URl do malware, isso ativa um script iFrame que leva ao download de um arquivo ZIP hospedado em uma pasta do Google. Os hackers criaram contas para usar os serviços gratuitos de hospedagem de arquivos na nuvem, como o Google Drive.
Um arquivo LNK dentro dele recuperará um arquivo JavaScript que iniciará a sequência de implantação real. Um JavaScript de acompanhamento recuperará um serviço Bitsadmin que baixará dos servidores controlados por hackers os arquivos DLL do Trojan do terceiro estágio — eles são usados para controlar os processos maliciosos. Usando uma função no sistema operacional, esses arquivos DLL serão carregados na memória e o Trojan Astaroth começará a funcionar.
Antes de emitir outras ações, o recurso de desvio de segurança será executado para desativar os serviços de segurança ativos. Somente quando este estágio concluir, as outras ações de malware ocorrerão.
No momento, as campanhas ativas parecem usuários-alvo no Brasil, como outras infecções contemporâneas, as mensagens de phishing são temáticas com notificações relacionadas ao COVID-19.
Trojan Astaroth Mais informações
Algumas das novas amostras associadas ao Trojan Astaroth foram descobertas por pesquisadores de segurança. Seu método de distribuição é através do uso de phishing táticas no entanto, em vez de confiar nos mecanismos tradicionais de orquestrar campanhas ou sites de email em massa, eles escolhem espalhar a ameaça por meio de perfis de redes sociais. Eles são roubados ou gerados automaticamente e utilizam o Facebook e o YouTube. Eles são escolhidos porque esses sites são uma das comunidades mais ativas do mundo e os hackers podem atingir um amplo público.
Os ataques capturados parecem estar localizados para usuários brasileiros e o padrão de configuração contatado parece ser muito complexo. O conta-gotas inicial irá interagir com o Windows Management Instrumentation Console (WMIC) serviço do sistema operacional Microsoft Windows para recuperar seus componentes.
As táticas de phishing também usam mensagens de email enviadas como uma medida de suporte:
- Fatura falsa
- Bilhete falso
- Notificação de Processo Civil Falsa
Quando os usuários interagem com os e-mails ou com a rede social, eles levam ao download de um arquivo .ZIP contendo um arquivo .LNK. Quando aberto, ele executa um código JavaScript que leva à infecção pelo Trojan Astaroth.
Trojan Astaroth - Métodos de distribuição
O Trojan Astaroth está sendo espalhado em uma campanha em andamento, os relatórios indicam que a maioria das vítimas afetadas é do Brasil e da Europa. Esta é uma ameaça muito perigosa, pois usa o método de explorando vulnerabilidades nas máquinas, especificamente uma fraqueza em um produto antivírus popular (avast!). O mecanismo é incomum - os hackers abusam do serviço legítimo do Windows chamado BITSAdmin que é usado para baixar, carregar e gerenciar trabalhos, parte de “Background Intelligent Transfer Service” recurso disponível para desenvolvedores do Windows. Em vez de programá-lo para as tarefas usuais, ele é programado para baixar ameaças de malware, neste caso, o Trojan Astaroth.
Mensagens de phishing por email enviadas de maneira semelhante a SPAM são enviadas aos destinos representando a Microsoft ou outros fornecedores confiáveis. Eles possuem anexos de arquivo no formato .7zip. Quando aberto no interior, haverá um arquivo .lnk que, quando executado, gerará o processo wmic.exe relevante. Isso levará a um ataque conhecido como “Ataque de processamento de script XSL”.
Na prática, os hackers abusam de um binário confiável que executará o script, seqüestrando o processo antivírus Avast. De acordo com os relatórios de segurança, isso não é uma injeção ou uma escalação de privilégios. Em vez disso, os binários do avast são programados para executar os arquivos de malware. O próprio avast engine contém um mecanismo de autoproteção que não permite nenhum abuso do próprio aplicativo. Atualmente, o fornecedor está corrigindo o software.
A identidade dos criminosos não é conhecida no momento, uma investigação está em andamento sobre as possíveis origens da ameaça. Prevemos que esse mecanismo de infecção baseado em carga útil possa ser usado com outros métodos semelhantes:
- Documentos infectados - Os criminosos o script de instalação do vírus em documentos em todas as variantes populares: documentos de texto, Planilhas, bases de dados e apresentações. Quando eles são abertos, um prompt de execução de macros aparecerá pedindo aos usuários da vítima que habilitem os scripts, o motivo citado é que isso é necessário para visualizar corretamente os arquivos.
- Infected instaladores de aplicativos - Os criminosos podem pegar os instaladores de aplicativos populares e modificá-los para incluir o Trojan Astaroth. Isso é feito adquirindo os arquivos de instalação legítimos de suas fontes oficiais e inserindo o código de instalação de vírus apropriado. Normalmente, os aplicativos que são baixados com frequência pelos usuários finais: utilidades do sistema, suites criatividade, aplicativos de produtividade e etc.
- Redes de compartilhamento de arquivos - Os arquivos podem ser espalhados por redes ponto a ponto como o BitTorrent, populares por distribuir conteúdo legítimo e pirata.
Trojan Astaroth - Descrição detalhada
Assim que a infecção pelo Trojan Astaroth for desencadeada, uma série de ações perigosas ocorrerá. O utilitário BITSAdmin relevante será programado para baixar uma carga maliciosa de um servidor controlado por hacker predefinido. A análise do código revela que o malware é ofuscado como arquivos de imagem ou dados sem uma extensão específica. Isso é feito para evitar verificações antivírus regulares.
Prevemos que versões futuras podem incluir um ignorar a segurança que pode localizar software de segurança que potencialmente pode bloquear a execução de vírus: produtos anti-vírus, firewalls, Os sistemas de detecção de intrusões e hospedeiros de máquinas virtuais.
Um componente perigoso que faz parte da base de código do Trojan é o módulo de coleta de informações:
- Informação pessoal - O mecanismo Trojan é capaz de adquirir dados que podem ser usados para expor diretamente a identidade das vítimas, procurando por strings, como o nome real de uma pessoa., apelidos, interesses, número de telefone, endereço e quaisquer credenciais de conta armazenadas. As informações coletadas podem ser usadas para vários crimes, incluindo abuso financeiro, roubo de identidade e chantagem.
- Informações da máquina - O mecanismo Trojan pode criar um identificador atribuído a cada máquina comprometida. Isso é feito usando um algo que tira seus parâmetros de entrada de valores como a lista de peças de hardware instalada, configurações de usuário e certos valores ambiente de sistema operacional.
As informações coletadas serão enviadas aos controladores criminais por meio de um conexão de rede ao seu C&servidores C. Isso permite que eles assumam o controle das máquinas vítimas, roubo de arquivos e espionar os usuários. O mais perigoso é que o Trojan pode ser programado para interagir com o Windows Volume Manager, permitindo assim acessar dispositivos de armazenamento removíveis e compartilhamentos de rede.
Outras ações maliciosas que podem ser seguidas incluem o seguinte:
- Instalação persistente - O código do Trojan Astaroth será iniciado toda vez que o computador for ligado. Esta etapa na maioria dos casos também desabilitará o acesso às opções do menu de inicialização, tornando inúteis a maioria das guias manuais de remoção do usuário..
- Alterações de Registro do Windows - A modificação dos valores do Registro do Windows é uma ação comum realizada por muitos malwares desta categoria. Alterações nas strings usadas pelo sistema operacional podem causar problemas gerais de degradação e estabilidade do desempenho. Se quaisquer valores de aplicativos ou serviços de terceiros forem alterados, os programas acompanhantes poderão fechar inesperadamente com erros.
- Entrega adicional Payload - O cliente Trojan pode ser programado para baixar outras ameaças aos computadores infectados.
- Remoção de dados - Arquivos importantes podem ser excluídos automaticamente assim que a infecção pelo Astaroth Trojan for acionada. Os dados comuns a serem removidos incluem pontos de restauração do sistema, Cópias e backups de volumes de sombra. A restauração eficaz dos computadores comprometidos é feita usando uma combinação de um utilitário anti-spyware eficaz e um programa de recuperação de dados.
Dependendo das versões futuras e da campanha de ataque futuro, podemos ver um lançamento radicalmente diferente do Astaroth Trojan em um futuro próximo.
Remover completamente o Astaroth Trojan
Remover Astaroth Trojan manualmente a partir de seu computador, seguir a remoção tutorial passo-a-passo reduzidos para baixo. Caso esta remoção manual não se livrar do malware mineiro completamente, você deve procurar e remover quaisquer itens que sobraram com uma ferramenta anti-malware avançado. Esse tipo de software pode manter seu computador seguro no futuro.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga:
Preparation before removing Astaroth Trojan.
Antes de iniciar o processo de remoção real, recomendamos que você faça as seguintes etapas de preparação.
- Verifique se você tem estas instruções sempre aberta e na frente de seus olhos.
- Faça um backup de todos os seus arquivos, mesmo se eles poderiam ser danificados. Você deve fazer backup de seus dados com uma solução de backup em nuvem e segurar seus arquivos contra qualquer tipo de perda, até mesmo da maioria das ameaças graves.
- Seja paciente, pois isso pode demorar um pouco.
- Verificar malware
- Corrigir registros
- Remover arquivos de vírus
Degrau 1: Verifique se há Trojan Astaroth com a ferramenta SpyHunter Anti-Malware
Degrau 2: Limpe quaisquer registros, criado por Astaroth Trojan em seu computador.
Os registros normalmente alvo de máquinas Windows são os seguintes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Você pode acessá-los abrindo o editor de registro do Windows e excluir quaisquer valores, criado por Astaroth Trojan lá. Isso pode acontecer, seguindo os passos abaixo:
Gorjeta: Para encontrar um valor criado-vírus, você pode botão direito do mouse sobre ela e clique "Modificar" para ver qual arquivo é definido para ser executado. Se este é o local do arquivo de vírus, remover o valor.Degrau 3: Find virus files created by Astaroth Trojan on your PC.
1.Para Windows 8, 8.1 e 10.
Por mais recentes sistemas operacionais Windows
1: Em seu teclado, pressione + R e escrever explorer.exe no Corre caixa de texto e clique no Está bem botão.
2: Clique em o seu PC na barra de acesso rápido. Isso geralmente é um ícone com um monitor e seu nome é ou “Meu Computador”, "Meu PC" ou “Este PC” ou o que você nomeou-o.
3: Navegue até a caixa de pesquisa no canto superior direito da tela do seu PC e digite "extensão de arquivo:” e após o qual digite a extensão do arquivo. Se você está à procura de executáveis maliciosos, Um exemplo pode ser "extensão de arquivo:Exe". Depois de fazer isso, deixe um espaço e digite o nome do arquivo você acredita que o malware tenha criado. Aqui está como ele pode aparecer se o arquivo foi encontrado:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Para o Windows XP, Vista, e 7.
Para mais velhos sistemas operacionais Windows
Nos sistemas operacionais Windows mais antigos, a abordagem convencional deve ser a mais eficaz.:
1: Clique no Menu Iniciar ícone (normalmente em seu inferior esquerdo) e depois escolher o Procurar preferência.
2: Após as aparece busca janela, escolher Mais opções avançadas a partir da caixa assistente de pesquisa. Outra forma é clicando em Todos os arquivos e pastas.
3: Depois que tipo o nome do arquivo que você está procurando e clique no botão Procurar. Isso pode levar algum tempo após o qual resultados aparecerão. Se você encontrou o arquivo malicioso, você pode copiar ou abrir a sua localização por Botão direito do mouse nele.
Agora você deve ser capaz de descobrir qualquer arquivo no Windows, enquanto ele está no seu disco rígido e não é escondido via software especial.
Astaroth Trojan FAQ
What Does Astaroth Trojan Trojan Do?
The Astaroth Trojan troiano é um programa de computador malicioso projetado para atrapalhar, danificar, ou obter acesso não autorizado para um sistema de computador.
Pode ser usado para roubar dados confidenciais, obter controle sobre um sistema, ou iniciar outras atividades maliciosas.
Trojans podem roubar senhas?
sim, Trojans, like Astaroth Trojan, pode roubar senhas. Esses programas maliciosos are designed to gain access to a user's computer, espionar vítimas e roubar informações confidenciais, como dados bancários e senhas.
Can Astaroth Trojan Trojan Hide Itself?
sim, pode. Um Trojan pode usar várias técnicas para se mascarar, incluindo rootkits, criptografia, e ofuscação, para se esconder de scanners de segurança e evitar a detecção.
Um Trojan pode ser removido por redefinição de fábrica?
sim, um Trojan pode ser removido redefinindo o seu dispositivo para os padrões de fábrica. Isso ocorre porque ele restaurará o dispositivo ao seu estado original, eliminando qualquer software malicioso que possa ter sido instalado. Ter em mente, que existem Trojans mais sofisticados, que deixam backdoors e reinfectam mesmo após a redefinição de fábrica.
Can Astaroth Trojan Trojan Infect WiFi?
sim, é possível que um Trojan infecte redes Wi-Fi. Quando um usuário se conecta à rede infectada, o Trojan pode se espalhar para outros dispositivos conectados e pode acessar informações confidenciais na rede.
Os cavalos de Tróia podem ser excluídos?
sim, Trojans podem ser excluídos. Isso geralmente é feito executando um poderoso programa antivírus ou antimalware projetado para detectar e remover arquivos maliciosos. Em alguns casos, a exclusão manual do Trojan também pode ser necessária.
Trojans podem roubar arquivos?
sim, Trojans podem roubar arquivos se estiverem instalados em um computador. Isso é feito permitindo que o autor de malware ou usuário para obter acesso ao computador e, em seguida, roubar os arquivos armazenados nele.
Qual Anti-Malware Pode Remover Trojans?
Programas anti-malware como SpyHunter são capazes de verificar e remover cavalos de Tróia do seu computador. É importante manter seu anti-malware atualizado e verificar regularmente seu sistema em busca de software malicioso.
Trojans podem infectar USB?
sim, Trojans podem infectar USB dispositivos. Cavalos de Troia USB normalmente se espalham por meio de arquivos maliciosos baixados da Internet ou compartilhados por e-mail, allowing the hacker to gain access to a user's confidential data.
About the Astaroth Trojan Research
O conteúdo que publicamos em SensorsTechForum.com, this Astaroth Trojan how-to removal guide included, é o resultado de uma extensa pesquisa, trabalho árduo e a dedicação de nossa equipe para ajudá-lo a remover o problema específico do trojan.
How did we conduct the research on Astaroth Trojan?
Observe que nossa pesquisa é baseada em uma investigação independente. Estamos em contato com pesquisadores de segurança independentes, graças ao qual recebemos atualizações diárias sobre as definições de malware mais recentes, incluindo os vários tipos de trojans (Porta dos fundos, downloader, Infostealer, resgate, etc.)
além disso, the research behind the Astaroth Trojan threat is backed with VirusTotal.
Para entender melhor a ameaça representada por trojans, por favor, consulte os seguintes artigos que fornecem detalhes conhecedores.